中國信通院發布《數據安全治理實踐指南（1.0）》（附專家解讀）

2021年7月14日下午，由中國信息通信研究院（以下簡稱“中國信通院”）舉辦的“2021中國互聯網大會——數據治理高峰論壇”在北京國家會議中心成功召開。

會上，中國信通院云計算與大數據研究所所長何寶宏發布并解讀了《數據安全治理實踐指南（1.0）》（以下簡稱“指南”）。

指南亮點

為了幫助各組織、機構建設和提升數據安全治理能力，中國信通院云計算與大數據研究所聯合行業專家編寫了《數據安全治理實踐指南（1.0）》，指南根據多家企業數據安全治理最佳實踐，提煉出了數據安全治理的總體視圖，并給出了具體的實踐路徑。

1、首次從廣義、狹義角度對數據安全治理進行定義。

2、首次系統地提出數據安全治理總體視圖。

3、創新性地從組織實踐角度出發，詳述可落地的數據安全治理實踐路徑。

4、從國家、行業、企業等多個角度入手，圍繞數據安全治理的兩個核心內容，提出發展建議。

5、收錄了聯通、螞蟻、百度、天翼云四家企業的數據安全治理實踐方案。

指南目錄

一、 數據安全治理概述

(一) 數據安全治理概念內涵

(二) 數據安全治理要點闡釋

二、 數據安全治理總體視圖

三、 數據安全治理參考框架

(一) 數據安全戰略

(二) 數據全生命周期安全

(三) 基礎安全

四、 數據安全治理實踐路線

(一) 第一步：治理規劃

(二) 第二步：治理建設

(三) 第三步：治理運營

(四) 第四步：治理成效評估

五、 數據安全治理未來展望

指南解讀

數據安全問題由來已久，尤其在數據上升為新型生產要素后，面臨的數據泄露風險和監管要求力度越來越大。然而，當前的行業數據安全治理處于發展初期，企業整體數據安全治理能力參差不齊，提升數據安全治理能力成為數字經濟時代的緊迫議題。尤其2021年6月份《中華人民共和國數據安全法》頒布，明確提出要建立健全數據安全治理體系。可以預見，組織和企業數據安全治理體系的建設以及能力的提升必須要提上日程，加快推進。

在這樣的背景下，為了給組織和企業開展數據安全治理提供理論和實踐指引，中國信通院云計算與大數據研究所聯合多家企業編寫《數據安全治理實踐指南（1.0）》。指南有上圖所示的4個亮點。

數據安全治理這一概念被提出以來，對它的定義一直沒有統一。本指南認為數據安全治理的定義分為廣義和狹義兩方面。

從廣義的國家層面來看，數據安全治理是國家有關部門、行業組織、科研機構、企業、個人共同參與和實施的一系列活動集合。包括完善相關政策法規，推動政策法規落地，建設與實施標準體系，研發并應用關鍵技術，培養專業人才等。

從狹義的組織內部來看，數據安全治理是指在組織數據安全戰略的指導下，為確保數據處于有效保護和合法利用的狀態，多個部門協作實施的一系列活動集合。主要包括組織機構建設、制度流程規劃、技術工具構建、人員能力培養等方面的工作。

一是數據安全治理工作是以數據為中心開展的，二是數據安全治理需要多方共治，三是數據安全治理強調發展和安全的平衡。

數據安全治理作為一項系統化工程，我們在指南中提出了數據安全治理的總體視圖，包括治理目標，治理參考框架和實踐路線三部分內容。其中，數據安全治理的目標是在合規保障和風險管理的前提下，充分利用數據的價值，保障業務的持續健康發展，從而實現安全與發展的雙向促進。參考框架主要是依據團體標準《數據安全治理能力評估方法》的內容進行制定。圍繞數據安全治理參考框架，可以實踐路線分為治理規劃、建設、運營、成效評估四個環節。

上圖展示了數據安全治理參考框架的主要內容。其中，數據安全戰略包括數據安全規劃、機構人員管理兩項內容，數據全生命周期安全包括數據采集安全在內的九項內容，基礎安全包括數據分類分級在內的七項內容。

詳細來說，數據安全戰略是從組織的頂層規劃方面提出要求，為數據安全治理體系的建設定目標、建團隊。數據全生命周期安全是以采集、傳輸、存儲、使用、共享、銷毀各個環節為切入點，設置相應的管控點和管理流程。基礎安全是整個數據安全治理體系建設的通用要求，能夠實現建設資源的有效整合。

針對參考框架，指南從實踐角度出發，給出了數據安全治理的實踐路線。第一步就是要進行治理規劃，它是數據安全治理工作能夠有條不紊的開展的前提，可以按照現狀分析、方案規劃、方案論證的環節順序推進。

明晰的組織體系是保障數據安全工作順利開展的首要條件，可以參考上圖所示內容進行建設。其中，決策層是統籌部門，可以采取“一把手負責制”，管理層是數據安全工作的管理團隊，執行層是數據安全工作的具體執行者和參與者，監督層負責對管理層和執行層的工作進行監督，對違規行為予以糾正。

制度流程作為數據安全防護要求、管理策略、操作規程等的集合，一般會從業務數據安全需求、數據安全風險控制需要、法律法規合規性要求等幾個方面進行梳理。相關制度文件的制定可以參考上圖所示的四個層級。

技術工具作為落實各項安全管理要求的有效手段，是支撐數據安全治理體系建設的能力底座。可以參考上圖中的技術框架，完善各項技術工具以及產品平臺的功能項，確保數據安全技術能力的具體落實。

數據安全治理離不開相應人員的具體執行，因此，加強對數據安全人才的培養是數據安全治理的應有之義。可以從數據安全意識提升、數據安全能力培訓、數據安全能力考核三方面進行培養。

數據安全治理的持續運營，能夠打通各環節的建設內容，促進整個體系的良性發展。治理運營分為三個方面，一是風險防范，二是監控預警，三是應急處理。

數據安全治理必定是一個持續性過程，如何評價數據安全治理成效，是組織面臨的重要問題。一般來說，可以從內部評估和第三方評估兩個維度入手。針對第三方評估，中國信通院云計算與大數據研究所依托互聯網協會團體標準《數據安全治理能力評估方法》，推出了首個市場化評估服務，已經完成首批評估，第二批評估工作正在進行，歡迎大家關注。（評估聯系人：劉雪花 18500238315 liuxuehua@caict.ac.cn）

作為維護國家安全的戰略需要，也是組織重構競爭力的必要手段，未來數據安全治理將從國家、行業、企業三個層面，圍繞“行業化”、“場景化”兩方面展開，同時也將促進“離散化”治理方式到“體系化”治理模式的轉變。

來源：中國信息通信研究院

指南下載地址：http://www.caict.ac.cn/kxyj/qwfb/ztbg/202107/P020210720377857004616.pdf