2021年，《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》等政策法规相继落地实施，给各政企单位日常业务开展、运营、数据合规等提出了新的要求。《数据安全法》明确要求建立全流程数据安全管理制度，建立数据分类分级保护制度、统筹协调有关部门制定重要数据目录，建立风险监测机制、定期开展合规性检查、风险审查、发现数据安全缺陷、漏洞风险时立即采取补救措施等，让数据安全活动真正跨入有法可依的新时代。

　　数据安全合规性检查是对于单位整体及重要业务系统等对象，以合规为依据从数据安全管理制度、数据运营安全、研发环节安全、数据全生命周期安全和个人信息等多个方面开展数据安全检查。

　　通过数据安全合规性检查发现数据安全方面存在的问题，分析评估得出整体数据安全情况，为后续数据安全整改与治理提供支撑。能够更有针对性建设全方位的数据安全体系，保障数据安全机密性、完整性、可用性，在合规性的基础上，确保业务在安全的环境下稳定运行，避免因数据泄露影响单位运行和社会稳定。

　　数据安全合规性检查的流程

　　数据安全合规性检查，依据组织业务所在行业、所属地域等，分析相关数据安全法律法规、政策文件、标准规范等，建立所应遵守的“数据安全合规清单”和解决方法。数据安全合规性检查可以分为前期现状调研、确定检查内容、开展管理检查和技术检查以及总结提升四个阶段进行。

　　① 前期现状调研

　　在进行数据安全合规性检查之前，需要进行充分的现状调研，梳理企业的基本信息、数据情况、整体制度和安全防护情况。

　　现状不明确，会导致数据安全合规性检查工作没有头绪，无法开展。所以在数据安全合规性检查工作开始前，应提前至少2周，进行现状调研，讨论出检查的范围，明确检查对象，并发给相关责任人，摸清现状。

　　（1）梳理企业基本信息

　　了解企业的主要业务范围、业务规模，分析企业对于国家、社会、人民生命财产的重要性。了解是否建立数据安全管理制度和组织机构。

　　（2）梳理企业数据基本信息

　　了解企业数据的类别、重要程度、规模、分布位置、流动路径、责任人，承载数据的系统情况及其网络拓扑、运营维护等情况。

　　（3）梳理企业数据安全防护基本情况

　　了解企业的数据安全管理机制建设情况，初步掌握企业已部署的数据安全防护措施。

　　② 确定检查内容

　　数据安全合规性检查可以按内容分为管理检查项和技术检查项，也可以按照检查方式分为人工检查和工具检查项。也可以根据数据级别分为数据安全通用防护和数据安全分级防护，为不同的数据对象确定不同的检查内容。

　　一定要分清楚哪些是单位通用的，哪些业务系统只是一般数据，哪些系统有存储敏感数据、重要数据和个人信息。通过确定不同的对象的检查内容和检查项，有助于数据安全合规性检查的顺利开展和减少工作量。

　　目前，可以参考《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》、金融行业标准《金融数据安全-数据安全评估规范》《电信和互联网企业网络数据安全合规性评估要点》和《工业数据安全评估指南》等文件，结合单位实际情况，确定合理的数据安全合规性检查内容和检查项。

　　数据安全合规性检查内容结合各主管部门发布的评估指南和单位实际情况分为通用检查项和数据生命周期检查项。通用检查项主体内容为管理性检查，主要由人工进行，对各项管理制度进行检查。数据生命周期检查项主体内容为技术检查项，由人工核查加工具检查共同完成。

　　③ 进行数据安全合规性检查

　　在确定好检查内容后，应迅速成立检查小组，按既定的检查计划，针对不同的检查项进行数据安全合规性检查。

　　对于管理制度和台账文档清单可以人工进行检查，但针对数据生命周期中的数据资产清单、敏感数据识别、异常行为监测、敏感数据泄露、非法越权访问、数据跨境传输、数据非法外联等人工难以检查的内容则应该采用专用工具，通过流量扫描技术、敏感数据识别技术、API接口脆弱性分析技术和终端安全检查技术进行检查，减少人工检查工作量的同时也可以量化检查。

　　对于大部分数据生命周期技术检查项，可以使用开源工具进行扫描、收集和分析数据安全情况，例如Goby进行漏洞和web安全扫描、弱口令工具进行弱口令检测、Wireshark进行流量抓包再人工分析数据是否加密等，但目前各种分散的开源工具都存在无法将检测情况与检查内容相关联的问题。

　　针对数据安全合规性检查无法关联的问题，福建中信网安信息科技有限公司率先推出了数据安全合规性检查工具箱和评估系统产品，能够提供数据安全合规性检查管理和自动检测关联的能力。通过U盘检查终端安全情况，通过工具箱设备检测流量，分析业务系统各环节的数据安全问题，通过便携式笔记本进行人工检查登记，综合进行数据安全合规性检查评估。

　　通过数据安全合规性检查工具箱和评估系统能够有效减少人工检查工作量，提高技术检查能力，并使检查标准化，使主动数据安全监测和常态化数据安全合规性检查变得可能。

　　④ 总结提升

　　数据安全合规性检查不是结束，而是一个开始。

　　在数据安全合规性检查后，应基于对国家法律法规、行业标准、技术的研究，基于企业安全现状，梳理出数据安全的管理需要遵循安全政策，建立科学的数据安全保护制度，解决公司实际存在的安全问题，增强抗击数据安全威胁的能力。结合业务发展规划、数据安全现状和数据安全合规性检查情况，编制数据安全能力提升规划，为数字化转型和业务发展、数据安全建设提供决策依据。

　　检查过程中的要注意以下几点：

　　① 领导责任划分

　　在检查过程中，领导层一定要重视，从全公司层面下发检查和自查任务，确认数据安全领导小组，确认统一协调的人员和业务系统负责人员等数据安全相关人员，讨论和明确任务与责任。不然容易出现责任推脱和人员不理解、不配合的情况。

　　② 前期充分调研

　　前期调研非常重要，如果现状不清楚，系统和数据的没有进行划分和定义，就不知道先做哪些，怎么做。前期调研不充分、毫无头绪是难以有效进行检查的。

　　③ 制度落实问题排查

　　检查过程中会经常发现制度无法落实到位的情况，制度往往只停留在管理人员上，与实际业务与环境脱钩。一定要落实责任，各系统各部门人员要做好宣贯和执行。可以乘着数据安全合规性检查的机会，发现制度落实情况进行查缺补漏，针对无法执行的问题进行调研，收集反馈并对制度进行调整。

　　④ 检查标准统一

　　检查一定要统一标准，针对检查过程中发现的问题，要回头检查，把握好标准和尺度。确认其他系统是不是也存在一样的问题，认定标准是否一致。不然同一个问题，不同认定标准，容易引起非议。

　　⑤ 检查工具的重要性

　　检查如果全靠人工，工作量和工作难度都很大。选择合适检查工具，能够事半功倍。通过数据安全合规性检查评估系统可以做检查流程管理，自动生成报告，能够减少很多检查流程上的问题。通过检查工具箱可以对许多技术检查项进行自动检查评估和关联。

　　最后，分享一下常见的几种数据安全问题

　　通过数据安全合规性检查，会发现很多突出问题是共性的，大家可以针对这些问题进行重点检查和改进。可大致归纳为管理制度问题、研发安全问题、运维安全问题、个人信息保护和数据生命周期安全防护等四大类问题。

　　① 制度不完善

　　制度不完善是最突出的问题。数据安全法与个人信息保护法发布实施接近一年，但是大部分单位都没有及时根据新的法律法规制定或者修改自己的相关安全管理制度，应及时由单位落实数据安全管理责任，根据数据安全法和个人信息保护法，调整完善数据安全管理制度。

　　检查过程，关于管理制度，应该询问管理人员是否熟悉相关制度，数据安全管理部门是否明确数据安全管理制度，落实制度制定和执行情况以及相关台账。

　　② 研发安全

　　研发安全问题总是容易被忽视。在研发环境中，可能存在着大量的真实数据，在对这些数据进行开发利用的过程当中，往往缺少数据安全管理能力，对数据没有脱敏加密，没有防泄漏的手段，代码或真实数据违规上传互联网甚至是开发公司违规设计后门和接口。对研发团队、研发管理制度、代码审查、外包人员管理、代码管理和数据防泄漏等方面应重点检查。

　　③ 运维安全

　　在运维过程中，往往也存在许多数据安全问题。运维人员接触的数据是否是敏感数据，是否涉及到个人信息，权限是否做了细粒度的风格管控，是否有数据防泄漏措施保证运维环节的安全，是否有堡垒机对运维过程做管控，是否有数据库堡垒机能对数据库运维操作进行审计和阻断，这些都需要制度和安全措施共同配合来提升运维安全。

　　④数据的全生命周期安全

　　业务系统中经常存储着敏感数据和个人信息，这些数据在收集、传输、存储、处理、共享和销毁等环节，各项数据安全措施往往是缺失的，例如采集数据不规范，数据传输未加密，存储未加密脱敏，处理数据不合规，共享数据不规范，应销毁数据没有进行回收销毁等问题，都亟待解决。

　　结语

　　针对行业特定的数据安全重点问题，使用人工加自动化工具方式开展数据安全合规性检查，能够有效发现数据安全问题，并通过对相关的问题进行专业分析，为数据安全整体提升起着至关重要的作用。（作者：吴国杰，福建中信网安信息科技有限公司数据安全拓展经理）