對兩部委“關于開展數據安全管理認證工作的公告”的文件解讀與建議

2022年6月9日，國家市場監督管理總局和國家互聯網信息辦公室聯合發布了“關于開展數據安全管理認證工作的公告”（文號為2022年第18號，以下簡稱18號文）。

18號文的發布，在數據安全領域引起了較大反響。本文將對18號文發布的影響和要求進行分析，并基于分析結果為企業組織的數據安全管理體系建設提供可參考的建議。

圖1:18號文公告

18號文發布的背景與影響

隨著《中華人民共和國網絡安全法》、《中華人民共和國數據安全法》、《中華人民共和國個人信息保護法》、《關鍵信息基礎設施安全保護條例》這“三法一條例”的陸續發布，從國家到社會與個人已經逐步形成了加強數據安全保護的態勢。

但是實際工作中，各級組織在積極開展數據安全建設的同時，也遇到了一些典型的問題。其中，數據治理機制、數據分類分級、數據安全防泄露、數據隱私保護、數據資產確權、數據跨境流動等問題引起了廣泛關注。此外，數據安全管理體系的認證也是當前迫切需要解決的重要問題。

對于大部分組織來說，數據安全管理體系建設是一個全新的概念，采用科學的方法論進行建設尤其重要。目前被廣泛采納的方法論有Gartner的數據安全治理框架（DSG）、微軟的DGPC框架、《GB/T 37988-2019 信息安全技術 數據安全能力成熟度模型》、信通院的數據安全建設方法《T/ISC-0011-2021 數據安全治理能力評估方法》等。

在重點行業領域，金融行業主要遵循中國人民銀行提出的《JR/T 0171-2020 個人金融信息保護技術規范》、《JR/T 0197-2020 金融數據安全 數據安全分級指南》和《JR/T 0223-2021金融數據安全 數據生命周期安全規范》；電信和互聯網行業參照的標準是工信部發布的《電信和互聯網企業網絡數據安全合規性評估要點》；健康醫療行業參考的標準是《GB/T 39725-2020信息安全技術 健康醫療數據安全指南》等。

這些數據安全標準規范及良好實踐，雖然從不同角度提出各自的方法，但對于數據安全體系要達到什么程度卻缺乏權威的認證要求。18號文的發布，第一次表明了國家主管部門將加強對數據安全的規范化管理，開展統一的認證工作，并發布《數據安全管理認證實施規則》，以明確對網絡運營者開展網絡數據收集、存儲、使用、加工、傳輸、提供、公開等處理活動進行認證的基本原則和要求。

18號文明確要求參照國家標準《GB/T 41479-2022 信息安全技術 網絡數據處理安全要求》的數據安全管理認證（DSM），這是對基于國內標準數據安全管理認證的重要補充與完善。

18號文的發布單位，是國家市場監督管理總局和國家互聯網信息辦公室。其中，國家市場監督管理總局對國家統一的認證認可和合格評定具有監督管理的職能；而國家互聯網信息辦公室具有統籌協調網絡數據安全和相關監管工作的職能。《中華人民共和國數據安全法》第六條明確規定，“國家網信部門依照本法和有關法律、行政法規的規定，負責統籌協調網絡數據安全和相關監管工作”。因此，該兩大部門發起的數據安全管理認證是具有較強權威性的。

對《數據安全管理實施認證規則》的解讀

18號文明確了數據安全管理認證是按照《數據安全管理認證實施規則》來實施，此規則的制定依據是《中華人民共和國認證認可條例》。而認證認可條例所稱的“認證”是指由認證機構證明產品、服務、管理體系符合相關技術規范、相關技術規范的強制性要求或者標準的合格評定活動。

因此，《數據安全管理認證實施規則》所說的認證應當是針對網絡運營者的數據安全管理體系開展的認證活動，以驗證網絡運營者是否建立了有效的數據安全管理體系來進行網絡數據的收集、存儲、使用、加工、傳輸、提供、公開等處理活動。

圖2：《數據安全管理實施認證規則》主要內容

（一） 認證依據

《數據安全管理認證實施規則》制定的主要依據有：《數據安全法》第十八條——國家促進數據安全檢測評估、認證等服務的發展，支持數據安全檢測評估、認證等專業機構依法開展服務活動；《網絡數據安全管理條例》(征求意見稿) 第三十五條第二款——數據處理者和數據接收方均通過國家網信部門認定的專業機構進行個人信息保護認證；《中華人民共和國認證認可條例》第二條——本條例所稱認證，是指由認證機構證明產品、服務、管理體系符合相關技術規范、相關技術規范的強制性要求或者標準的合格評定活動。

（二） 認證要求

《數據安全管理認證實施規則》中明確了組織開展數據安全認證的依據是將于2022年11月1日實施的《網絡數據處理安全要求 GB/T 41479-2022》；認證適用的范圍是對網絡運營者開展網絡數據收集、存儲、使用、加工、傳輸、提供、公開等處理活動進行認證；認證模式是技術驗證+現場審核+獲證后監督，提出對認證時限和認證證書和認證標志的相關要求；認證過程是認證委托+技術驗證+現場審核+認證結果評價和批準+獲證后監督。

（三） 認證責任

認證機構應依據實施規則的要求細化認證實施程序，制定科學、合理、可操作的認證實施細則并對外公布實施，認證實施時其責任是對現場審核結論、認證結論負責；技術驗證機構應當按照認證方案實施技術驗證，并向認證機構和認證委托人出具技術驗證報告，認證實施時其責任是對技術驗證結論負責；認證委托人應當按認證機構要求提交認證委托資料，并配合認證機構和技術驗證機構的現場審核與驗證工作，其責任是對認證委托資料的真實性、合法性負責。

對《網絡數據處理安全要求》的解讀

18號文明確了數據安全管理認證依據是《網絡數據處理安全要求 GB/T 41479》及相關標準規范的最新版本。

《網絡數據處理安全要求》結合了《中華人民共和國數據安全法》、《中華人民共和國個人信息保護法》、《GB/T 35273-2020個人信息安全規范》等規定，從數據處理安全總體要求、數據處理安全技術要求、數據處理安全管理要求三個方面規定了網絡運營者開展數據處理活動的安全要求，參見下圖：

圖3：《網絡數據處理安全要求》主要內容

（一）數據處理安全總體要求

數據識別--識別數據并形成數據保護目錄，及時更新。

分類分級--按照國家標準、國家規定和業務運營需要，分類分級管理。

風險防控--建立數據安全管理責任和評價考核制度，制定數據安全保護計劃，開展安全風險評估，及時處置安全事件，組織開展教育培訓。

審計追溯--對數據處理的全生存周期進行記錄，確保數據處理可審計、可追溯。

(二)數據應用生命周期過程的數據處理安全技術要求

通用--開展數據處理時應進行影響分析和風險評估，采取必要措施對識別的風險進行控制。

收集--遵循合法、正當、必要的原則，不收集與其提供的服務無直接或無合理關聯的個人信息，不強迫收集個人信息；收集敏感個人信息前應獲取單獨同意。

存儲--存儲重要數據和個人信息不應超過約定期限或授權同意有效期；存儲重要數據和個人信息等敏感網絡數據，應采用加密、訪問控制、安全審計等安全措施。

使用--(1)定向推送及信息合成：提供定向推送信息服務的同時應提供非定向推的選項；在提供新聞、博客類信息服務的過程中，利用算法自動合成文字、圖片、音視頻等信息，應明確告知用戶；(2)第三方應用管理：監督第三方應用運營者加強數據安全管理；通過合同等形式明確雙方的責任和義務；宜對接入或嵌入的第三方應用開展技術檢測。

加工--在開展轉換、匯聚、分析等數據加工活動的過程中，知道或者應知道可能危害國家安全、公共安全、經濟安全和社會穩定的，應立即停止加工活動。

傳輸--傳輸重要數據和敏感個人信息時，應采用加密、脫敏等安全措施；向數據接收方傳輸數據時，應按要求采取安全措施并以合同進行約定。

提供--(1)向他人提供：進行安全影響分析和風險評估；向他人提供個人信息應履行告知義務并獲取同意；委托第三方開展數據處理活動應通過合同等形式明確處理目的、權利義務等相關信息；共享、轉讓重要數據需簽訂合同明確數據保護責任并采取保障措施；(2)數據出境：遵循國家相關規定和相關標準的要求。境內用戶在境內訪問境內網絡的，其流量不應路由至境外。

公開--利用所掌握的數據資源，公開市場預測、統計等信息時，不應危害國家安全、公共安全、經濟安全和社會穩定。

私人信息和可轉發信息的處理方式--即時通信等社交平臺運營者宜為用戶提供發送私人信息和可轉發信息的選項，宜對以私人選項發送的信息不提供轉發功能；宜對以可轉發選項發送的信息或者轉發此類信息的，同時發送信息始發者在該平臺上的賬號名稱，該賬號名稱唯一且不可更改。

個人信息查閱、更正、刪除及用戶賬號注銷--建立渠道和機制，及時響應個人信息主體查閱、復制、更正、刪除其個人信息及注銷賬號的請求，不應對請求設置不合理條件。

投訴、舉報受理處置--建立投訴、舉報受理處置制度。

訪問控制與審計--基于數據分類分級，明確相關人員的訪問權限；對重要數據、個人信息的關鍵操作(例如批量修改、拷貝、刪除、下載等)，設置內部審批和審計流程，并嚴格執行。

數據刪除和匿名化--符合法定情形時要及時履行刪除義務；存儲重要數據和個人信息的介質進行報廢處理時，應采用物理損毀等方式銷毀介質，以確保數據不能被恢復。

(三)數據處理安全管理要求

數據安全責任人--處理重要數據和敏感個人信息的，應明確數據安全責任人，并為其提供必要的資源保障，保證其獨立履行相關職責。

人力資源保障與考核--明確數據安全保護崗位及職責，并提供人力資源保障；建立人力資源考核制度，明確數據安全管理考核指標和問責機制。

事件應急處置--應建立數據安全事件應急響應機制，配備應急響應所需的資源，制定應急演練計劃。

對數據安全管理體系建設的建議

《數據安全管理認證實施規則》要求針對網絡運營者的數據安全管理體系開展認證活動，那么組織首先應當如何建立有效的數據安全管理體系？

我們認為組織的數據安全管理體系建設應在《網絡數據處理安全要求》的基礎上，從數據安全規劃、數據安全治理機制、數據安全生命周期管理、數據安全技術應用、數據安全日常運營五個方面開展組織數據安全管理體系建設，以滿足數據安全合規和保護組織數據安全的要求。

圖4：基于《網絡數據處理安全要求》的數據安全管理體系框架

（一） 數據安全規劃

從數據安全總體策略、數據處理的業務影響分析和風險評估、數據的分類分級、數據保護目錄和數據保護計劃五個方面進行數據安全規劃。

?數據安全總體策略

構建全方位的數據安全體系，保障數據的安全與合規有序流動，在數據全生命周期過程中確保數據不丟失、不泄露、不被篡改、業務永遠在線、可追溯和隱私合規等，已經成為企業當前數字轉型過程中的核心訴求。

企業應建立數據安全總體策略，確保企業的所有數據是合法合規應用、確保安全與發展并重；建立安全可信的數據基礎設施，建設覆蓋數據全生命周期的數據安全體系，從數據安全的治理機制、數據安全防護的關鍵技術、數據安全的合規體系建設等方面來規劃與建設適宜的數據安全體系。

?數據處理的業務影響分析和風險評估

數據處理的業務影響分析和風險評估，可遵循信息安全風險評估的基本原理，基于組織的數據安全策略，從數據全生命周期安全出發，通過對數據資產的重要程度、數據安全管理制度流程的設計和執行情況、數據安全技術工具的有效性等多方面進行信息收集和分析，評估數據處理活動存在的安全風險。

風險評估首先應明確待評估的數據資產范圍，然后基于數據安全相關的法律法規和標準規范設定具體的評估項和評估指標。

《網絡數據處理安全要求》定義的數據，包括重要數據、個人信息和其他數據。重要數據是指一旦泄露可能直接影響國家安全、公共安全、經濟安全和社會穩定的數據，其范圍可參照《中華人民共和國數據安全法》、《網絡數據安全管理條例（征求意見稿）》等相關法律法規，包括未公開的政府信息、數量達到一定規模的基因、地理、礦產信息等。

個人信息是以電子或者其他方式記錄的與已識別或者可以識別自然人有關的各種信息，包括姓名、出生日期、公民身份號碼、個人生物識別信息、住址、通信通訊聯系方式、通信記錄和內容、賬號密碼、財產信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息等。對個人信息處理活動的風險評估，通常稱為影響分析，可參考的標準有《GB/T 39335-2020 信息安全技術 個人信息安全影響評估指南》和《ISO/IEC 29134-2017 信息安全技術 隱私影響評估指南》。

個人信息安全影響評估，是針對個人信息處理活動，檢驗其合法合規程度，判斷其對個人信息主體合法權益造成損害的各種風險，以及評估用于保護個人信息主體的各項措施有效性的過程。

圖5：個人信息安全影響評估的基本原理

其他數據主要是組織的經營管理數據，包括戰略數據、人事數據、財務數據、科研數據、銷售數據等。

普通數據安全的風險評估沒有固定的標準，為了與數據安全管理認證緊密聯系，風險評估的依據可以在滿足《網絡數據處理安全要求》的基礎上結合本行業監管部門的要求，如金融行業可參考《JR/T 0171-2020 個人金融信息保護技術規范》、《JR/T 0223-2021金融數據安全 數據生命周期安全規范》，電信互聯網行業可參考《電信和互聯網企業網絡數據安全合規性評估要點》等。

數據安全風險評估的流程包括評估準備、評估實施、安全分析、報告編制、結果評審等；數據安全風險評估的方法包括問卷調查、人員訪談、文檔查驗、配置核查、工具測試、旁站驗證等。

通過對數據處理活動開展風險評估，可以評價組織自身以及數據處理活動第三方合作機構的數據安全保護能力，為組織建立數據安全保護體系、明確數據安全保護策略和加強第三方合作機構的數據安全管理提供參考。

?數據分類分級

數據分類分級是數據安全治理的基礎，“網絡運營者應按照相關國家標準，根據合同規定和業務運營需要，對所識別的數據進行分類分級管理。”

目前組織可參考或借鑒的數據分類分級的標準，主要有證監會發布的《JR/T 0158-2018 證券期貨業數據分類分級指引》、中國人民銀行發布的《JR/T 0197-2020 金融數據安全 數據安全分級指南》、中國人民銀行發布的《JR/T 0171-2020 個人金融信息保護技術規范》，工業和信息化部辦公廳發布的《工業數據分類分級指南（試行）》，以及全國信息安全標準化技術委員會秘書處發布的《網絡安全標準實踐指南—網絡數據分類分級指引（v1.0-202112）》等。

數據分類分級具有多種視角和維度，組織可在遵循國家和行業數據分類分級要求的基礎上，按照組織經營維度，將個人或組織用戶的數據單獨劃分出來作為用戶數據，其中個人用戶數據，可參考《中華人民共和國個人信息保護法》、《GB/T 35273-2020 信息安全技術 個人信息安全規范》、《JR/T 0171-2020 個人金融信息保護技術規范》等要求進行個人信息的分類分級。

用戶數據之外的其他數據可從業務條線出發，首先對業務細分，然后對數據細分，形成從總到分的樹形邏輯體系結構，最后對分類后的數據從影響對象、影響范圍和影響程度三個方面確定級別，同時考慮確定數據形態。

圖6：數據分類分級的基本流程

組織應制定數據分類分級標準和方法，對數據進行分類分級，并在數據內容發生變化、數據時效性、數據規模、數據應用場景、數據加工處理方式等發生變化等多個場景下對數據進行重新定級。

?數據保護目錄

數據保護目錄，也就是需要保護的數據資產清單。組織應對數據資產進行全面梳理，包括結構化數據和非結構化數據，明確數據資產的級別信息，形成數據資產清單。

圖7：數據資產清單示例

組織也需要對數據資產清單進行維護、管理和定期審核，依據數據分類分級標準，建立數據分類分級保護策略，對數據實施全流程分類分級管理和保護。

?數據安全保護計劃

組織依據數據分類分級的結果和數據保護目錄，制定數據安全保護計劃，采用不同的安全策略和管理流程，以及采用的數據安全保護技術手段，對不同安全等級的數據資產實施差異化管控。

圖8：數據分級保護策略

（二） 數據安全治理機制

從數據安全管理組織與職責、數據安全制度與流程、數據安全評估與考核、數據安全教育與培訓四個方面來建立數據安全治理機制。

?數據安全管理組織與職責

數據安全管理組織的架構，可以參照信息安全管理體系的四層設計，即決策層、管理層、執行層、監督層。

圖9：數據安全管理組織架構示例

決策層，也就是數據安全管理委員會領導小組，由組織的高級管理層構成，總體負責數據安全工作的統籌組織、指導推進和協調落實，明確數據安全管理部門，協調組織內部數據安全管理資源調配；

管理層，即數據安全管理委員會委員，由數據安全管理、信息科技、業務、法務、合規、風險管理、稽核審計、人事等相關部門的主要負責人構成，負責數據安全相關工作的實施、相關政策和制度的制定評審工作，保障數據安全管理工作所需資源，并設立數據安全管理專職崗位，負責日常數據安全管理工作；

執行層，由業務部門、信息系統建設部門、運維部門以及分支機構的員工組成，根據數據安全相關策略和規程，落實本部門或本單位的數據安全防護措施；

監督層，由安全審計、合規稽核、風險管理等部門負責跟進數據安全相關業務的實際情況，確定數據安全審計策略和規范，開展數據安全內部審計，監督數據安全政策、方針的執行，公布投訴、舉報方式，并及時受理數據安全和隱私保護相關的投訴和舉報等。

?數據安全制度與流程

數據安全管理制度體系可分為四層架構，每一層作為上一層的支撐。

第一層是管理總綱，是組織數據安全頂層設計的方針和策略，應明確數據安全治理的目標和重點；

第二層是管理制度，應對數據安全管理活動中的各類管理內容建立安全管理制度，如數據生命周期安全管理、數據分類分級管理、數據安全應急響應、監測預警、合規評估、檢查評價、教育培訓等制度；

第三層是操作流程和規范性文件，是作為制度要求下指導數據安全策略落地的指南，如數據安全分類分級操作指南、數據安全技術防護操作指南、數據安全審計規范等指導性文件；

第四層是流程圖和表單文件，是作為數據安全落地運營過程中產生的執行文件，如數據資產管理清單、數據使用申請審批表、賬號權限申請審批表、數據安全定級流程圖等。

圖10：數據安全管理制度體系框架示例

圖11：個人信息保護制度體系框架示例

?數據安全評價與考核

在人力資源管理方面，明確數據安全管理考核指標和問責機制，對相關人員特別是重要崗位人員的履職情況進行考核。出現數據安全重大事件時，對直接負責的主管人員和其他直接責任人員進行問責。

通過制定數據安全管理組織架構和職責體系，明確數據安全管理組織架構各層級的人員和職責，尤其在特權賬號使用、敏感數據導出、數據訪問、數據共享等環節明確安全責任人；通過合同協議等方式，明確組織及第三方合作機構在數據安全方面的責任和義務。

建立評價與考核指標，如年度數據安全事件的次數、數據安全培訓人員比例及學時等，對數據安全管理工作進行評價和考核。

?數據安全教育與培訓

組織可在三個層面開展數據安全教育培訓，第一，針對高級管理層的培訓；第二，針對數據安全管理團隊的培訓；第三，針對所有員工的培訓。培訓的目的是建立數據安全保護的文件、技能及意識。

圖12：數據安全培訓對象和內容示例

（三） 數據安全生命周期管理

數據安全生命周期管理可以參考本文“三、對《網絡數據處理安全要求》解讀”的相關內容。

（四） 數據安全技術應用

數據安全技術建設不是單一的產品或工具的構建，而是覆蓋數據全生存周期、結合組織自身使用場景的體系建設。應依據組織數據安全建設的方針策略，圍繞數據全生存周期各階段的安全要求，建立與制度流程相配套的技術和工具。

圖13：數據安全治理的技術和工具應用

常見的數據安全技術有：

?數據資產管理系統--數據資產管理系統不僅保存數據資產的信息，通常具有數據發現的功能。在某些行業和特定場景下，可以實現數據的自動分類分級。

?身份認證--身份認證是實現數據安全管理的基礎功能，保障對人員合理授權的管理。

?訪問控制--訪問控制的目的是保證只有授權的人員才能訪問數據，訪問指對數據的增刪改查等操作。

?數據加密--數據加密是指對結構化數據（如數據庫）進行表、行、字段進行加密，和對非結構化數據（如電子文件）進行文檔加密。

?數據防泄露--數據防泄露的產品主要包括終端防泄露、網絡防泄露、郵件防泄露等。

?數據脫敏--數據脫敏的功能是“去敏感化”，主要產品形式有靜態脫敏、動態脫敏等。

?數據備份--數據備份技術包括磁帶備份、數據庫復制、網絡數據傳輸、遠程鏡像等方式。

?安全存儲-- 存儲系統作為數據的保存空間，是數據保護的最后一道防線，安全存儲主要包括存儲安全技術、重復數據刪除技術、數據備份及災難恢復技術等。

?數據銷毀--對磁介質的銷毀，通常采用消磁機；對磁盤等物理介質的銷毀，較多采用粉碎的方式。

?安全審計--實現安全審計的技術/產品主要有數據庫審計和數據防泄露。

（五） 數據安全運營

數據安全管理和技術體系的落地，離不開數據安全運營。首先應當把數據安全納入組織的網絡安全體系中，然后可從數據處理風險監測、數據安全事件管理、數據安全應急管理、數據安全審計等方面來建設運營體系。

?與組織現有安全管理體系的融合

當前國內組織按照國際標準ISO27000開展信息安全管理體系，以及按照國內等級保護規范要求開展網絡安全保障體系的建設已經有多年的實踐經驗和較完整的體系，數據安全管理體系應當是信息安全管理體系或網絡安全保障體系的重要組成部分。因此，組織在進行數據安全管理體系建設時，要確保與現有安全管理體系的融合，并把數據安全管理體系的運營納入到現有的安全體系運營中來。

?對數據處理風險的持續監控與評估

建議通過自動化手段對數據處理的各個環節進行安全風險監測。對于大部分組織來說，可以借助已有的網絡安全管理中心的安全運營平臺（SOC），持續監測數據處理流程和關鍵環節中的安全風險。

圖14：把數據安全運營納入網絡安全運營管理

通過自動化安全運營平臺可以對與敏感數據處理相關的安全設備、主機、終端和系統進行集中管理，以及日志的集中收集和分析，進而對數據安全相關的系統進行安全狀態監控、安全風險評估、故障快速定位、事件關聯分析、事件處置、系統分析報表等；還可以對數據安全相關的安全策略、惡意代碼、補丁升級等事項進行集中管理，具備策略統一下發、流程統一管理和人員及賬戶管理功能；此外，通過建立面向安全策略、安全風險、安全事件的KPI指標，對數據安全運營情況統計分析，對潛在可能發生的數據安全事件與風險進行預測與預警。

?對數據安全事件與應急管理

對組織的數據安全事件進行分類，對產生的數據安全事件進行收集與告警，并安排相關人員及流程進行日常處置；對于發生的重大數據安全事件，啟動應急響應流程，必要時進行事件溯源調查與取證。

?開展針對數據安全的IT審計

由組織的內審部門按照信息系統審計的規范與要求，開展數據安全審計，或者聘請獨立的第三方機構對組織的數據安全管理體系或數據安全控制措施進行IT審計。根據審計結論，管理層可以了解組織當前數據安全管控狀態，促進組織對于重大風險領域與環節及時進行整改。

?開展數據安全管理認證與外部協作

組織按照以上思路與框架建立數據安全體系并運行一段時間后，可以向數據安全管理認證的專業機構提出認證申請，并提交認證委托資料；認證機構審核認證委托申請資料后，如果確定受理，將向申請人提交認證方案，包括數據類型和數量、涉及的數據處理活動范圍、技術驗證機構信息等，并通知認證委托人；認證機構實施現場審核，并向認證委托人出具現場審核報告。對符合認證要求的，頒發認證證書。

組織除了可以申請外部機構的認證服務外，還可以聘請外部咨詢服務機構在準備申請認證之前協助組織建立數據安全管理體系，以快速提升自身的數據安全管理水平，更順利地通過數據安全管理認證。

總結

?18號文的發布，表明國家主管部門對數據安全管理體系正式提出了認證要求，這對于推進國內各類機構加強數據安全建設具有重要的指導作用。

?國內各類機構可以借此政策“東風”，加強自身數據安全管理體系建設，既滿足了監管合規的要求，又能夠通過體系認證過程有效保護組織自身的數據安全。

?通過認證拿到證書只是一個結果，如何達到認證要求并切實提高自身的數據安全管理水平則是需要科學的方法。本文結合數據安全認證的相關依據與標準，描述了組織如何有效建立數據安全管理體系的一些基本方法和良好實踐，希望對有志于開展數據安全管理認證的組織提供一些參考思路。

?細化的數據安全管理認證實施程序和認證實施細則還有待于認證機構的制定與公布，請大家保持關注。有關認證事項要以主管部門及認證機構最終正式發布的政策與相關解釋為準。

作者簡介

張兵，谷安天下數據安全咨詢合伙人，數據安全治理委員會專家，全國金融標準化技術委員會證券分技術委員會專家，《中小銀行數據安全治理研究報告》、《數據防泄露產品選型指南》報告主編，20多年的信息安全、數據安全、個人信息保護、科技風險等咨詢及審計服務經驗，獲得CISA、CDPSE、CISP-DSG、ISO 27701等證書，熟悉銀行業、保險業、證券業、電信互聯網行業、醫療健康行業及大型央企的科技管理與風險應對措施，掌握專業的數據安全建設方法論，并具備豐富的項目實踐經驗。

李欣韋，谷安天下咨詢經理，10多年的信息安全咨詢和信息科技風險審計工作經驗，獲得CISA、CDPSE、CISP-DSG、ISO 27001、ISO 27701等證書，熟悉銀行業、保險業、證券業、大型央企的科技管理風險與應對措施，對數據安全、個人信息保護、科技風險管理等領域均有著較為深入的研究，掌握專業的數據安全建設方法論，并具備豐富的項目實踐經驗。