聚焦 | 数据安全合规研讨会在京成功举办 - 新鲜讯息

扫码订阅《中国信息安全》杂志

邮发代号 2-786

征订热线：010-82341063

9月21日下午，由中国信息通信研究院指导，中国信息通信研究院安全研究所和《中国信息安全》杂志社主办，北京亿赛通科技发展有限责任公司承办的“数据安全合规研讨会”在北京成功举办。研讨会采用线上线下相结合的方式，线下参会嘉宾50余位，线上观众超过2000位。会议现场，多位业界权威专家围绕数据安全合规治理、相关政策解读、实践成果分享、数据出境安全、个人信息安全等前沿话题展开深入的交流探讨，积极为数据安全行业工作提出有益的意见建议。

据工信部统计，2021年我国数字经济规模已超过45万亿元。数字经济的快速发展使得社会各类组织日常运营产生的数据越来越多，数据已成为国民经济重要的生产要素，随着数字化转型快速推进，数据的价值随之提升，数据安全保护工作的重要性也越来越高。2021年，《数据安全法》《个人信息保护法》颁布并施行，各部门、地区和行业也陆续出台相关配套政策文件，企业面临着合规监管和安全风险的双重压力。数据安全合规工作是企业的数据安全“深水区”，不仅要兼顾企业的商业发展，同时还直接影响企业的商业价值，“合规创造价值”已然成为数据合规的工作重点。

会议伊始，《中国信息安全》杂志社社长位华进行致辞。他表示，国内数据安全已经进入强监管时代，企业面临合规压力。业务运营、敏感数据保护带来新的挑战。构建新形势下数据安全体系迫在眉睫，跨境保护、数据合规成新焦点，一系列组合拳下，我国数据安全治理正进入快车道。去年，数字经济规模达到45.5万亿，同时数据安全不容忽视，数据安全合规成为不可忽视的命题。

《中国信息安全》杂志社社长位华

中国信息通信研究院安全研究所副所长魏薇在致辞中提到，国家越来越重视数据安全工作，随着法律的颁布，国内对数据安全的重视上升到空前高度。习总书记强调要维护国家数据安全，保护个人信息和商业秘密，守住安全底线，把必须管住的重点管到位。我国数据安全顶层设计已经基本明确。各行各业、地区、领域的数据安全监管工作进入实施阶段。信通院致力于网络安全、数据安全方面的研究和实施，在支撑政府和服务行业方面，安全所积极开展工作。同时，牵头研制了数据安全标准，包括数据安全评估、分类分级、重要数据识别、数据安全体系建设等标准，开展电信和互联网行业标准贯标的工作，指导企业落地实践。

中国信息通信研究院安全研究所副所长魏薇

北京亿赛通科技发展有限责任公司总经理崔培升在致辞中谈到，数据作为新型生产要素，由于其特殊属性已然成为社会发展倾力前行的“石油”。但数据要素对于其所有者、使用者来说是一柄双刃剑，它既是重要的信息，也是重要资产，对于数据信息泄露、违规使用以及数据资产流失都会造成不可承受的后果。国家近些年陆续出台法律法规，不断完善数据所有者和使用者权利，对数据合规做出明确指引。在数据合规建设中，数据和人是两个重要元素。其中，数据层面，要对数据本身进行分类分级，合规治理，针对不同的数据采用不同技术手段来保证数据安全。人为层面，要建立数据安全意识，区分人的职责权限。利用技术手段对数据分类分级，使技术服务于制度，形成技术和制度不断迭代的正循环，建立全面综合数据安全管理能力。这也是亿赛通不断倡导 “分·放·管·服”数据安全建设理念的灵魂所在。

北京亿赛通科技发展有限责任公司总经理崔培升

在主题分享环节中，中国信息通信研究院安全研究所研究员秦博阳对《数据出境安全政策解读》展开探讨。她针对近期发布的一系列国家数据出境合规制度作出了解读，通过梳理数据出境相关法律、主管部门规定和标准，分析了重要数据出境安全评估、个人信息保护认证、个人信息出境标准合同、个人信息出境安全评估4条合规路径，并对数据出境合规工作提供了指导性建议。

中国信息通信研究院安全研究所研究员秦博阳

华北电力大学能源电力大数据研究院院长李建彬表示，合规不仅是数据安全，在企业运营中，合规始终是正常运营的底线和保障，是企业运营的有机部分。法律体系三法一条例的完善对国家网络空间安全治理提供了准则，使得个人在网络安全中有法可依。数据作为生产要素是数字经济的核心资料，是推动数字经济发展的核心要素。数据安全防护日益重要，但同时也存在很多问题。从运营层面看，业务动态变化下按需管控的运营机制尚不健全，技术角度来说，单点安全防护能力无法有效应对复杂数据流动风险，管理层缺乏一致性的合规治理手段。数据安全合规治理体系框架以内部或准内部人员为主要安全管控对象，平衡业务需求与安全风险；以分级分类为基础，以数据合理、安全流动为目标，以数据使用过程的安全管理和技术支撑为手段，对数据安全产品的技术应用和管理流程进行深度整合，在保障数据安全的前提下，实现数据开放共享。

华北电力大学能源电力大数据研究院院长李建彬

中国信息通信研究院安全研究所研究员朴鸿国以《数据安全法》的解读为切入点，详细介绍了《数据安全法解读和数据安全合规体系建设专项行动介绍》。他提出，虽然在《数据安全法》中，数据定义的范围是宽泛的，但是在实际的数据保护工作过程中，要综合考虑经费和人员投入等因素，通过分类分级来明确需要重点投入保护工作的那部分数据，从而充分利用资源，实现更为合理、有效的合规落地工作。对于已经做了数据分类分级工作的企业而言，在衔接《数据安全法》中的一般、重要、核心数据分级要求时，首先需要根据各部门、各行业、各领域即将出台的重要数据具体目录结合已有的数据资产清单识别出重要数据，在按照重要数据监管要求进行单独保护，除重要数据外的一般数据还是可以使用企业原有的分级策略，如企业自身合法权益、商业秘密、业务重要性等方面考虑，进行更细化的差异化管控，实现资源投入、业务发展、合规落地三者的平衡。

中国信息通信研究院安全研究所研究员朴鸿国

北京亿赛通科技发展有限责任公司高级总监宋春岭从厂商视角对数据安全合规的建设思路做了梳理，据IBM Security发布的《2021年数据泄露成本报告》显示，2021年全球数据泄露的平均总成本达到了424万美元，数据安全问题影响范围逐渐扩大。企业在新数字经济时代下，面临了全新的挑战，如：IT环境复杂、数据交互多、合规监管严、敏感数据分散、综合窃密手段层出不穷等，亟需体系化的数据安全技术框架来应对数据安全新挑战。亿赛通潜心研究的数据安全合规治理体系，总结出一个中心、四个领域、五个阶段，即以数据安全为中心，从组织建设、制度流程、技术工具、人员能力入手，分业务梳理、分类分级、策略制定、技术管控、优化改进五个阶段。从技术栈构建纵深防御，实现攻防兼备、网数一体。同时，亿赛通公司在数据安全合规建设中，不仅提供全面的安全解决方案，并面向规模企业免费推出“重要数据识别计划”，帮助企业进行数据扫描识别、分类分级、血缘分析、追踪溯源、态势服务，助力企业数据合规。

北京亿赛通科技发展有限责任公司高级总监宋春岭

中国信息通信研究院安全研究所研究员葛鑫对《个人信息保护影响评估制度解读及实践指引》提出个人的见解。参照欧盟GDPR标准要求和实施细则，对我国个人信息保护影响评估制度进行了解读。她提出，我国个人信息保护评估制度的最终目标在于考核企业个人信息保护安全措施的有效性。对于个人而言，个人信息保护影响评估是确保个人在大数据时代的个人权利和自由的保障。对于企业或组织而言，个人评估具有建立合规、证明合规、预防损失、增进透明度等多重价值。

中国信息通信研究院安全研究所研究员葛鑫

在会议的开放讨论环节，针对数据安全合规、重要数据识别、商业秘密保护三方面的问题与挑战，部分与会嘉宾分享了自身企业在实际工作中的经验与困惑，并与在场专家进行了充分有效的交流。

作为本次研讨会的承办单位，北京亿赛通科技发展有限责任公司将继续依托“数据安全共同体推进计划”等与业界各类组织围绕数据安全政策、标准、技术、人才培养、产业发展等方面开展广泛深入的交流与合作，共同为国家安全体系建设助力、共同推进数据安全产业蓬勃发展。

《中国信息安全》杂志倾情推出

“企业成长计划”

点击下图了解详情