中国信通院发布《数据安全治理实践指南(1.0)》(附专家解读)
2021年7月14日下午,由中国信息通信研究院(以下简称“中国信通院”)举办的“2021中国互联网大会——数据治理高峰论坛”在北京国家会议中心成功召开。
会上,中国信通院云计算与大数据研究所所长何宝宏发布并解读了《数据安全治理实践指南(1.0)》(以下简称“指南”)。
指南亮点
为了帮助各组织、机构建设和提升数据安全治理能力,中国信通院云计算与大数据研究所联合行业专家编写了《数据安全治理实践指南(1.0)》,指南根据多家企业数据安全治理最佳实践,提炼出了数据安全治理的总体视图,并给出了具体的实践路径。
1、首次从广义、狭义角度对数据安全治理进行定义。
2、首次系统地提出数据安全治理总体视图。
3、创新性地从组织实践角度出发,详述可落地的数据安全治理实践路径。
4、从国家、行业、企业等多个角度入手,围绕数据安全治理的两个核心内容,提出发展建议。
5、收录了联通、蚂蚁、百度、天翼云四家企业的数据安全治理实践方案。
指南目录
一、 数据安全治理概述
(一) 数据安全治理概念内涵
(二) 数据安全治理要点阐释
二、 数据安全治理总体视图
三、 数据安全治理参考框架
(一) 数据安全战略
(二) 数据全生命周期安全
(三) 基础安全
四、 数据安全治理实践路线
(一) 第一步:治理规划
(二) 第二步:治理建设
(三) 第三步:治理运营
(四) 第四步:治理成效评估
五、 数据安全治理未来展望
指南解读
数据安全问题由来已久,尤其在数据上升为新型生产要素后,面临的数据泄露风险和监管要求力度越来越大。然而,当前的行业数据安全治理处于发展初期,企业整体数据安全治理能力参差不齐,提升数据安全治理能力成为数字经济时代的紧迫议题。尤其2021年6月份《中华人民共和国数据安全法》颁布,明确提出要建立健全数据安全治理体系。可以预见,组织和企业数据安全治理体系的建设以及能力的提升必须要提上日程,加快推进。
在这样的背景下,为了给组织和企业开展数据安全治理提供理论和实践指引,中国信通院云计算与大数据研究所联合多家企业编写《数据安全治理实践指南(1.0)》。指南有上图所示的4个亮点。
数据安全治理这一概念被提出以来,对它的定义一直没有统一。本指南认为数据安全治理的定义分为广义和狭义两方面。
从广义的国家层面来看,数据安全治理是国家有关部门、行业组织、科研机构、企业、个人共同参与和实施的一系列活动集合。包括完善相关政策法规,推动政策法规落地,建设与实施标准体系,研发并应用关键技术,培养专业人才等。
从狭义的组织内部来看,数据安全治理是指在组织数据安全战略的指导下,为确保数据处于有效保护和合法利用的状态,多个部门协作实施的一系列活动集合。主要包括组织机构建设、制度流程规划、技术工具构建、人员能力培养等方面的工作。
一是数据安全治理工作是以数据为中心开展的,二是数据安全治理需要多方共治,三是数据安全治理强调发展和安全的平衡。
数据安全治理作为一项系统化工程,我们在指南中提出了数据安全治理的总体视图,包括治理目标,治理参考框架和实践路线三部分内容。其中,数据安全治理的目标是在合规保障和风险管理的前提下,充分利用数据的价值,保障业务的持续健康发展,从而实现安全与发展的双向促进。参考框架主要是依据团体标准《数据安全治理能力评估方法》的内容进行制定。围绕数据安全治理参考框架,可以实践路线分为治理规划、建设、运营、成效评估四个环节。
上图展示了数据安全治理参考框架的主要内容。其中,数据安全战略包括数据安全规划、机构人员管理两项内容,数据全生命周期安全包括数据采集安全在内的九项内容,基础安全包括数据分类分级在内的七项内容。
详细来说,数据安全战略是从组织的顶层规划方面提出要求,为数据安全治理体系的建设定目标、建团队。数据全生命周期安全是以采集、传输、存储、使用、共享、销毁各个环节为切入点,设置相应的管控点和管理流程。基础安全是整个数据安全治理体系建设的通用要求,能够实现建设资源的有效整合。
针对参考框架,指南从实践角度出发,给出了数据安全治理的实践路线。第一步就是要进行治理规划,它是数据安全治理工作能够有条不紊的开展的前提,可以按照现状分析、方案规划、方案论证的环节顺序推进。
明晰的组织体系是保障数据安全工作顺利开展的首要条件,可以参考上图所示内容进行建设。其中,决策层是统筹部门,可以采取“一把手负责制”,管理层是数据安全工作的管理团队,执行层是数据安全工作的具体执行者和参与者,监督层负责对管理层和执行层的工作进行监督,对违规行为予以纠正。
制度流程作为数据安全防护要求、管理策略、操作规程等的集合,一般会从业务数据安全需求、数据安全风险控制需要、法律法规合规性要求等几个方面进行梳理。相关制度文件的制定可以参考上图所示的四个层级。
技术工具作为落实各项安全管理要求的有效手段,是支撑数据安全治理体系建设的能力底座。可以参考上图中的技术框架,完善各项技术工具以及产品平台的功能项,确保数据安全技术能力的具体落实。
数据安全治理离不开相应人员的具体执行,因此,加强对数据安全人才的培养是数据安全治理的应有之义。可以从数据安全意识提升、数据安全能力培训、数据安全能力考核三方面进行培养。
数据安全治理的持续运营,能够打通各环节的建设内容,促进整个体系的良性发展。治理运营分为三个方面,一是风险防范,二是监控预警,三是应急处理。
数据安全治理必定是一个持续性过程,如何评价数据安全治理成效,是组织面临的重要问题。一般来说,可以从内部评估和第三方评估两个维度入手。针对第三方评估,中国信通院云计算与大数据研究所依托互联网协会团体标准《数据安全治理能力评估方法》,推出了首个市场化评估服务,已经完成首批评估,第二批评估工作正在进行,欢迎大家关注。(评估联系人:刘雪花 18500238315 liuxuehua@caict.ac.cn)
作为维护国家安全的战略需要,也是组织重构竞争力的必要手段,未来数据安全治理将从国家、行业、企业三个层面,围绕“行业化”、“场景化”两方面展开,同时也将促进“离散化”治理方式到“体系化”治理模式的转变。