由数据安全推进计划发起,全知科技深度参编的行业研究成果《汽车数据安全若干问题合规实践指南》已于日前正式发布。
全知科技数据安全咨询专家-宫昊针对汽车数据安全合规问题,从技术层面和管理层面深度剖析,为车企带来一些汽车数据安全合规体系建设的相关思考和建议。
1、《指南》相关解读
2、汽车数据安全风险评估思路分享
3、汽车数据安全体系建设思路分享
4、全知科技数据咨询服务落地实践
而对于评估内容和评估方法来说就大有不同。对于数据风险评估来说,其最终的落脚点是数据,因此车企在做风险评估之前需要知道数据在哪,怎么找到数据以及找到和数据相关联的风险。
在车联网的业务场景里,无论是汽车端、设备端、用户端还是后端数据库,数据分散在各个端口,面临的数据风险无处不在 。如何快速找到落脚点的数据?以下3种风险评估思路可以参考。
以数据级别为单位,以数据分级为基础,企业需要关注不同级别的数据在内部的分布情况及相关风险
以数据类别为单位,关注企业内部销售数据、财务数据、运营数据等不同分类数据的分布情况及其关联风险
针对汽车行业的风险评估内容,主要包括“数据生命周期”及“基础安全”两方面。数据生命周期安全是包括数据从采集、存储到销毁的整个全生命周期各个阶段安全;而基础安全则是数据治理工作的基础保障,涵盖范围广泛,包括“数据分类分级”、“权限管理"、“合作方管理”等6个模块。
风险评估流程上是一致的,在评估方法和内容方面有差别。车联网的数据及数据处理活动更复杂,核心服务于车;车企和其他企业不同,上下游产业链多,包括通信、云平台、外部生态等等,所以第一难点就是要理清数据处理情况,这个是要比其他行业花更多的心思。
首先要参考《网络安全法》、《数据安全法》、《个人信息保护法》等上位法,这些上位法对数据安全、个人信息保护等问题做了顶层规定;同时,作为上位法的有效承接,《汽车数据安全管理若干规定(试行)》)也需要重点参考,其次就是行业内的一些团标,比如《汽车传输视频及图像脱敏技术要求与方法》。
这个需要根据不同企业的不同情况,分不同阶段建设。最核心的就是要以评促建,首先要摸清楚企业自己的实际情况,如现实风险有哪些,企业可以做多大的投入;把数据、数据处理活动、业务系统、核心人员等梳理清楚,以风险为导向做建设。
两者其实是不冲突的。企业可以根据自己的实际人员投入,边做分类分级,边进行风险评估;当然也可以先做好数据的分类分级,再以此为基础做数据安全风险评估。