11月23日，由中国互联网协会与韩国互联网振兴院、大韩贸易投资振兴公社联合主办的2023中韩互联网合作论坛在北京方恒假日酒店圆满召开。

中韩互联网合作论坛致力于携手国际互联网社群构建人人受益的互联网，自2021年起已成功举办3届，积极发挥平台桥梁纽带左右，持续引导企业合规经营，推动健全全流程个人信息保护与数据安全管理机制。

本次会议以“合规、自律、安全”为主题，旨在为中国互联网企业及在华经营的韩资企业提供政策解读和企业合规指引，推动形成企业自律、社会监督、各方参与的共治格局。

梆梆安全高级副总裁方宁受邀出席作主题演讲，分享基于GRC框架的企业隐私保护与数据安全管理体系建设思路，为促进行业自律共治、营造健康安全的网络生态建言献策。

“魔法”对抗“魔法”

互联网与大数据时代，数据产业规模增长提速，数据生产数量急剧增加，数据泄露、窃取、篡改、滥用等问题日趋凸显，甚至形成个人信息泄露、买卖、诈骗的黑色产业链，给个人、企业、社会乃至国家利益带来损害。与此同时，各监管部门对企业加强数据合规建设提出了高标准与严要求，企业如何更好地实现隐私保护与数据安全管理成为一道亟待解决的难题。

在此趋势下，梆梆安全认为，治理、风险与合规管理 (GRC) 是确保企业安全和正常运营的战略和结构，可帮助企业可靠地实现目标、应对不确定性并诚信行事，是数据安全治理的最佳实践。

结合自顶向下搭建的数据安全治理体系，梆梆安全提出了 GRC 框架指引下的数据安全治理实现路径PDCA：

P（计划）

G：设定目标、组织职责与问责政策，制定总体政策
R：风险识别
C：确定合规要求，分解重组，确定内部合规基准

D（执行）

G：细化政策、监督
R：风险评估、风险控制矩阵、融入流程、风险处置
C：内部合规基准转化为合规控制矩阵、建立/融入流程、合规改进、建立合规记录

C（检查）

G：对团队努力的成果、过程、态度进行绩效考核
R：对风险的度量，可用于各业务团队间对比，表彰先进
C：对合规有效性的检查、合规记录的检查，包括但不限于隐私声明是否经过自检、是否具备对供应商的尽职调查记录、数据主体请求是否得到处理等

A（处理）

G：依据合规检查、风险度量、绩效度量等结果，执行决策和问责
R：风险总结，残余风险继续转入下一轮PDCA循环
C：合规总结，遗留不合规问题继续转入下一轮PDCA循环

全场景、全流程、全链路

数据安全合规管理的创新实践

基于GRC 的数据安全合规建设思路的核心是：结合数据安全管理的四个生命周期——基线管理、隐私管理、合规管理及风险管理，构建融入企业全场景、全流程、全链路的数据安全合规管理平台。

梆梆安全以数据为核心，融合移动应用合规平台、移动应用安全监测平台、API安全平台的产品能力，打造了纵深立体化的数据安全治理体系，实现基线图谱动态更新、业务风险精准嵌入、风险处置全程管控、风险分析量化可视四大价值。

>>>移动应用合规平台，内置数据安全检测标准，借助深度定制化的检测沙箱、利用自动化脱壳、应用自动化遍历及人工深度辅助测试等技术，对应用的合规情况、动态行为、软件成分、安全漏洞进行采集与分析，实现与应用分发平台审核上架系统做无缝对接，帮助用户发现应用违规行为并输出合规评估报告，保障应用上架后符合监管单位/机构的相关要求。

>>>移动应用安全监测平台，采用业务功能与平台功能分离的架构设计原则，集综合态势、安全分析、运行分析、异常分析、报表管理、配置管理等功能于一体，从动态攻击的技术源头进行感知分析，为用户快速建立事前、事中、事后的移动应用安全态势感知体系。

>>>梆梆API安全平台，通过对API上线运行后的数据流量进行实时检测，解决API上线运行后所面临的各种安全风险，为企业建立一套完整的API安全防御管控机制，产品从API资产管理、API风险检测、API敏感数据识别、API防护管控四大核心模块，帮助企业解决资产数据难治理、风险行为难发现、数据泄露难感知、威胁攻击难防护四大安全问题。

数智化时代高速发展，产业新需求与日俱增，梆梆安全将持续持续加大研发投入和技术创新，为保障数据持续处于有效保护、合法利用、有序流动状态提供专业的技术、产品和服务，让数字经济赋能数字中国高质量发展！