安恒信息数据安全治理体系：智慧城市建设之基

数据安全治理的规划内容以国家法律法规、国家标准和行业标准为准绳，以安全合规为基础，遵循数据安全治理能力要求。

首先实施安全治理评估，治理评估包含评估等级划分的方法，以及数据安全战略、体系、流程的治理评估，涵盖数据采集安全、数据传输安全、数据存储安全、数据使用安全、数据共享安全、数据销毁安全和基础通用安全能力的评估，在此基础上制定组织业务战略、IT战略、合规要求等，通过制定方针战略，明确数据安全治理的目标，以及数据安全治理在经营、管理、服务、监督等活动中发挥的作用，其主要工作包括制定方针战略、体系规划、流程规划设计、数据安全功能建设规划等内容。

根据数据安全风险评估和战略规划的输出，开展组织建设、制度体系和能力体系的建设和落地运行。

1.组织建设。构建包含由决策层、管理层、执行层以及监督层自上而下的多层次的数据安全管理组织架构，解决“治理的主体是谁”、“主体间是什么关系”这两大问题，形成数据安全治理组织架构，建立责任清晰、分工合作、平衡互动的协同机制。

2.制度体系建设。结合实际情况落实制度体系的完善，制度体系是保障治理结构能够有效运作的前提，流程和制度将数据活动纳入安全的框架内，通过激励机制来鼓励在保证安全下的潜力挖掘和创新，通过协作机制来实现跨领域、跨部门协同配合是治理与管理的显著区别。

3.能力体系建设。能力体系是数据安全治理在数据全生命周期中发挥组织、服务、监测、防护、响应等功能的集合，包含两个方面的内容：一是人员能力的建设，包含人员安全意识的培养和人员安全能力的提升；二是整体数据安全能力的建设与完善，安恒信息率先提出针对数据安全保护的“风险核査（Check）-数据梳理（Assort）-数据保护（Protect）-监控预警（Examine）”CAPE模型组成的数据安全技术体系。

检查评估包含数据安全防护能力检查和影响评估两个部分，是通过对内外部数据安全专项检查、合规检查、事件响应、影响分析等方面，汇总与数据安全相关的检查结论，研判数据泄露造成的影响，发现整个体系中存在的问题。

数据安全运营是将技术、人员、流程进行有机结合的系统性工程，是保证数据安全治理体系有效运行的重要环节。数据安全运营遵循“运营流程化、流程标准化、标准数字化、响应智能化”的思想进行构建，数据安全运营的需要实现流程落实到人，责任到人，流程可追溯，结果可验证等能力。同时，数据安全运营需贯穿安全监测、安全分析、事件处置、安全运维流程，全面覆盖安全运营工作，满足不同类型、不同等级安全事件的监测、分析、响应、处置流程全域可知和可控。