中心思想：在分类分级的基础上对数据的全生命周期进行差异化保护

背景

公司接到通知需要参与到一个数据安全专项行动中，不久便收到参与公益培训的通知，在培训中了解到数据安全专项行动主要包含3项工作，分别是：首席数据官备案、重要数据目录备案、数据安全风险评估。

通过查阅相关法律法规发现，其中第一项工作源自该省级政府的数据条例，后面两项则分别在数据安全法中有规定。

准备工作

向行业内的同行咨询后，得知大家是如何应对这个专项行动的。从3家同行单位中得到相对可靠的消息是，首席数据官备案和重要数据目录备案可以自行完成，因为工作量和专业度相对较小。

然而，数据安全风险评估几乎不可能由企业自行完成。评估报告通常都超过200页，而且评估工作本身也十分困难。评估和整改通常需要2~3个月的时间，这还是在有专业机构进行评估的情况下。因此建议寻找专业的机构来支持完成整体评估工作。

首席数据官备案

这项工作的重点是确认首席数据官的人选。据了解，许多企业都选择了CXO级别的人员作为首席数据官，其中以CTO最为常见。这也很好理解，因为一般来说，CEO忙于业务，不太愿意过多干预这种事情，而CTO作为技术负责人，自然而然地成为首席数据官的最佳人选。确定好人选之后，可以参考备案表模板填写相应的内容。填写完成后，需要与首席数据官进行确认，然后盖章提交。

需要注意，首席数据官备案需要以组织架构的形式报告，一般建议采用4层架构：首席数据官、数据安全负责人、数据安全执行小组和各部门接口人员。对于每种角色都要明确具体职责。

重要数据目录备案

这项工作相较于上一项来说更具挑战性，工作量也稍有增加。首先，需要查看公司APP的隐私协议，了解协议中描述了公司收集和使用哪些重要数据，然后将整理的重要数据与法务、产品、业务等不同部门的同事进行核对。有时这些部门的人可能不太愿意如实披露数据使用情况，因此需要与他们清晰地讲明利害关系。需要明确指出，公司认为重要的数据不一定就是重要的，而公司认为不重要的数据也不一定就不重要，最终是由监管部门来认定的。因此，如实上报可以尽可能减轻监管合规风险。

根据数据安全法的规定，本行业的主管部门负责制定本行业的重要数据目录，因此识别工作可以参考本行业的重要数据目录识别指南来进行。需要注意的是，重要数据目录的识别不仅要识别数据，还要识别承载数据的系统。在填写备案表时，遇到一些看不懂的术语可以向专业机构的人进行咨询。

数据安全风险评估

这项工作是整体数据安全专项行动中最具挑战性的工作之一，涉及近300项评估和最终的评估报告也将近300页，耗时2个多月（在项目进展比较顺利的情况下）。工作可以分为初评、整改、复评三个阶段。前两个阶段相对较为繁重，特别是初评阶段，虽然评估表中已经给出了范围，但在公司内部如何对应这个范围并不确定。

在项目启动会上听取了机构的意见，并邀请了法务、产品、采购等5个部门的同事参会，但在实际评估过程中发现这些部门的人员不够，需要临时拉其他部门的人参与项目。如果是已经在公司呆了几年的老员工可能还好，但如果是新员工可能就不太容易，临时拉别人配合度可能不会很高。

1、初评

• 第一阶段

初评的第一阶段是组织机构和制度建设评估，通常需要1~2周的时间。如果公司之前做过ISO27001和等保，那么这个阶段会相对容易一些，因为公司已经建立了一些必要的组织机构和制度（例如安全领导小组），制度方面也可能会满足60%到80%的要求。作为项目负责人，这个阶段可能相对轻松，因为制度通常已经整理好，按照机构的要求提供给他们查阅即可，对于制度中有疑问的地方进行交流即可。在评估过程中也了解到，目前行业里有两个方面的制度普遍存在较大问题，一个是合作方安全管理，另一个是接口安全管理。

• 第二阶段

初评的第二阶段是数据全生命周期管理评估，其中的核心是数据分类分级及数据资产清单。数据分类分级是一个长期的工作，需要借助专业的数据分类分级系统，并有专门的人员进行持续的运营。这一阶段的整体思想可以概括为在分类分级的基础上对数据的全生命周期进行差异化保护。数据采集主要是以公司的APP为主，与APP隐私合规有一定的重合，另外也会有一部分从合作方接收数据的间接收集场景。传输方面，大多数公司通常在这方面做得不错，毕竟HTTPS已经很普及了。然而，存储方面行业内普遍存在加密存储的问题。在使用方面，大多数后台管理系统也会进行脱敏处理。数据共享则是一个难点，因为首先共享出去就需要用户同意，之后还涉及传输安全、系统安全等问题，合作结束后还需要督促合作方进行数据删除，其中涉及的法律问题和现实难点都非常多。数据销毁方面已经有一些行业实践，比如含高敏信息的废弃磁盘进行物理销毁，以及含高敏信息的硬盘进行低格重复利用。在生命周期的各个阶段都需要体现出分类分级和差异化保护的思想。

• 初评总结

初评阶段最大的工作量在于收集材料，根据评估点需要向不同部门的人员收集各种截图，每一个评估项至少需要一张截图，因此最终需要收集的截图数量达到了300多张。在收集截图的过程中，最大的难点在于对评估项理解上的差距。首先是评估机构的人员和安全人员对评估内容理解的差距，其次是其他同事对安全人员提出的需求理解的差距。

在之前做通保时，有一项任务是符合性评估，也需要提供上百张截图。由于当时时间比较充裕，因此采取了一次性批量提供所有截图的方式，等待检测机构反馈后再重新提供，如此反复3次才完成。然而，这次情况有所不同，首先是时间非常紧迫，其次是数据安全领域相对陌生。因此，采取了更为敏捷的方式，建立了一个共享表格，截图后直接粘贴进去，这样评估机构的人员可以快速进行反馈，内部根据反馈意见快速进行修改。

2、整改

初评结束后通常会发现很多整改项，由于时间紧迫，需要对整改项进行评估，确认哪些需要在复评之前完成，哪些可以在复评之后完成。对于需要在复评之前完成的整改项，还需要按照优先级进行分类，以确保项目可以顺利地推进。一般来说，制度方面的问题是整改的首要任务，因为这些内容相对容易改进，不像系统整改那样需要依赖其他部门的排期。对于系统层面或流程层面的问题，也需要根据重要性和整改难度进行排序，将一些容易改进的问题安排在复评之前完成，而周期较长的问题则安排在复评之后进行。整改过程也采取了敏捷思维，每完成一部分整改就及时提交给评估机构的人员进行确认，如确认无问题则继续推进，如有问题则继续整改。

3、复评

在进入这个阶段后，工作量会减少，主要是做一些补充性工作。因为真正的复评工作在整改阶段是同时进行的。在这个阶段，我们可以讨论一些问题，例如对提供的材料是否符合要求进行沟通，以使报告的符合度更高。

数据风险评估矩阵(脑图)