在上一篇文章中，小编为您详细介绍了关于《来自企服投资人对ToB企业的评估逻辑》相关知识。本篇中小编将再为您讲解标题【安永观察】数据治理鉴证机制：大数据时代建立企业间数据互信。

原标题：【安永观察】数据治理鉴证机制：大数据时代建立企业间数据互信

背景

全球协作日益紧密，经济全球化与数字化使得数据分享传输成为一种必然趋势。然而，在数字经济快速发展的过程中，网络安全事件、数据安全事件不断发生，使得各个司法管辖区不得不给予高度重视，通过制定和推行个人隐私、重要数据、跨境数据传输等方面的数据保护条例和管理办法加强数据安全方面的监管。

另外，许多机构担心擅自共享传输及使用数据会触犯监管和法律底线，同时数据处理不当可能会给自身带来声誉风险和业务风险，因此，在驾驭大数据、提供创新数字服务层面难以付诸实际行动。

应用数据治理鉴证机制的场景设想

越来越多企业呼吁增强数据安全管控，打破数据壁垒，促进企业间协作，为数据流动提供合法合规的渠道。数据治理鉴证机制，是大数据时代建立企业间数据互信，促进企业间数据共享、数据流动的解决方案之一。

数据治理鉴证机制，即是由独立的第三方遵照同一套数据治理评估标准和报告框架体系，对企业的数据治理进行独立评估，出具第三方鉴证报告证明企业在数据治理和保护方面的能力，并于鉴证报告中给予客观充分的评价和呈现。

数据治理鉴证机制可以运用的场景如下：

1. 数据共享传输

在数据共享的安排下，产生了很多不同的角色，数据提供方产生或收集数据并提供数据，数据使用方通过数据分享传输获取并应用数据，平台管理方建设、管理和运营数据共享平台，服务提供方提供系统数据存储、数据分析处理等服务。当这些职能处于同一公司内部时, 所有职能均应当遵守统一的安全管理和技术要求。然而，当由不同的企业扮演上述角色时，数据共享传输的安全性就受到了挑战。

数据治理评估标准，明确了数据安全保护的问责制度以及管理和技术上的控制要求，为鉴证数据接收方，无论是数据使用方、平台管理方还是服务提供方的安全保护能力提出统一的、明确的、可执行的标准。拟接收数据的企业可以通过第三方鉴证确保满足统一的安全管理和技术要求，进而根据不同场景下的业务需要，进行数据共享传输。

2. 数据跨境

数据治理鉴证机制也可以运用于数据跨境的场景，假设采用数据治理独立评估机制，无论数据接收方是中国境内企业的境外分、子公司，还是境外的其他服务提供商，如境外数据中心或位于境外的云服务提供商等，均依照数据治理评估标准进行第三方鉴证，获取其数据安全保护控制的设计有效性及控制有效性的相关鉴证报告，经过有关主管部门批复数据发送方的数据跨境传输申请数据后，即可以顺畅地接收来自中国境内的有关数据，不必再针对每次数据传输进行安全评估，从而简化了数据接收方的合规流程，减少了合规成本，增进数据发送方对数据接收方的信任，有利于提升双方在充分互信的前提下，利用大数据开展跨境数字业务合作。

数据治理鉴证评估标准

日前，安永咨询服务作为香港大数据治理公会成员，参与制定了数据治理评估标准，其第一版已于2019年8月5日正式发布于香港大数据治理公会网站。

数据治理评估标准数据参考领先的国际标准和实践、监管要求，以及相关管辖区的标准和指南，包括ISO27001/27002系列、AICPA SOC Trust Services Criteria、CSA Cloud Control Matrix、BSI- Cloud Computing Compliance Controls Catalogue，以及《信息安全技术数据出境安全评估指南（草案）》《个人信息出境安全评估办法（征求意见稿）》《信息安全技术-数据安全能力成熟度模型》《信息安全技术-信息系统安全等级保护测评要求》，旨在为实施和证明有效的数据治理提供指导。

数据治理评估标准包含14个控制领域共64个控制目标（控制点），旨在为评价数据接收方的安全保护能力提出一个统一、明确的、可执行的标准。

14个控制领域中，资产管理，数据加密和密钥管理，网络和通信安全管理，身份和访问管理，数据处理和数据交换安全，以及监控、记录和审计这6个领域是与数据直接相关的、在数据生命周期的各个阶段（数据的创建/采集、储存、使用、传输、处理及销毁）应具备的控制领域；除此之外的8个控制领域，包括政策和程序、人员管理、合规管理、物理及环境安全、运营管理、安全事件应急管理、业务连续性管理及服务提供商管理，为一般通用的控制领域。数据治理评估标准包括14个控制域相应的目标描述如下：

数据治理鉴证应用举例

在数据共享传输的安排之下，企业最常见的一个问题就是数据由发送方传输给接收方后，是否会进一步离开数据接收方的控制。因应这种可能性，如何进行鉴证？

针对这个问题，数据治理评估标准从数据传输计划、数据供应链管理（即数据传输上下游的责任和义务的合同约束）、对数据泄漏保护及日志监控等方面给予了解答。根据数据治理评估标准的控制要求，数据治理鉴证的关注点包括：

► 验证数据接收方是否定期维护和更新完整的资产清单，除了包括企业拥有的数据，还包括其由数据发送方获取后接收方作为数据控制者或者数据处理者所控制、所处理的数据。

► 验证数据接收方是否根据法律限制、合同限制、数据类型、价值、地理位置、未经授权的披露/修改的敏感性和对机构的重要性对资产进行分类分级，对其接收的数据进行标签/标识。

► 验证数据接收方是否与数据发送方制定了数据传输计划，涵盖数据性质、数量和传输频率。

► 验证数据接收方是否与数据发送方订立了正式的合同条款，明确了数据使用目的、数据传输方式、保存期限、处置方式、保密要求以及数据供应链管理过程中的其他安全责任和义务。

► 验证数据接收方是否根据订立的合同条款就接收数据后，数据存放在哪里，保存多久，处置方式（如仅存放或涉及数据处理、数据处理的程度），保密要求等方面做出实质性的安排。

► 验证数据接收方是否启用了数据日志，对其接收的数据在数据生命周期的每个阶段都执行了监控和检查，以防止未经授权的数据访问、滥用和数据泄漏。

► 验证数据接收方是否根据数据分级对所接收的境内数据进行标签/标识，通过实施技术和工具来监控和报告未经授权的数据传输及外泄。检查的重点包括完整性（是否所有所接收的境内数据已标签/标识并受到监控）和有效性（数据尝试离开机构本身或机构的控制范围时是否被有效地阻止和监控）。

► 验证数据接收方的所有相关日志是否受到保护，以及验证数据接收方的数据传输日志保留时间是否符合相关要求。

数据治理鉴证报告框架体系和鉴证流程

根据大数据治理公会数据治理评估标准，数据治理鉴证使用国际审计与鉴证准则理事会（IAASB）于2013年12月9日更新并发布的《国际鉴证业务准则第3000号（修订版）——除历史财务信息审核或复核之外的鉴证业务》（ISAE 3000）。

《ISAE第3000号（修订版）》涵盖了各种鉴证业务，从内控有效性报告鉴证到可持续发展报告鉴证以及未来可能开展的综合报告鉴证业务。在ISAE 3000的报告框架下，允许使用适当的特定主体标准，例如数据治理评估标准。根据ISAE 3000的要求，数据治理评估标准具有合适性，即满足相关性、完整性、可靠性、中立性和可理解性，以及可获得性，即报告使用者可以通过公开途径或者在特定主体信息或鉴证报告中获得。

鉴证机构作为独立于企业的第三方评估方，鉴于特定主体标准的技术性和专业性，除了国际鉴证业务准则（ISAE 3000）对于第三方评估方资质的一般要求之外，第三方评估人员还应有三年以上的相关经验及信息系统审计方面的专业认证，如CISA、CISM、CRISC、IS027001 LA等。数据治理鉴证遵照一般的鉴证业务流程如下：

► 企业聘请鉴证机构进行数据安全管理及控制鉴证。

► 企业与鉴证机构确认评估范围，制定数据治理和数据安全保护控制描述，并提供管理层申明。

► 鉴证机构采用国际鉴证业务准则（ISAE 3000）, 根据数据治理评估标准对企业进行数据安全控制设计有效性及实施有效性评估，最终出具鉴证报告。

► 为了表明企业数据安全管理控制的持续有效性，相关鉴证报告应当每年出具一次。

总结

数据治理鉴证机制是大数据时代建立企业间数据互信，促进企业间数据流动、数据共享，推动数字经济的助力器之一。通过对标数据治理评估标准，企业增强了数据治理水平，提高了数据安全管控能力，降低了合规风险。通过第三方鉴证，处于数据供应链的各个环节的企业其数据治理和保护方面的能力均在鉴证报告中获得客观充分的评价和呈现，有利于消除潜在合作方的疑虑，提升数据共享传输双方的企业互信，促进企业利用大数据开展数字业务合作，共享大数据经济带来的优势。

欲了解更多业务详情，欢迎联系我们：

游戏网

编后语：关于《【安永观察】数据治理鉴证机制：大数据时代建立企业间数据互信》关于知识就介绍到这里，希望本站内容能让您有所收获，如有疑问可跟帖留言，值班小编第一时间回复。 下一篇内容是有关《【深度】被谷歌封杀跌入谷底，猎豹移动如何自救？》，感兴趣的同学可以点击进去看看。