SafePloy安策-数据加密-密钥管理-加密狗软件供应商

产品发布：安策信息资深技术：SafePloy安策数据治理受欢迎度：

安策数据加密保护-个人信息保护工作中遇到的现象

随着数据成为一项重要的资产和生产要素，数据安全变得越来越重要。2021年，中国先后颁布了《数据安全法》和《个人信息保护法》，专门针对数据安全相关法律。与此同时，它还发布了管理措施，并开始制定相关的支持标准。目前，数据安全合规要求已成为最紧迫、最重要、最基本的数据安全工作。

在已发布的相关法律法规中，规定数据处理人员需要对自己使用的数据进行审计合规性审计，包括《个人信息保护法》“第五十四条个人信息处理人应当定期对其处理个人信息的情况进行合规审计。”《网络数据安全管理条例(征求意见稿)》“第五十三条大型互联网平台运营商应当委托第三方审计，每年审查平台数据的安全性…等年度审计，并披露审计结果”，“第五十八条国家应当建立数据安全审计制度。数据处理人应当委托专业的数据安全审计机构定期对其个人信息的处理情况进行合规审计，这些法律法规表明了数据安全合规审计的必要性。

尽管IT审计已经进行了多年，但在个人信息保护合规审计工作中需要从信息安全合规到数据安全合规，准确定位到个人信息处理，在这方面，审计、安全制造商和律师事务所在个人信息保护合规审计工作中发现的问题，正在积极探索如何帮助企业进行全面、彻底的审计工作。本文分析了个人信息保护合规审计工作的现状，结合现有的经验和思考，提出了一些解决方案和建议，希望对开展合规审计工作的企业有所帮助。

现象一：企业对合规要求有不同的理解，审计工作仍处于探索阶段

由于《个人信息保护法》于2021年发布，发布不到一年，司法部门和企业也处于逐步探索阶段。虽然在人脸识别和算法管理等某些领域存在一些共识，但尚未形成全面的司法解释和最佳实践，因此，企业在开展个人信息保护合规工作时，对业务合规判断仍存在一些不确定性。

企业的个人信息合规处于探索阶段，合规审计工作更加困难。当然，审计也是合规工作的一部分。因此，审计工作需要与企业的合规实践同时进行探索，而不是在合规指南明确后开始审计工作。

现象二:很难快速持续地开展合规审计，以支持不同的合规审计要求

根据《数据安全法》，《个人信息保护法》可以看出，个人信息保护的合规审计将是一项正常的工作，可以是自我审计，也可以是监管部门的强制审计。同时，主管部门将根据行业特点和个人信息保护建立更具体、更详细的审计制度，如工业和信息化部发布的《工业和信息化领域数据安全管理办法（试行）》，“第二十七条工业和电信数据处理电信数据处理器应记录数据处理、权限管理、人员操作等日志。在数据的整个生命周期中。日志保留不少于6个月，定期进行安全审计，并形成审计报告，因此，个人信息保护合规审计是一项持续的工作。企业需要充分掌握自己的合规情况，随时准备进行合规审计，而不是每年进行一次性和临时审计。

从个人信息合规工作的角度来看，合规审计是一项复杂的工作，特别是个人精细处理过程的合规审计几乎需要涉及企业内部的所有业务流程。大型企业业务复杂，业务互动，包括企业内外，业务系统是否有足够的证据支持数据处理过程恢复，是否有足够的证据证明收集的个人信息是合法的基础，从目前的情况来看，不是一个积极的答案，因此当前企业审计工作是证据不足、审计工作复杂、审计投资状态。这与审计的需求存在着巨大的冲突，如何从当前的无序、不足的状态到可持续的审计状态是当前个人信息保护合规审计工作的困难。

现象三:难以深入彻底地开展审计工作，全面评价企业合规状况

在保护个人信息合规方面，企业主要需要注意三个方面：基本的安全管理义务，为个人信息主体提供实现个人权利的方式和个人信息处理过程的合规性。这三个方面不仅需要对企业有深入的了解IT审计涉及的组织管理体系、研发流程、系统安全测试，以及一系列深入企业业务流程的业务设计和系统设计，可以实现企业个人信息保护状态的合规审计。这不仅遵循原审计方法，还需要遵循审计工作的原则，根据个人信息保护合规审计的特点，研究新的审计操作模式，实现深入、深入的合规审计工作。