亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

背景

隨著數(shù)據(jù)成為了重要的資產(chǎn)，成為了生產(chǎn)要素，數(shù)據(jù)安全也越來(lái)越重要。2021年，我國(guó)陸續(xù)發(fā)布了《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》這些專門針對(duì)數(shù)據(jù)安全相關(guān)的法律，同時(shí)也陸續(xù)發(fā)布了管理辦法，開始著手制定相關(guān)的支撐標(biāo)準(zhǔn)，當(dāng)前數(shù)據(jù)安全合規(guī)要求成為了當(dāng)前數(shù)據(jù)安全最急迫、最重要、最基本的數(shù)據(jù)安全工作。

在已發(fā)布的相關(guān)法律法規(guī)中，規(guī)定數(shù)據(jù)處理者需要針對(duì)自身所使用的數(shù)據(jù)情況開展審計(jì)合規(guī)審計(jì)工作，包括《個(gè)人信息保護(hù)法》“第五十四條 個(gè)人信息處理者應(yīng)當(dāng)定期對(duì)其處理個(gè)人信息遵守法律、行政法規(guī)的情況進(jìn)行合規(guī)審計(jì)。”，《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征求意見(jiàn)稿）》“第五十三條 大型互聯(lián)網(wǎng)平臺(tái)運(yùn)營(yíng)者應(yīng)當(dāng)通過(guò)委托第三方審計(jì)方式，每年對(duì)平臺(tái)數(shù)據(jù)安全情況…等進(jìn)行年度審計(jì)，并披露審計(jì)結(jié)果。” 、“第五十八條 國(guó)家建立數(shù)據(jù)安全審計(jì)制度。數(shù)據(jù)處理者應(yīng)當(dāng)委托數(shù)據(jù)安全審計(jì)專業(yè)機(jī)構(gòu)定期對(duì)其處理個(gè)人信息遵守法律、行政法規(guī)的情況進(jìn)行合規(guī)審計(jì)。…” ，這些法律法規(guī)都表明，數(shù)據(jù)安全合規(guī)審計(jì)的必要性。

盡管IT審計(jì)已經(jīng)持續(xù)多年，但是在個(gè)人信息保護(hù)的合規(guī)審計(jì)工作需要從信息安全合規(guī)細(xì)化到數(shù)據(jù)安全合規(guī)，并且精確定位到對(duì)個(gè)人信息的處理，在這方面我國(guó)還處于探索階段，審計(jì)方、安全廠商以及律所各方都發(fā)現(xiàn)在個(gè)人信息保護(hù)合規(guī)審計(jì)工作下的問(wèn)題，都在積極探索如何才能幫助企業(yè)進(jìn)行全面、透徹的審計(jì)工作。本文從當(dāng)前個(gè)人信息保護(hù)合規(guī)審計(jì)工作的現(xiàn)狀分析當(dāng)前所遇到的問(wèn)題，結(jié)合已有的經(jīng)驗(yàn)和思考，給出一些解決的思路和建議，希望能對(duì)正在開展合規(guī)審計(jì)工作的企業(yè)有一定的幫助。

現(xiàn)象分析

現(xiàn)象一：企業(yè)對(duì)合規(guī)要求的理解不一，審計(jì)工作還處于探索階段

由于《個(gè)人信息保護(hù)法》于2021年發(fā)布，發(fā)布還不到一年，司法部門、企業(yè)也處于逐漸摸索的階段，盡管在某些領(lǐng)域，例如人臉識(shí)別的使用、算法管理等方面已有一些共識(shí)，但是還沒(méi)有形成全面的司法解釋以及最佳實(shí)踐，因此企業(yè)在開展個(gè)人信息保護(hù)的合規(guī)工作時(shí)，對(duì)于業(yè)務(wù)的合規(guī)判斷還有一定的不確定性。

企業(yè)的個(gè)人信息合規(guī)處于一個(gè)摸索階段，針對(duì)合規(guī)的審計(jì)工作就更為困難了，當(dāng)然，審計(jì)也是合規(guī)工作中的一部分，因此，審計(jì)工作需要與企業(yè)的合規(guī)實(shí)踐同步摸索，而不是等合規(guī)指引明確之后才開始著手審計(jì)工作。

現(xiàn)象二：難以快速、持續(xù)性的開展合規(guī)審計(jì)工作以支撐不同的合規(guī)審計(jì)要求

根據(jù)《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》可以看出針對(duì)個(gè)人信息保護(hù)的合規(guī)審計(jì)工作將是一個(gè)常態(tài)化的工作，可以是自審計(jì)也可以是監(jiān)管部門的強(qiáng)制審計(jì)，同時(shí)每個(gè)行業(yè)會(huì)由主管部門根據(jù)行業(yè)特點(diǎn)、個(gè)人信息保護(hù)情況建立更為具體、詳細(xì)的審計(jì)體系，例如工信部發(fā)布的《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)》中規(guī)定，“第二十七條【安全審計(jì)】工業(yè)和電信數(shù)據(jù)處理者應(yīng)當(dāng)在數(shù)據(jù)全生命周期處理過(guò)程中，記錄數(shù)據(jù)處理、權(quán)限管理、人員操作等日志。日志留存時(shí)間不少于六個(gè)月，定期進(jìn)行安全審計(jì)，并形成審計(jì)報(bào)告，……。”因此，個(gè)人信息保護(hù)合規(guī)審計(jì)工作是一個(gè)持續(xù)化的工作，企業(yè)需要充分掌握自身的合規(guī)情況，隨時(shí)做好迎接合規(guī)審計(jì)的準(zhǔn)備，而不是每年開展一次性、臨時(shí)性的審計(jì)工作。

從個(gè)人信息合規(guī)工作來(lái)看，合規(guī)審計(jì)是一個(gè)復(fù)雜的工作，尤其是個(gè)人細(xì)膩處理過(guò)程的合規(guī)審計(jì)幾乎需要涉及企業(yè)內(nèi)部的所有業(yè)務(wù)流程。一個(gè)大型企業(yè)的業(yè)務(wù)復(fù)雜，業(yè)務(wù)間交互眾多，包括企業(yè)內(nèi)部及企業(yè)與外部，這些業(yè)務(wù)系統(tǒng)是否有足夠的證據(jù)來(lái)支撐數(shù)據(jù)處理過(guò)程的還原，是否有足夠的證據(jù)證明這些采集的個(gè)人信息都是有合法性基礎(chǔ)的，從目前的情況來(lái)看，并不是一個(gè)肯定的答案，因此當(dāng)前企業(yè)的審計(jì)工作是一個(gè)證據(jù)不充分、審計(jì)工作復(fù)雜且審計(jì)投入較大的一個(gè)狀態(tài)。這與審計(jì)的需求有巨大的沖突，而如何才能從當(dāng)前的無(wú)序、不充分的狀態(tài)到一個(gè)可隨時(shí)、持續(xù)的審計(jì)的狀態(tài)，是當(dāng)前個(gè)人信息保護(hù)合規(guī)審計(jì)工作的難點(diǎn)。

現(xiàn)象三：難以深入、透徹的開展審計(jì)工作，全面的評(píng)估企業(yè)的合規(guī)狀態(tài)

企業(yè)在進(jìn)行個(gè)人信息合規(guī)保護(hù)主要需要關(guān)注3個(gè)方面，基本的安全管理義務(wù)、為個(gè)人信息主體提供對(duì)個(gè)人權(quán)利實(shí)現(xiàn)的方式以及個(gè)人信息處理過(guò)程的合規(guī)性，這三個(gè)方面都需要對(duì)企業(yè)進(jìn)行深入的了解，不僅僅是原有的IT審計(jì)所涉及的組織管理制度、研發(fā)流程、系統(tǒng)的安全測(cè)試，還包括業(yè)務(wù)設(shè)計(jì)、系統(tǒng)設(shè)計(jì)等一系列深入企業(yè)業(yè)務(wù)流程的才能實(shí)現(xiàn)對(duì)企業(yè)個(gè)人信息保護(hù)狀態(tài)的合規(guī)審計(jì)。而這不僅遵循原有的審計(jì)方法，還需要遵循審計(jì)工作的原則，根據(jù)個(gè)人信息保護(hù)合規(guī)審計(jì)的特點(diǎn)研究新的審計(jì)操作方式，來(lái)實(shí)現(xiàn)深入、透徹的合規(guī)審計(jì)工作。

思考與建議

一、個(gè)人信息的監(jiān)管機(jī)構(gòu)應(yīng)考慮發(fā)布官方的數(shù)據(jù)合規(guī)指引

參考?xì)W盟的GDPR的實(shí)施可以看出，法案自2017年發(fā)布，經(jīng)過(guò)了2年左右的實(shí)踐、司法解釋以及公民維權(quán)才逐漸走向成熟，并形成了相對(duì)穩(wěn)定、有共識(shí)的實(shí)踐指南，歐盟也在此基礎(chǔ)上出臺(tái)了一系列的具體的實(shí)施指引，用來(lái)規(guī)范企業(yè)的合規(guī)工作，明確哪些處理方式、技術(shù)措施是有效的、合規(guī)的。

因此當(dāng)前階段，需要監(jiān)管機(jī)構(gòu)、司法部門、企業(yè)及相關(guān)合規(guī)支撐方（包括測(cè)評(píng)機(jī)構(gòu)、安全廠商、審計(jì)機(jī)構(gòu)等）多方共同努力，探索出最佳的合規(guī)實(shí)踐，推動(dòng)企業(yè)合規(guī)的實(shí)踐指引落地。監(jiān)管部門和司法部門需自頂向下的給出個(gè)人信息保護(hù)合規(guī)的具體目標(biāo)和要求，企業(yè)及相關(guān)合規(guī)支撐方，自底向上的通過(guò)最佳實(shí)踐來(lái)給監(jiān)管部門、司法部門以實(shí)現(xiàn)情況及該種狀態(tài)下的安全效果，最終綜合考慮目標(biāo)、結(jié)果形成合規(guī)的實(shí)施指引，推動(dòng)企業(yè)落實(shí)個(gè)人信息保護(hù)合規(guī)措施。

二、審計(jì)機(jī)構(gòu)推動(dòng)合規(guī)審計(jì)的具體實(shí)施步驟及方法的落地

基于當(dāng)前IT審計(jì)工作的完善性以及在個(gè)人信息保護(hù)合規(guī)審計(jì)方面的部分需要進(jìn)一步細(xì)化的需求，筆者建議可以從兩個(gè)方向逐步探索：

其一是，基于IT審計(jì)的原則、方法和步驟，分析在個(gè)人信息保護(hù)合規(guī)審計(jì)工作中的適用性，例如審計(jì)原則、基本方法和大致審計(jì)流程與傳統(tǒng)IT審計(jì)完全一致，但是，從業(yè)務(wù)層面來(lái)進(jìn)行合規(guī)審計(jì)需要哪些支撐材料，如何可以有效證明該業(yè)務(wù)的合規(guī)性是需要進(jìn)一步細(xì)化和研究的。

其二是，常態(tài)化、持續(xù)化的審計(jì)工作在企業(yè)內(nèi)部審計(jì)工作的組織架構(gòu)、制度流程及工具需要結(jié)合企業(yè)的管理情況進(jìn)一步細(xì)化研究，以實(shí)現(xiàn)在不影響業(yè)務(wù)正常運(yùn)轉(zhuǎn)的情況下，便捷高效地開展審計(jì)工作。

建議審計(jì)機(jī)構(gòu)與企業(yè)共同探討，探索出個(gè)人信息保護(hù)合規(guī)審計(jì)工作的具體實(shí)施流程和方法，并且推動(dòng)該流程方法的標(biāo)準(zhǔn)化，使審計(jì)工作可以真正達(dá)到發(fā)現(xiàn)企業(yè)合規(guī)風(fēng)險(xiǎn)、敦促企業(yè)進(jìn)行合規(guī)完善的目的。

三、企業(yè)及安全廠商推動(dòng)使用合規(guī)審計(jì)工具來(lái)支撐常態(tài)化、清晰化的合規(guī)審計(jì)

在個(gè)人信息合規(guī)審計(jì)工作中，人為的審計(jì)既會(huì)由于審計(jì)人員的差異造成合規(guī)結(jié)果的不一、合規(guī)風(fēng)險(xiǎn)的發(fā)現(xiàn)不徹底，也會(huì)由于業(yè)務(wù)難以理解造成審計(jì)過(guò)程復(fù)雜，耗時(shí)長(zhǎng)，難以支撐常態(tài)化、清晰化的合規(guī)審計(jì)工作，因此可以更多的通過(guò)工具來(lái)關(guān)聯(lián)分析、記錄越多的客觀、可信的合規(guī)證據(jù)，這樣就可以更好的支撐快速、透徹的審計(jì)。

合規(guī)審計(jì)工具的重點(diǎn)在于采集什么樣的證據(jù)、如何采集證據(jù)、如何關(guān)聯(lián)分析證據(jù)以支撐審計(jì)以及如何保全證據(jù)，企業(yè)及安全廠商可以共同推動(dòng)審計(jì)工具的標(biāo)準(zhǔn)化工作，探討企業(yè)需要通過(guò)哪些日志來(lái)證明自身的管理制度、措施以及處理流程是合規(guī)的，探討如何分析這些日志是符合審計(jì)要求的，如何保全這些日志才可以作為審計(jì)證據(jù)。這樣，推動(dòng)工具化的個(gè)人信息保護(hù)合規(guī)審計(jì)，就可以更方便、客觀、量化的來(lái)判斷企業(yè)是否滿足了合規(guī)要求，更好地達(dá)成企合規(guī)審計(jì)工作的目標(biāo)。

來(lái)源:CCIA數(shù)據(jù)安全工作委員會(huì)