数字安全 | 数据安全治理框架

国家层面对数据安全和个人信息保护更加重视，国家及行业涉及数据安全相关法律法规标准持续推出与完善，安全合规要求持续增加，监管力度不断加大，监管内容不断细化，面对众多的法律法规标准条文，需要围绕管理和技术要求进行解析，寻找合规途径，落实合规措施。

数据作为新型生产要素，其强流动性是产生和释放数据价值的前提，针对数据广泛流动过程中可能产生的数据泄露、篡改、破坏、非法利用等风险，采取有效的防护手段，保障开发利用与安全防护的一体两翼、双轮驱动发展，促进数据有序流动是数据安全治理的关键目标。

随着个人信息价值的凸显，个人信息收集乱象突出，个人信息泄露事件频发，个人信息滥用程度严重，极大地威胁了公民财产以及个人身份信息的安全，甚至危及国家安全。国家高度重视个人隐私保护，密集颁布系列法律、法规、标准保障个人信息安全。对个人信息进行有效治理，促进个人信息合理利用与保护个人隐私并重，成为又一关键目标。

数据安全治理是以数据为中心，其核心思想是面向业务数据流转的动态、按需防护。

在防护技术上，仍需依托网络安全中面向网络、设备、应用等数据载体的静态防护能力，扩展面向数据流动的分类分级动态防护能力。

在安全管理上，在网络安全管理体系的基础上，补充、完善面向数据安全管理制度、策略和运营规范，形成围绕数据本身和数据载体的整体数据安全防护能力。

在与数据治理的关系方面，数据分类分级是基础，通过对数据资产的识别与梳理，与数据治理中的元数据管理进行集成打通，直接获取统一的数据标准，作为数据分类分级的资产标识，提高数据梳理准确性，避免重复工作，形成面向数据应用的数据治理体系与面向数据安全的场景化安全治理体系的融合与统一。

数据安全治理能力划分为“人员组织、策略流程、技术支撑”三个核心能力领域。

人员组织：建立数据安全治理团队，并明确团队中各成员的管理职责，团队组成依组织的具体情况，可以是实际存在的也可以是各部门成员组成的虚拟团队，是数据安全治理工作开展的基础资源保障。

策略流程：设定相关的管理制度、标准规范、管理策略及流程，并围绕策略流程，构建运营管控机制，以运营思路开展数据安全治理工作，充分考虑与网络安全管理的融合，实现“可持续化的数据安全治理能力”。

技术支撑：落实策略流程贯彻所涉及的数据全生命周期的数据安全防护技术建设，并融合数据治理和网络安全相关技术，形成完整的技术支撑体系。

组织内部通过专业的数据安全治理团队、明确的数据安全治理策略和流程、全面的数据安全运营机制、覆盖数据全生命周期的技术手段为支撑，围绕数据使用的业务场景活动，分析安全需求，同时加强数据安全宣传、培训、教育，提升数据资产的体系化保障能力。

组织一方面应遵守法律法规、国家和行业标准、借鉴行业数据安全最佳实践，另一方面要积极配合国家、行业主管单位和集团的数据安全检查，健全数据安全监督评价体系，这是多元治理的重要一环。

数据分类分级与敏感个人信息识别可明确数据保护对象，是开展差异化、动态化数据安全治理的前提。数据安全管理制度体系是开展多元化安全治理工作的先导。数据安全技术体系是在数据处理活动中落实安全技术需求与工具支撑。数据安全运营体系将管理和技术体系进行有效衔接，实现持续化防护。通过管理、技术、运营体系三位一体、有机融合，数据安全治理形成以动态数据安全管控策略为中心，以管理体系为驱动，以运营体系为纽带、以技术体系为落地支撑的治理核心。数据安全监督评价体系则是指对数据安全治理情况进行总体的监督、稽核与评价，从而有效促进规模较大组织的治理水平提升。

在数据安全战略方面，需要从组织战略、IT战略、安全风险（篡改、泄露、破坏、非法获取和利用）、合规遵从（法律/法规/监管办法/标准），四个方面综合平衡考量，形成组织的数据安全战略目标和任务，指导整体数据安全治理建设。

数据分类分级是数据安全治理体系的基石，面向组织数据和个人信息，首先需开展数据资产的发现与梳理，然后基于识别备案的数据资产，落实从业务角度出发的数据分类标识以及从安全角度出发的数据定级标识，形成数据分类分级目录，最后对数据目录进行审核、发布，基于数据伴随业务处理活动的持续新增与变化，分类分级也需随之动态变更。

面向数据安全多元化治理特点，落实人员组织架构和管理制度体系，建立覆盖决策、管理、执行与监督等多层级的组织架构，各级部门协同配合工作，定岗定责落实治理行动；在人员管理维度，需注重能力的培养与提升，并加强安全意识教育；在管理制度维度，需围绕数据处理活动，构建从方针政策、管理制度、流程规范到执行文档的层级全面的制度集合，并伴随治理过程持续进行优化与调整。

在技术体系方面，基于分类分级成果，构建通用安全、数据全生命周期安全、平台安全的技术防护体系，明确各层级的安全技术保护要求。

在运营体系方面，展开定期或由特定数据处理场景触发的数据安全风险评估，基于经典IPDR理论，分别从识别、防护、监测与响应处置及优化四个维度出发，形成常态化、集中化、规范化的数据安全运营。实现事前预防、事中管控、事后审计溯源的持续、全面数据安全防护。

在监督评价体系方面，行业主管单位通过评估认证、监测预警、事件调查处置、监督检查、纠正问责等活动实现数据安全治理。

鉴于数据与业务的紧密联系，数据安全技术不能是孤立的和外挂的，应是嵌入的和内生的，在整个信息系统的规划组织、设计开发、实施交付、运行维护与系统废弃的全过程中，都需同步规划、同步建设、同步使用，围绕数据跨境、数据流通交易、大数据处理、合作共享等众多典型数据处理场景，面向大数据、云计算、移动互联网、终端、物联网、车联网、身联网等复杂多元异构环境，方能真正实现数据使用的“贴身保镖”。

扫码进星球下载公众号文件