【AI&数据合规实务笔记 007】数据合规管理体系实务笔记
 原创
 陈秋谷
 陈秋谷
 陈Alan AI与数据合规 
 在小说阅读器读本章
 去阅读
 在小说阅读器中沉浸阅读
 我用飞书建了一个 AI&数据合规实务笔记 知识库，我会把部分内容同步到公众号。更多内容可以去飞书库直接阅读。可复制下方飞书库链接（或点击阅读原文）。飞书库链接：https://gqc5o7fwy2.feishu.cn/wiki/LTkdwjBm6iyjblk5nETcLpYin4f?from=from_copylink本期更新内容为：数据合规管理体系实务笔记，关于数据合规管理体系的学习笔记，相关资料汇总可以去飞书库自取一、什么是数据合规管理体系？合规管理体系：企业在确立和实现合规管理目标的过程中所形成的相互关联或相互作用的方法、机制、工具及相关成果。合规管理体系基本内容包括合规管理组织体系、合规管理制度体系、合规管理运行机制和合规管理保障机制。数据合规管理体系则是企业合规管理体系在数据合规领域的体现tips：数据合规管理体系是数据合规中一个相对较大的概念，也是个人信息保护审计，数据合规管理体系有效性评价的对象二、为什么要有数据合规管理体系？（一）法律法规、监管和公司内部管理的要求数据合规管理体系是法律法规和监管的要求，也是公司内部有效开展管理工作的要求。（二）价值合规自证：在面临监管时，完善且良好运行的数据合规管理体系可以有效降低甚至豁免监管的处罚。增加信用：完善且良好运行的合规管理体系，帮助企业提高信用，获得客户信任，为企业获得商业机会降本增效：提高管理效能、节约管理成本。安全履职：清晰划分企业责任和个人责任，降低、避免个人承担企业责任的风险。三、业界的数据合规管理体系有哪些？（一）综合性/其他领域的合规管理体系国际标准主要标准ISO37301 2021《合规管理体系要求及使用指南》世界银行《诚信合规指南》美国司法部《企业合规程序评估》其他国际标准ISO37001 2016《反贿赂管理体系要求及使用指南》《欧盟两用物项贸易管制内部合规体系指南》《美国工业安全局出口合规指南》国内标准七部委：《企业境外经营合规管理指引》证券业协会：《企业境外经营合规管理指引》国家市场监督管理总局、国家标准化管理委员会《合规管理体系要求及使用指南》中小企业协会:《中小企业合规管理体系有效性评价》中国企业评价协会：《企业合规管理体系有效性评估指引》（二）业界数据合规管理体系主要有以下这些ISO27001ISO27701该两个标准是目前最为公认的数据合规方面的标准，其中ISO27001关注点在信息安全方面，27701则是27001在隐私方面的扩展。T/CITIF 001—2022（中国电子信息行业联合会提出的一个标准）像国内也有类似泰尔实验室（信通院下属）等也有提出类似DSMC（数据安全管理体系）等管理体系四、数据合规管理体系的基本逻辑？ISO27001/27701以及大部分的合规管理体系基本都遵循以下PDCA逻辑，SMART原则开展工作（一）PDCA逻辑目前国内综合合规或者数据合规管理体系的基本也遵循着PDCA逻辑此为 T/CITIF 001—2022《数据合规管理体系 要求》的目录，我们从目录中可以看出该体系基本也遵循PDCA逻辑，也包含了策划、运行、绩效评价、改进这4个环节。在该4个环节外还包含了：组织环境：识别组织的内外部环境，利益相关方及其需求等领导作用：确保企业数据合规管理工作得到管理层的认同，并建立合规文化，明确相应职责权限等支持：确保企业内的有足够的财务和人力资源、制度建设、意识等方面（二）SMART原则SMART具体 (Specific)可测量 (Measurable)可操作 (Achievable)实现 (Realistic)及时 (Timely)合规目标既有战略层面纲领性的目标，也包括操作层面的过程目标纲领目标：基调/方针/声明/政策过程目标：预期成果/任务/关键举措/活动/指标例如，在培训中的SMARTS：培训对象及培训内容包括哪些；M：多少员工应当参加培训，统计培训签到情况；A：谁进行培训，需要哪些设备和资源支持；R：培训要求的完成时间和完成人数是否合理；T：培训最晚于何时完成，是否影响XX项目实现。五、如何建立数据合规管理体系？业界的合规管理标准/指南其关键内容和逻辑基本一致，都是以合规风险管理为核心，以体系化建设为保障。数据合规管理者应当根据公司的风险偏好程度、业务特点、行业、所处国家、发展阶段定制化地搭建公司的数据合规管理体系。一个完整的数据合规管理体系应当包含以下内容：根据我自己的经验，数据合规管理体系的初步搭建从逻辑上可以遵从以下的一个步骤（很多时候也会同步进行）：评估公司数据合规管理情况。对公司数据合规情况的一个完整的评估，并考虑公司所需遵守的国家、地区，所处行业，所需遵守的法律法规，产品和业务形态等等获得管理层支持与资源，搭建组织架构。在完整的评估后，开始获得管理层的支持，并搭建适合组织的数据合规组织架构及其运行机制确立公司基本方针与政策。在搭建数据合规组织架构的过程中，同步制定公司的基本方针和政策针对风险，识别、制定与执行措施，并评估结果。开展风险管理工作，识别组织所存在的风险，制定目标和措施，执行措施，评估结果将数据合规要求嵌入到流程。将相应数据合规要求嵌入到流程当中，开展宣贯、意识培训、能力培训完善平台与支撑。通过信息平台、IT工具、文档管理、对外沟通等方式为数据合规管理体系提供平台与支撑定期审计并持续改进管理体系。六、相关资料汇总可点击阅读原本到飞书库阅读并下载相关资料
 阅读原文