近年来,随着5G、大数据、人工智能、车联网、工业互联网等新技术新业务新模式快速发展,智能网联汽车产业得到了蓬勃发展。在迅猛发展的同时,辅助驾驶、远程泊车、语音交互等智能化功能在带给用户全新驾乘体验的同时,也产生了海量的信息,这些信息容易被相关企业在后台收集、共享和使用,对用户的个人隐私带来一定风险,造成数据安全问题。

面临的主要问题和挑战

(1)车联网数据的多样性给数据安全合规带来巨大挑战

汽车产业链长,涉及环节众多。并且与汽车相关的新兴技术和产业不断涌现,车联网数据急剧增长,不仅数量庞大,且种类多样,承载形式众多。不同类型的数据对应不同的分类分级要求,不同场景的使用也对应着不同的数据处理模式,在满足合规要求方面需要采取不同措施来实现。

(2)车联网数据的动态变化性给数据安全合规要求带来挑战

车联网数据始终处于动态变化之中,如新车型研发发布、新车主用户增长、业务系统版本迭代、车辆行驶动向等都会产生大量的新增数据。这就要求数据安全治理必须进行持续的跟踪和运营,及时对这些新增或衍生的数据进行分级,并对其进行风险评估和管控,确保始终纳入安全合规管理范围。

(3)车联网数据安全需要探索新的安全合规思路和手段

作为新兴产业,车联网行业与传统制造业有着不同的产业特点。相应的安全合规监管要求也有很大差异。因此不能沿用照搬传统的安全合规思路以及传统的安全手段,需要根据国家颁发的各项汽车数据安全合规要求,积极探索适合车联网行业的安全合规思路以及配套的技术手段,以满足数据安全合规要求。

应对思路和解决方案

(1)应对思路

自公司创建以来,寰福科技始终将数据安全摆在工作核心位置。以体系建设的思路推进信息安全和隐私合规工作,对标国内外数据安全保护标准及要求。从组织、制度、技术、流程、管理等方面入手,设置信息安全和合规管理组织,制定完备的规章制度和标准规范,建立可靠的安全防护体系,优化信息安全与合规管控流程,强化安全管理,提高员工安全意识,构建完善的数据安全合规体系。

(2)解决方案

寰福科技按照ISO27001&27701体系建设要求,成立了信息安全和隐私合规领导小组和工作小组。CTO担任组长,各业务部门负责人和技术骨干担任组员,负责公司所有信息安全和隐私合规工作的组织、指挥和管理、协调。这两个组织机构的成立,为公司数据安全保护工作的开展提供了有力的组织保证。同时,创建了合规中心(平台),对系统接入、数据使用、数据采集/存储、数据共享等方面进行集中管理,覆盖所有业务部门及其数据全生命周期。

在制度建设上,寰福科技严格遵循《网络安全法》《数据安全法》《个人信息保护法》等国家法规,落实《关于加强车联网网络安全和数据安全工作的通知》。按照《车联网(智能网联汽车) 网络安全标准体系建设指南》,大力推进公司数据安全保护方面的制度建设,先后制定发布了《信息安全和隐私合规管理章程》《数据安全管理规范》《车联网-网络与信息系统应急预案》《数据跨境管理规范》《个人数据安全事件应对管理规范》《数据主体权利实现保障管理规范》《个人信息对外提供管理规范》《个人数据保护风险评估管理规范》等一系列数据安全方面的规章制度,为数据安全保护工作提供了制度保障、法规遵循和实操依据。

在安全技术上,寰福科技构建了较为完备的安全防护体系,配置了WAF、云主机安全系统、黑/白/灰盒检测工具、防病毒软件、数据脱敏产品、防数据泄露DLP产品、上网行为管理系统、开源软件安全检测工具、CA证书服务器、堡垒机、VPN等安全产品,覆盖业务办公、业务开发、车机通信、数据存储、数据传输等各环节,对业务系统和数据实施有效保护。基于车联网业务特性,公司将主要服务器和重要业务数据部署在阿里云,依据阿里云强大的安全防护和数据管理能力,对业务数据进行安全管理。同时,对标国内外数据安全管理标准要求,建立数据资产管理台账,并制定完善了个人信息保护基线要求,对所有业务数据进行分类分级管理,对个人信息进行严格保护。基于国际国内对于数据跨境出境的严格要求,为了保证海外分公司的业务正常运行,创新性地设计并搭建了“安全屋”,解决了国内人员对境外运营数据开展远程运维的难题。

在流程管理上,建立了一整套较为完备的行政及业务审批流程,包括盖章及资料申请流程、合同审批流程、IT办公资源申请流程、IT服务器资源申请流程、密级文件外发申请流程,等等。通过以上流程,对业务资产及数据实施有效管控,确保业务数据安全。

在安全管理上,加强业务办公、机房等重点区域的安全管理,全程不间断实施视频监控,人员进出统一使用门禁卡,外来人员一律通过访客系统进行登记。信息安全员每日对办公终端、文印室、会议室进行巡查,及时发现和清除各类安全隐患。同时,定期组织开展各类安全意识培训,比如新员工入职安全培训、全员信息安全意识培训、钓鱼邮件防范的培训及考核,等等,切实让各项制度在末端落地,帮助员工增强安全意识。此外,积极构建企业安全文化,充分发挥媒体平台优势,在企业微信中建立“网络安全文化”公众号,每周定期推送信息安全合规类文章或视频,帮助员工提高安全防范能力。

声明:本文来自数据安全推进计划,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。