无捆绑,限时免费

截至目前已有326+人申请

关注公众号回复【数网免费版】即可下载安装包

返回



近日,“315”晚会曝光信息黑洞疯狂窃取个人隐私,知情人士表示窃取个人信息的获客公司称每日处理100亿条数据。

图源:央视财经



当前,个人信息收集与利用日益广泛,企业、机构及个人均参与其中,个人信息保护和利用的矛盾不断加剧。从政策层面来看,《中华人民共和国个人信息保护法》《网络数据安全管理条例》等都细化了个人信息保护和审计的具体规定。其中特别明确了个人信息保护合规审计的两种情形:一是个人信息处理者自行开展合规审计。二是按照履行个人信息保护职责的部门要求,委托专业机构开展合规审计。




为了提供系统的合规审计规范,强化个人信息处理的合法合规,国家互联网信息办公室制定出台了《个人信息保护合规审计管理办法》(以下简称《办法》),自2025年5月1日起施行。

 

一、《个人信息保护合规审计管理办法》要点速览


一是明确个人信息处理者自行开展和委托专业机构开展合规审计的条件,合规审计机构的选择和合规审计的频次。

为了避免过重的义务负担,根据个人信息处理者的业务合规能力,处理的个人信息数量、类型等,设置了外部审计和内部审计,有助于对安全风险状况进行全方位、短周期地评估和审查。



其中,专业机构应当具备开展个人信息保护合规审计的能力,有与服务相适应的审计人员、场所、设施和资金等。

二是明确开展合规审计的个人信息处理者应当履行的义务。



三是明确专业机构在合规审计中的义务。

专业机构接受委托开展合规审计,应当公正客观地作出合规审计结论,提出建议,其出具的合规审计报告是履行个人信息保护职责的部门开展监督管理工作的重要参考。



对专业机构的管理,遵循自愿性、市场化的原则,通过认证认可方式对其进行监督管理。具备开展个人信息保护合规审计能力及相应资源的专业机构可以自愿申请相关服务能力认证。



同时,也进一步明确专业机构、审计人员和审计活动的独立客观性。审计活动作为重要环节,为了确保审计结论能够真实反映个人信息处理者的业务合规情况,进而对个人信息处理者提出针对性的审计建议。

四是明确个人信息保护部门对合规审计的监督职责及公众投诉举报权利,并规定违法者的法律责任。


 

二、合规审计实战,数据分类分级与风险评估如何大显身手


《个人信息保护合规审计指引》(以下简称《指引》)为个人信息保护合规审计提供全面指导和规范,设置具体审查事项,指明个人信息保护业务合规的核心内容。个人信息处理者可以通过科学的数据分类分级和安全风险评估,有效提升合规审计的精准度和效率。

个人信息保护合规审计指引》全文▲


一、分类分级

要求个人信息处理者应制定内部管理制度和操作规程,明确组织架构、岗位职责,并保障个人信息处理合规与安全。




数据分类分级能够识别生物识别信息、医疗健康信息等个人敏感信息,根据敏感程度,明确保护重点,有助于采取更严格的安全技术措施,如高级别的加密、去标识化等,以降低其在处理过程中未经授权访问和滥用的风险。

同时,分类分级也是制定个性化应急响应机制、影响评估制度等的基础,能够使相关制度和机制更具针对性和有效性。

二、风险评估

合规审计时,应重点审查个人信息保护内部管理制度和操作规程的多个方面,包括但不限于个人信息保护工作的方针、目标、原则,组织架构与人员配备,分类情况,应急响应机制,影响评估与合规审计制度,投诉举报受理流程等,风险评估在此起到关键作用。



风险评估深度剖析个人信息处理的全生命周期(收集、存储、使用、传输、销毁),识别可能存在的安全隐患与合规风险,根据风险的可能性和影响程度,确定优先级,从而制定针对性的应急预案。




风险评估可以综合考量个人信息的重要性、处理目的、可能带来的影响及安全威胁,结合企业的业务需求和人员职责,制定合理的权限分配方案。确保只有经过授权的人员才能在必要的范围内访问、复制和传输个人信息,减少未经授权的访问和滥用风险,保护个人隐私和数据安全。

 

三、数据安全,安胜有“一套”


当数据要素流通成为数字时代刚需,如何平衡信息利用价值与隐私保护权重,既考验企业技术伦理,更倒逼法律完善与协同治理机制升级,凸显数据安全治理的紧迫性。

安胜在国家顶层法规指引下,以“数据安全”为核心,推出了围绕数据全生命周期并涵盖管理策略防护技术的安全服务体系,协助企业从技术上打通数据孤岛,解决数据开放共享链条上的安全顾虑。从监管者和使用者的角度出发,提供全方位的数据安全咨询、数据安全建设、数据安全运营为一体的数据安全服务解决方案。 



安胜提供包括数据分类分级(“数网”数据资产梳理与数据库扫描系统)数据加密与脱敏(“数盾”数据库加密系统,“数芯”数据动态/静态脱敏系统)、数据访问审计与监控(“数审”数据库审计系统)、数据库防火墙与安全管控(“数御”数据库防火墙系统、“数坝”终端数据泄漏防护系统)、威胁检测与应急响应等相关产品及服务,为企业搭建强大的数据安全体系,有效防范安全威胁和泄露风险。

同时,安胜积极推动智能化、流程化、行业化的数据安全场景落地,提供涵盖数据安全顶层规划、分类分级、风险评估、跨境评估等20多项的安全服务能力,保障全链路全场景的数据安全。

数据分类分级服务
安胜的数据安全分类分级服务,面向组织数据和个人信息,对数据资产进行发现与梳理。从业务角度出发,对企业数据进行分类分级标识并形成数据分类分级目录,最后对数据目录进行审核、上报备案,并且动态更新管理。

服务流程是基于国标GB/T 43697-2024《数据安全技术数据分类分级规则》的分类分级实施步骤。



其中,安胜推出的“数网”数据资产梳理与数据库扫描系统,一款用于帮助数据资产管理者全面掌握数据资产分布、构建数据资产类目、洞悉数据资产风险的系统,可有效协助企事业单位满足数据分类分级管理的合规要求,同时优化和提升数据资产的管理和使用规范。目前,公司已推出“数网”数据资产梳理与数据库扫描系统的免费版——“数网”数据分类分级工具,欢迎体验!

数据安全风险评估服务
安胜的数据安全风险自评估服务,依据国家、行业数据安全风险评估要求,结合企业数据安全现状,围绕数据和数据处理活动,聚焦可能影响数据安全风险,评估数据安全全生命周期的各项指标,对评估的问题进行分析,提出数据安全管理和技术防护措施建议。



部分内容参考自:国家网信办网站

分享文章
上一篇:媒体点赞!AI加速产品创新升级,星盾实战能力“持续在线”
下一篇:人气爆棚背后的安全隐患?大模型应用遍地开花,全生命周期安全挑战也不容小觑!