“CDP涉及的敏感数据应在这几天进行审查,并应按照公司的数据安全规定进行统一处理。”
“……怎么点?”
《个人信息保护法》(简称PIPL)施行已近两年时间。 在国家法律法规和行业标准的要求下,越来越多的企业开始致力于数据安全合规工作。 围绕个人信息保护,企业日益规范隐私条款、同意追踪、数据处理协议等采集终端的管控。
然而,当涉及到数据应用层时,许多实施问题仍然困扰着企业,例如:
“我们使用的CDP(客户数据平台)已经具备权限控制功能,拥有多项安全资质,但集团数据安全部门仍然表示不符合合规监管要求。”
“UBA(用户行为分析工具)肯定有很多用户数据,原因我明白,但是哪些需要特殊处理,如何生成报告供审计?”
随着数字化转型的深入,越来越多的数据应用被企业购买或自建,但单独设置安全规则、定制开发安全合规功能是不现实的。
为了帮助企业有效落实各类应用的安全合规,实现企业数据资产安全的统一管理,奇点云数据安全引擎从R2.0开始正式支持CDP、UBA等各类数据应用产品的对接,为企业提供全面的一站式数据安全能力,从而支持全球数据满足PIPL、数据安全法等安全合规要求。
本文将通过两个案例实践来讲解如何在数据应用的典型场景中为数据安全合规保驾护航。
案例一:满足全集团统一的数据安全管理需求
CDP中存储了大量的用户信息,其中通常包含个人身份信息(PII,即可以识别特定个人的信息)的数据字段。 CDP的日常使用中也涉及到PII信息的处理和使用。 而PII数据正是企业需要关注的重要敏感数据。
根据PIPL等法律法规要求,对PII数据进行分类管理,采取加密、去标识化等相应安全技术措施,并制定操作流程,确定企业员工的操作权限。
本案例的客户是一家国际时尚集团,该集团几年前就成立了数据安全团队。 安全团队借鉴海外总部的管理经验,为整个集团设计了详细的数据安全管理规范。 当需要实施数字化运营部门常用的CDP时,企业采用:
敏感数据发现:通过配置姓名、手机号码、身份证等敏感数据识别规则,定期识别CDP中的敏感数据。
数据分级分类:根据PIPL等安全法律法规,内置开箱即用的分类分级标准模板。 基于该模板,安全团队高效完成了CDP中敏感数据的分类分级,并自动生成全景图,了解敏感数据所在位置。
数据动态脱敏:为CDP中的敏感数据配置动态脱敏规则。 当企业用户在CDP中查询或下载敏感数据时,将自动显示脱敏结果,降低数据泄露风险。
图:敏感数据识别与管理步骤
对于用户相关数据,集团数据安全团队在.net中配置了一套完整的分类和识别规则。 因此,不仅是CDP,其他涉及个人信息的数据应用也遵循集团一贯的数据安全政策并进行统一管理。
案例2:满足行业监管合规要求
除了《个人信息保护法》、《数据安全法》等国家法律法规外,金融、汽车等行业也根据各自业务特点推出了更有针对性、更实用的数据安全管理措施。
本案例为某大型汽车企业集团。 根据《汽车数据安全管理若干规定(试行)》等要求,企业必须定期报告数据安全管理情况。 其中,还包括企业购买的数据分析工具涉及的敏感个人信息和重要数据。
为明确汽车应用相关用户数据的管理,集团数据安全部门将对接UBA,根据数据分类分级标准配置L1至L5的数据级别以及敏感数据类别。 根据预设的敏感数据识别规则,该小组定期对UBA中的数据进行全量扫描和安全标记,并生成扫描报告供审计。
图:分析云版-风险详情下载功能
对于大多数业务与用户密切相关的企业来说,数据安全合规工作最重要的任务是确保敏感数据(特别是用户的个人信息数据)能够被识别和相应处理,并能够被安全审计。
奇点云数据安全引擎提供敏感数据自动发现、数据脱敏加密、权限管理、风险识别与监控、数据审计等五大核心功能,协助客户完成全局数据全生命周期的安全管控,从而保证数据资产的安全保密性、完整性、可用性。
图:架构
从集团管理层来说,企业的数据安全部门可以利用它对全局数据(包括大数据平台和数据应用)采取一致的数据安全策略和流程应用,授予用户相应应用的安全角色、配置安全能力,建立全局从数据安全角度来看,提高了合规管控的效率。
它还针对特定的数据应用不断优化。 以分析云的增长分析产品(UBA)为例,它已经具备了发现UEI模型中表级敏感数据的能力。 企业用户可以在UBA的Event、User、Item三张表中对存在安全风险的敏感信息进行统一管理,并可以下载风险明细,更精细地满足审计需求。
广告声明:文章中包含的外部跳转链接(包括但不限于超链接、二维码、密码等)用于传达更多信息,节省选择时间。 结果仅供参考。 IT之家的所有文章均包含此声明。
