戴尔科技“以身作则”,助力企业无忧出海 原创

戴尔科技集团资深咨询解决方案架构师王安国受邀接受至顶网的采访。分享了围绕《数据出境安全评估办法》企业如何评估数据的合规性、数据出境合规的挑战以及戴尔科技提供的安全咨询评估的优势。

今天围绕互联网而形成的数字经济,成为全球经济增长的新引擎。于此同时,随着金融、汽车、游戏、零售等企业走向全球,基于网络和数据的安全事件越来越成为全球关注的挑战。比如数据全球化带来的国家基础信息、核心数据以及海量的个人数据面临的如何合规出境问题。

戴尔科技“以身作则”,助力企业无忧出海

戴尔科技集团资深咨询解决方案架构师王安国 

近日,戴尔科技集团资深咨询解决方案架构师王安国受邀接受至顶网的采访。分享了围绕《数据出境安全评估办法》企业如何评估数据的合规性、数据出境合规的挑战以及戴尔科技提供的安全咨询评估的优势。

数据全球化流动有其必然性

对于任何面向全球市场的企业,数据全球化流动有其必然性。首先从IT架构上看,特别是跨国企业包括其IT架构必然是通过全球整体规划,通过规范IT流程和标准、降低IT支出实现最大化的数据资产价值。其次,运维体系的全球化,很多全球化企业的业务系统管理员或者IT运维团队采用全球集中化布局。 “比如有的全球化企业的业务系统统一由外国团队管理和运维,境外人员就会有权限看到在中国境内采集的重要数据或者个人信息。” 王安国谈到。数据的云化和运维的全球化,必然导致业务数据的全球流动和数据的跨境远程访问。这两种情况下,数据出境对于影响国家安全、社会经济稳定、个人隐私保护存在风险。基于上述原因,当前国家网信办发布的《数据出境安全评估办法》可以有效对于境内数据进行收集、评估和管理,避免因为数据出境造成的一系列不良影响。

围绕《数据出境安全评估办法》来理解数据

《数据出境安全评估办法》诞生于最新出台的《网络安全法》、《数据安全法》和《个人信息保护法》三大上位法。首先通过法律层面建立的数据分类分级制度对数据的敏感性做了相关要求。比如《网络数据安全管理条例(征求意见稿)》分类分级要求:

按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度,将数据分为一般数据、重要数据、核心数据,不同级别的数据采取不同的保护措施。国家对个人信息和重要数据进行重点保护,对核心数据实行严格保护。同时各地区、各部门又按照国家数据分类分级要求,对本地区、本部门以及相关行业、领域的数据进行分类分级管理。

比如说金融行业发布的《金融数据安全分级指南 》,根据影响对象和影响程度将数据分成5级,针对不同级别的数据,划定数据特征。

同时我们也看到,在数据出境的过程中,企业不是单纯的对数据出境传输过程负责,还要从数据收集、数据传输、数据存储、数据使用、数据销毁等多个维度保证合法合规。“所以在数据出境安全评估工作中,企业需要完整审视出境数据的整个生命周期过程中存在的风险,做出自评估报告。” 王安国谈到。

数据出境合规面临四大挑战:

但是企业要做到自我评估,又面临众多挑战。

当前数据出境合规最直接的难点是整改时间紧迫,缺乏成功经验。《数据出境安全评估办法》自7月7日发布,9月1日执行,给企业预留6个月的整改和评估时间,如果企业所有的业务系统和运维人员都在境外,那么就很难在6个月内完成整改和评估。

其次,数据出境的适用范围界定存在一定难度,在当前的法律法规中,没有明确到具体的数据类型,而是从数据重要程度或者影响来界定,企业的界定范围和监管部门可能存在分歧。

另外数据出境安全评估可能涉及到企业多个不同部门,如果企业规模较大,系统和数据类型较多,梳理过程会比较复杂。

第四、在存在数据出境风险的场景下,如何最低成本下合规化运营?怎么样整改才能符合合规要求?并没有完整的指导性意见,不同行业对于数据分类分级又不同。

信息安全建设是实现数据合规出境的技术抓手

数据出境合规关注的点主要是在于出境的数据的全生命周期风险、安全防护和合规,但是企业在数据出境自评估工作过程中,由于数据流转路径复杂,工作巨大,不仅涉及到众多的法律法规,还需要重新审视自身的信息安全建设情况。因此在数据出境自评估过程中,企业需要提供信息安全相关流程、标准、技术文档、法律文书作为出境数据安全防护手段的辅证材料,企业可以针对出境数据的链路回顾自身信息安全建设情况,查缺补漏。

特别是促进企业信息安全建设,也是数据出境合规的技术实现手段。因为信息安全建设是数据出境的合规过程中一个技术实现手段,通过信息安全方式保证我出境的数据在我企业内部无论是数据存储、使用还是最后销毁都是合法合规,保证不会被第三方非法侵入占用使用。

 “数据出境过程中不单只看出境一个点,数据的收集、传输、存储,到最后数据的销毁整个过程,都要保证数据不被别人篡改,不被别人非法获取,这就是信息安全建设的意义。”王安国分享到。

作为全球化企业,戴尔自身就是数据安全和合规的标杆

在信息安全建设方面,戴尔技在数据安全领域处于行业领先地位,其解决方案包括安全咨询服务、数据安全治理、数据安全设备、数据安全软件。同时戴尔科技始终和当地政府紧密合作,保持着和监管机构良好的沟通机制,能够帮助各种类型企业实现数据出境安全评估。

“戴尔科技在中国每年有数百万终端客户、数十万企业级客户以及在中国有超万名本土员工,而且戴尔科技的产品线覆盖个人终端、服务器、存储所有数据触点。”王安国分享到。“戴尔科技不仅在全球帮助客户管理EB级数据,还拥有20年的咨询服务经验,具备评估、咨询、规划和整改落地全流程服务能力,戴尔科技有意愿将自己在数据安全的成功经验和信息技术专业技术能力分享给客户,帮助客户合规运行。”

因此戴尔科技可以帮助客户梳理企业数据出境场景、数据资产、数据分类分级,完成数据出境风险自评估,制定数据出境风险的整改、处置方案,辅导客户申报数据出境安全评估。戴尔除了辅导客户完成数据出境安全评估,戴尔还可以帮助客户完成数据出境风险整改的落地实施,依托于戴尔全面的IT能力,不论是数据中心本地化和扩容,还是应用系统和数据的迁移,包括运维本地化的驻场服务。

可以看到,当客户与戴尔科技对数据出境现状达成共识后,依托戴尔科技在数据安全领域的领先地位,通过深入调研和梳理客户的组织架构、业务场景和流程、IT架构、应用目录、数据资产、数据交互、运维体系等信息,戴尔咨询顾问将会协同业务、法务、IT、供应商等相关角色为客户制定最小化成本的整改方案,助力企业业务无忧出海。

来源:至顶网存储频道

0赞

好文章,需要你的鼓励

2022

12/06

15:01

分享

点赞

邮件订阅