正文

联想数据安全治理体系实践

admin
admin V管理员 /0 评论 /23 阅读
0715
此篇文章发布距今已超过1天,您需要注意文章的内容或图片是否可用!

联想成立数据安全隐私保护委员会,逐步构建智能化数据安全治理体系,解决数据分类分级、数据出境合规和隐私保护难题,提升数据安全治理能力,助力企业数字化转型。该案例入选2024大数据“星河”案例-数据安全赛道。

问题

联想成立数据安全和隐私保护委员会,逐步构建智能化数据安全治理体系,解决数据分类分级、数据出境合规和隐私保护难题,提升数据安全治理能力,助力企业数字化转型。该案例入选2024大数据“星河”案例-数据安全赛道。

挑战

在数据安全与隐私保护领域,联想遇到了以下主要挑战:一是数据分类分级耗时长,传统手动方式成本高且无法动态追踪数据变化;二是数据出境合规难度大,涉及多方主体,政策变化快,缺乏有效内部审查流程;三是隐私保护难度大,生成式AI技术的广泛应用使数据流动更频繁,传统技术难以有效防止数据泄露。

行动

联想通过委员会下的常设组织带动各项专项工作的开展,制定了40余项制度规范、自研智能化技术平台,创设了数据合规专员培养计划,形成多元合规文化体制,构建了高效的数据安全治理体系,强化了跨部门协作、规范了数据管理流程、提升了技术保障能力,并夯实了业务一线的合规执行能力。

效果

联想的数据安全治理体系实现了数据分类分级的自动化与智能化,提升了数据出境合规管理效率,增强了隐私保护能力,有效降低了数据安全风险。该体系助力联想获得MSCI ESG 3A评级,具有重要的示范和推广价值。

01 案例企业

联想集团作为全球领先的科技企业,积极践行AI for All”战略,致力于将人工智能技术深度融入智能设备、数据中心和软件与服务等核心业务领域,深化智能化转型。在这一战略下,联想不仅加速自身业务的智能化升级,还通过智能物联网、智能基础架构和行业智能三大方向,为全球用户提供创新的智能化解决方案。同时,联想高度重视数据安全与隐私保护,将其视为智能化发展的关键,通过建立专业的数据安全治理体系,确保技术创新与数据安全并行发展,为用户打造安全可靠的数智化体验。

02 项目背景

随着数字化转型的加速,数据已成为企业的重要资产。然而,数据的安全性和隐私保护也面临着前所未有的挑战。近年来,数据泄露事件频发,给企业和用户带来了巨大的损失。为了应对这些挑战,联想集团高度重视数据安全与隐私保护工作,于20211230日正式成立联想数据安全和隐私保护委员会,旨在规范和加强数据安全与隐私保护领域的合规性,优化资源配置,推进合规落地。

03 解决方案

联想数据安全与隐私保护委员会通过组织架构优化、制度指引完善、技术平台创新以及人员能力提升等多方面举措,构建了体系化的数据安全治理机制。

1委员会数据安全与隐私保护内部治理体系

(一)组织架构优化

委员会采用3+1”的组织架构,包括3个常设小组(数据安全小组、数据出境合规集体决策小组、隐私保护小组)和1个应急小组。委员会负责人由集团副总裁、中国区总法律顾问担任,得到了集团的高度重视和支持。此外,委员会还通过“数据合规专员”培养计划,培养了100余位来自业务一线的“数据合规专员”,充分发挥业务作为第一道合规防线的作用。 

(二)制度指引完善

委员会围绕数据分类分级、数据出境合规、数据安全围栏等核心内容,制定了近40项制度和指引,覆盖数据安全、隐私保护、AI合规等八大板块。这些制度和指引为数据安全治理提供了明确的规范和流程,确保各项工作有章可循。例如,《联想数据出境合规指引》明确了数据出境的合规流程和风险评估标准;《联想数据安全分类分级规范》为数据分类分级提供了详细的指导和操作指南。

3委员会制度/指引八大板块

(三)技术平台创新

1. 数据分类分级:联想自主研发了线上化数据资产管理工具系统,通过机器学习自然语言处理算法模型和基于规则的正则模型相结合的混合模型,实现了数据分类分级的自动化和智能化。系统支持多种数据库和文件类型的连接和抽样,能够高效识别个人信息和敏感数据。通过自动化扫描和识别,系统能够快速生成数据分类分级报告,极大地提高了工作效率和准确性。

2. 数据出境合规:委员会开发了数据合规审查平台,覆盖数据出境的主要场景,打通了数据出境合规问卷及审核流程,规范了项目、产品、问卷模板等多种数据实体。平台通过权限管控和用户角色设计,确保了业务和法务部门的协同工作,提升了管理效率。通过线上平台的使用,规范了业务和法务部门的上报和审核流程,有效降低管理工作强度,提升管理效率。

5委员会数据出境全量调研流程图

3. 数据安全围栏:针对生成式AI应用中的隐私保护需求,联想研发了数据安全围栏系统。该系统通过实时监测和智能分析,能够快速识别并处理个人身份信息(PII)和敏感个人身份信息(SPII),防止敏感内容被不当访问或传播。系统支持用户自定义隐私保护配置,增强了数据保护的灵活性和针对性。通过多层次的敏感信息检测机制,结合大模型预判、神经网络模型和规则引擎,系统能够有效识别和处理敏感信息,确保数据安全。

委员会通过“数据合规专员”培养计划,为业务一线人员提供了系统的理论知识和实践操作培训,形成了完整的培训体系闭环。通过两年两期的学习,培养了100余位“数据合规专员”,他们深度参与数据分类分级、数据出境合规、数据安全围栏的实际工作,将数据安全与隐私保护理念真正落地。此外,委员会还邀请了理论和实操兼具的外部专家为“数据合规专员”授课,提升理论高度和认知,赋能“数据合规专员”。

7委员会两期“数据合规专员”培养计划

价值与效果

联想数据安全与隐私保护委员会的数据安全治理体系取得了显著的成效:

1. 数据分类分级:实现了从手动到线上化的转变,极大地提高了分类分级的效率和准确性。个人信息识别实现了智能化,提升了数据安全治理的整体水平。通过自动化扫描和识别,系统能够快速生成数据分类分级报告,极大地提高了工作效率和准确性。

2. 数据出境合规:通过全量摸底调研和内部自评估审查流程的建立,联想成功搭建了数据出境合规审查平台,规范了数据出境的合规流程,降低了合规风险。通过线上平台的使用,规范了业务和法务部门的上报和审核流程,有效降低管理工作强度,提升管理效率。

3. 隐私保护数据安全围栏系统在生成式AI场景下实现了隐私保护的智能化,通过实时监测和自动脱敏,有效防止了数据泄露,提升了用户对数据安全的信任度。系统支持用户自定义隐私保护配置,增强了数据保护的灵活性和针对性。

此外,联想的数据安全治理体系还获得了内部管理层和业界的高度认可。202312月,联想集团蝉联MSCI ESG全球最高3A等级评级,其中数据隐私安全保护是表现突出的领域之一。通过这一系列举措,联想提升了自身的数据安全治理能力,具有重要的示范意义和推广价值。

未来展望

经过三年的努力,联想数据安全治理体系已经搭建完成,标志着联想在数据安全与隐私保护方面迈出了坚实的一步。在AI和数据要素市场化的时代,在联想“Smarter AI for All”的战略指引下,联想数据安全与隐私保护委员会将积极应对新一代数据安全治理的挑战,抓住新科技带来的机遇,不断提升数据安全与隐私保护水平。


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒zhousa.om