数据管理与安全能力——个人信息保护合规审计对组织数据能力的要求

来源:iLaw合规

文章摘要
编者按: 数字经济时代下,国家对数据安全合规的重视程度不断提高。目前我国已形成有纲领、有分支的网络数据安全合规法律体系,数据合规也成为数字经济时代下企业的必修课。

编者按:
数字经济时代下,国家对数据安全合规的重视程度不断提高。目前我国已形成有纲领、有分支的网络数据安全合规法律体系,数据合规也成为数字经济时代下企业的必修课。
数据合规工作中,数据合规意识与思维尤为重要。本文将聚焦大数据时代下的数据素养,从数据管理与安全能力入手,带领大家掌握个人信息保护合规审计对组织数据能力的要求,了解数据治理主流理论及模型框架,进一步把握数据管理能力成熟度评估模型(DCMM)以及数据安全能力成熟度评估模型(DSMM)。
一、个人信息保护审计与组织数据能力要求
(一)个人信息保护审计与组织数据能力要求
《中华人民共和国个人信息保护法》(以下简称“个人信息保护法”)第五十四条明确指出,个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计,个人信息保护合规审计成为个人信息处理者需履行的法定义务。
2023年8月3日,国家互联网信息办公室对《个人信息保护合规审计管理办法(征求意见稿)》(以下简称“办法”)进行公开征求意见。办法旨在指导、规范个人信息保护合规审计活动,为企业开展个人信息保护合规审计提供具体依据。基于《办法》发布,涉及个人信息处理的企业以及第三方审计机构都会受到政策的影响,未来更加注重个人信息数据的合规性,自律和他律双管齐下。
《办法》从五个方面对于个人信息保护审计与组织数据能力提出要求:
(1)个人信息保护合规审计制度起源和审计依据是什么?
(2)审计的职责范围是否涉及具体业务的工作内容环节?
(3)开展个人信息保护合规审计的流程与思路?
(4)个人信息保护合规审计实施过程中采取的策略?
(5)开展个人信息保护合规审计工作的前置准备包括那些内容?
(二)个人信息保护合规法律体系及法源
如图1,当前我国个人信息保护主要参照《个人信息保护法》《中华人民共和国民法典》以及《中华人民共和国数据安全法》等法律依据推动相关数据合规工作进程;在个人信息处理方面,主要由《信息安全技术个人信息安全规范》(GB/T35273-2020)以及《信息安全技术个人信息安全影响评估指南》(GB/T39335-2020)提供保护;在重要数据方面主要存在《汽车数据安全管理若干规定(试行)》以及《金融数据安全数据安全分级指南》等相关规定。此外,涉及数据跨境提供相关活动,主要表现为《信息安全技术个人信息安全规范》(GB/T39335-2020)。

图1
(三)个人信息保护合规体系——企业合规体系的构建
企业构建合规体系需重点遵从《个人信息保护法》第54条与第56条的规定,实现定期审计与监督审计相结合,其中54条规定企业定期合规审计义务,而64条明确了行政约谈与强制合规审计制度。要求个人信息处理者遵守相应管理措施,推动合规审计及后续整改工作,不断优化改进企业数据安全体系。
二、数据治理的主流理论及模型框架
(一)四大典型架构
如图2,当前数据治理层面主要包括DAMA—DMBOK、DGI、Gartner、DCMM四大典型架构。
首先,DMBOK数据管理知识体系被视为数据从业人员应当掌握的数据管理知识体系框架;其中DGI构成DMBOK数据管理知识体系的核心引擎,驱动外围各项数据管理活动,构建体系化管理。
其次,Gartner定期推动技术与组织变革,推动合规人员基于数据全生命周期考虑数据治理架构的规范性,进而在组织中构建常态化运营能力,不断优化与沉淀数据治理能力。
最后,DCMM作为国际标准,由8个核心域,28个子域以及445项评价指标构成,对于数据治理管理体系进行综合评价。

图2
(二)主流理论框架概述
目前在已有数据治理模型中,DAMA(国际数据管理协会)、ISACA(国际信息系统审计和控制协会)、DGI(国际数据治理研究所)、CMMI研究所、IBM数据治理委员会等权威机构提出的框架模型最具代表性,并被广泛接受和认可。
其中DGI被视为数据治理的核心引擎,作为企业数据运营能力的核心,强调组织、制度、流程及规范方面的落地实施工作;IBM所提供的10个必选步骤与4个可选步骤,为企事业单位推动数据治理工作提供方向性指导。
三、数据管理能力成熟度评估模型DCMM
(一)DCMM基本概念
1、 基本概念
数据管理能力是企事业单位的核心能力,目的在于释放数据价值,当前推动数据治理管理工作过程中,企事业单位主要面临的问题为如何通过管理手段与能力提升挖掘大数据价值的能力。数据管理能力成熟度评估模型DCMM强调将数据开放与共享、数据服务能力作为关键评价指标,主张以价值驱动数据应用,释放数据价值。
DCMM数据管理能力成熟度评估模型,即Data Management Capability Assessment Model。其核心价值在于评估组织对数据进行管理和应用的能力,具体表现为:
(1)作为数据管理体系,建立自身数据管理能力;
(2)作为能力评判依据,不断提升数据管理能力。通过企事业单位数据管理与应用过程中所具备的核心定性与定量能力展开全面诊断分析,并根据分析结果识别风险问题,进而快速定位切入点,降低企事业单位合规时间与资源成本,提升数据资产化与管理能力。
DCMM(图3)涵盖了数据战略、数据治理、数据架构、数据应用、数据安全、数据质量、数据标准和数据生存周期8个核心能力(“战架治标,质安应命”)域及28个能力项。其中八个核心能力域环环相扣,有益于基于总体战略视角对企事业单位数据管理问题进行全面综合诊断。内环由制度、组织(组织数据认责)、技术及流程构成,其中组织数据认责由组织归口与数据认责构成,组织归口涉及业务归口、数据归口与ID归口,数据认责涉及数据的提供方、消费方、管理方、支持方以及拥有者五方认责主体。技术部分则是围绕数据生命周期搭建大数据平台与数据治理平台,以优化改进整体数据运营能力,最终落实在具体工作流程中。

图3
2、 大数据标准框架中数据管理能力成熟度评估模型定位
我国于2023年发布《大数据标准化白皮书(2023版)》,对此前版本内容进行大量整合更新,其中DCMM评估模型位于大数据标准框架(图4)的05管理于治理标准的评估项中。

图 4
3、 概述
数据管理能力成熟度评估模型DCMM(GB/T36073-2018)给出了数据管理能力成熟度模型以及相应的成熟度等级,适用于组织和机构对数据管理能力成熟度进行评价,其于2013年开展标准立项前研究以及标准立项申报工作,2014年标准正式理想并启动标准研制工作。2016年开展内容编制以及标准的修改、报批工作。最终于2018年3月发布,并于同年10月正式实施。
DCMM框架包括8个一级域、28个二级域(图5)。数据战略强调组织数据战略执行过程中效能的可达性,基于业务战略确定,进而体现宏观高层级数据需求以及微观场景化落地;数据治理明确相关角色、工作责任和工作流程,主张根据不同角色确定沟通方式,强调组织整体数字化转型能力,强调业务与IT、数据团队的整体协同性;数据架构层面,具体细分为数据模型、数据分布、数据集成与共享以及元数据管理,旨在定义数据需求、指导对数据资产的整合和挖掘,建立数据投资与业务战略相匹配的整体构建和规范;数据应用中,数据开放共享最为重要,其余后续数据安全域中数据安全审计紧密绑定,包括过程审计、规范性审计、标准合规性审查、供应商审计等,其中供应商审计被视为数据安全审计过程的核心。数据安全与数据质量为企事业单位数据治理工作的核心命题,通常基于数据全生命周期落实具体措施,并构建事前性数据标准,为组织各个系统中的数据提供规范化、标准化的依据,上述相关工作需紧密覆盖数据全生命周期开展,进而形成整体问题评价与改进机制,形成事前性预防与事后纠偏的全方位数据管理体系。

图 5
DCMM28个能力项构成华表结构(图6)。主体结构以数据生存周期为地基,承载组织顶层数据设计,基于战略高度对整体数据运营能力进行构建,形成闭环;进而对于数据进行管理,首先要搭建数据架构,梳理数据来源与去向、集成与分布情况等,以提供全面的数据解析工作;进而制定数据标准,明确数据标准目的与规范,以不断优化和改进数据质量,而数据质量则旨在通过数据开放与共享、数据服务实现为业务端场景提供数据价值;最终实现数据战略,即驱动场景化数据应用,强调高质量数据落实事前性数据标准规范,最终提升整体数据运营能力。
此外,数据治理和数据安全构成华表两侧架构,共同为数据管理工作保驾护航。

图 6
为此,DCMM对标卡内基梅隆大学五级成熟度将数据管理划分为五级别:
(1)L1初始级别:数据需求的管理主要在项目级进行体现,没有统一的管理流程,主要是被动式管理;
(2)L2受管理级:组织已经意识到数据始资产,根据管理策略的要求制定了管理流程,制定相关人员进行初步的管理;
(3)L3稳健级:数据已经被当作实现组织绩效目标的重要资产,在组织层面制定了系列的标准化管理流程促进数据管理的规范化;
(4)L4量化管理级:数据被认为是获得竞争优势的重要资源,数据管理的效率能够进行量化分析和监控;
(5)L5优化级:数据被认为是组织生存的基础,相关管理流程能够实现优化,能够在行业内进行最佳实践的分享。
4、小结
掌握了DCMM模型,结合DCMM评估方法,就可较好的获得企业的数据管理能力现状,并将清晰有效地开展数字化转型的能力提升,从而达到评估咨询的目的。数据管理能力模型结合数据管理领域已有的经验加以整理,赋予每一种能力域的标准解释,以帮助企业开展特定的数据管理能力提升,组织在开展数据管理能力时不必刻意囊括所有工作,主要理解企业数据管理本质即可。
(二)我国当前企业数据管理能力概况
开展数据管理能力成熟度评估可以帮助企业了解数据管理现状,制定优化策略,提升数据管理水平,增强企业竞争力和创新能力。
一是明确数据管理的现状。通过对现状的了解,企业可以深入识别数据管理中存在的问题和瓶颈,找到改进的方向,为优化数据管理提供准确的依据。
二是指导数据管理优化。企业开展数据管理能力成熟度评估,可以帮助企业制定数据管理优化策略,明确数据管理目标和方向,优化数据管理流程,提升数据管理的质量和效率,降低数据管理的成本和风险。同时,优化数据管理也可以提升数据应用和价值的发挥,增强企业的核心竞争力。
三是提高信息化建设水平。数据管理是企业信息化建设的重要组成部分,数据管理能力成熟度评估可以作为信息化建设水平的重要指标,数据管理能力成熟度评估可以指导企业优化信息化建设规划和设计,提升企业在信息化建设领域的竞争力和创新能力。
四是促进业务协同发展。开展数据管理能力成熟度评估,可以帮助企业实现业务数据的标准化和共享,促进不同业务间数据的共享和协同发展,可以提升企业整体数据管理效率,避免数据孤岛,降低重复建设和数据浪费,促进业务协同发展,提高数据应用价值,增强企业在市场上的竞争力。
五是区分管理水平。企业可以了解自身的数据管理成熟度与竞争对手的差距,对自身数据管理水平做出明确的定位和标准,为数据管理提升制定明确的计划和目标,以便制定更有效的数据管理战略和提升管理水平的方案。
(三)数据管理能力成熟度评估提升路径
在实际评估工作中,应从以下方面做好保障工作:
第一,注重反馈,人员访谈。人员访谈目的是验证组织实施数据管理过程,确认其实施过程与客观证据是否保持一致,通常人员访谈也是按DCMM的八个能力域分别进行,即每一场访谈只聚焦于某一能力域的内容。
第二,以评促建,组织具有专业能力的综合评估团队。因DCMM需要组织团队进行配合作业,特别是涉及数据战略、数据安全、数据结构等相关能力域评估,对评估人员的综合素养、专业能力都有相当高的要求。同时,评估工作需对计划管控、沟通表达、资源协调能力有较高要求,所组建的评估项目团队需综合全面,才能准确完成评估,切实为企业数据管理能力的提升建言献策。
第三,实证检验,全面、真实收集评估材料。评估的主体内容和材料均要求能全面、真实反映企业当前数据管理工作现状,避免出现资料收集不全面,导致错误评估;同时也要避免为“粉饰太平”,虚构数据管理工作,伪造数据管理成果。在全面性方面,需认识到数据管理工作的内容,不仅只存在以数据为主体管理对象的各类文件及管理型工作内容中,同时也体现在业务管理方案、信息化建设工作等相关内容。真实性方面则需从管理上进行控制,加强考核,同时也要依靠评估团队的“火眼金睛”,从管理制度、实际工作开展凭证、技术手段辨别等角度进行深入评估。
第四,修正模型,用发展的视角开展评估。企业在开展评估工作的同时,数据管理能力的提升工作也在同步开展。进行评估的初级阶段,需充分调研当前企业正在开展的数据管理提升工作动态,评估过程中要紧密跟进这类工作的开展情况,结合最新进度进行完整评估,在报告阶段,要结合最新动态,提出切合实际的结论和建议,才能使评估结果符合真实情况,使得评估建议和规划得到各方认同,达到提升企业数据管理能力的目的。
四、数据安全能力成熟度评估模型DSMM
DSMM与DCMM之间存在相关性,但视角不同,其中DCMM数据管理能力成熟度评估模型更为高阶,DSMM是DCMM在数据安全领域的补充,为此,组织应当率先构建数据管理能力,在数据管理能力与数据安全领域,侧重在DCMM中强调数据安全策略、数据安全管理与数据安全审计,即DSMM核心为基于数据生命周期视角考量数据全生命周期活动中安全的可控性,并以此构建30个PA项的模型框架体系(图7)。基于数据生命周期从采集入手,结合平台化传输、存储、处理、交换和销毁等全周期展开,其次围绕组织人员、制度流程、安全运营展开通用能力性构建,通用能力性构建覆盖数据全生命周期最终形成闭环。

图 7
DSMM30个安全过程域如图8所示:

图 8
本标准基于大数据环境下电子化数据在组织机构业务场景中的数据生命周期,从组织建设、制度流程、技术工具以及人员能力四个方面构建了数据安全过程的规范性数据安全能力成熟度分级模型及其评估方法。包括:数据安全能力成熟度模型架构、数据安全能力通用实践以及数据生命周期通用的安全基本实践。适用于组织机构数据安全能力的自身评估,也适用于评估机构对组织机构的数据安全保障能力进行评估,核心内容如图9所示:

图9

技术驱动法律,专业成就未来