数据安全治理实践指南(3.0).pdf
《数据安全治理实践指南(3.0).pdf》由会员分享,可在线阅读,更多相关《数据安全治理实践指南(3.0).pdf(58页珍藏版)》请在咨信网上搜索。
1、前 言 前 言 数据作为数字经济发展的核心资源,是驱动社会创新、经济高质量发展的源动能。近期,随着国家数据局的成立、财政部企业数据资源相关会计处理暂行规定等的发布,数据获得各方空前关注。作为数字经济健康发展的重要基石,数据安全的重要性愈发突出,数据安全治理需求愈加明显。为了梳理数据安全治理的概念内涵,探讨数据安全建设路线,解决数据安全实践难点问题,中国信息通信研究院数据安全推进计划发布数据安全治理实践指南(以下简称指南)系列,围绕数据安全治理目标、治理框架、治理实践路径展开论述。相较于指南(1.0)指南(2.0),本指南主要对数据安全治理总体视图及相关内容进行更新,主要体现在:(1)针对数据安
2、全治理体系,丰富了基于数据全生命周期视角、基于工作内容分工视角的体系解读,贴近组织实际工作。(2)针对数据安全运营,丰富了从运营对象、管控流程两个角度的建设内容,为组织提供更多的选择。(3)增加数据安全专项工作开展思路,围绕数据分类分级、数据安全风险评估及治理、个人信息保护、数据出境安全评估、合作方数据安全管理等重点话题,阐述工作思路与方法。(4)删除数据安全治理实践案例的附录,各组织的优秀实践案例将另行汇聚出版。目 录 目 录 一、数据安全治理概述.1(一)数据安全治理概念内涵.1(二)数据安全治理原则.2 1.以数据为中心.2 2.多元化主体共同参与.2 3.兼顾发展与安全.3 二、数据安
3、全治理总体视图.4(一)数据安全治理目标.4(二)数据安全治理体系.5 1.基于数据全生命周期视角.5 2.基于工作内容分工视角.8(三)数据安全治理维度.9 1.组织架构.9 2.制度流程.12 3.技术工具.15 4.人员能力.17(四)数据安全治理专项.19(五)数据安全治理实践.19 三、数据安全治理实践路线.20(一)全局数据安全体系规划.20 1.现状分析.20 2.方案规划.21 3.方案论证.23(二)数据安全场景有序建设.23 1.全面梳理业务场景.24 2.确定业务场景治理优先级.27 3.评估业务场景数据安全风险.28 4.制定并实施业务场景解决方案.28 5.完善业务场
4、景操作规范.28(三)数据安全运营持续加强.28 1.从运营对象的角度.29 2.从管控流程的角度.31(四)数据安全评估助力优化.34 1.内部评估.34 2.第三方评估.35 四、数据安全治理专项开展思路.36(一)数据分类分级专项.36 1.建立组织保障.36 2.进行数据资源梳理.37 3.明确分类分级方法、策略.38 4.完成数据分类.38 5.逐类完成定级.40 6.形成分类分级目录.41 7.制定数据安全策略.41(二)数据安全风险评估及治理专项.42 1.数据安全风险评估.42 2.数据安全风险治理.44(三)个人信息保护专项.45 1.个人信息采集风险.45 2.个人信息存储
5、风险.46 3.个人信息使用风险.46 4.组织管理风险.46(四)合作方数据安全管理专项.46 1.数据合作方识别.47 2.数据合作方安全评估.47(五)数据出境安全评估专项.48 1.判断是否适用数据出境安全评估.49 2.明确需要数据出境安全评估的场景.49 3.准备各项申报材料.50 五、数据安全治理总结与展望.51 1 一、数据安全治理概述 一、数据安全治理概述 发展数字经济、加快培育发展数据要素市场,必须把保障数据安全放在突出位置。这就要求我们着力解决数据安全领域的突出问题,有效提升数据安全治理能力。随着数据安全监管要求逐渐落地,组织数据安全治理动力明显攀升,数据安全技术及服务供
6、给不断释放。整体来看,数据安全治理进入快速发展阶段。本章将解析数据安全治理概念内涵,分析数据安全治理原则。(一)数据安全治理概念内涵(一)数据安全治理概念内涵 为指导行业数据安全治理能力建设,促进行业数据安全治理能力发展,依据中国通信标准化协会大数据技术标准推进委员会 BDC 91-2022 数据安全治理能力评估方法,梳理数据安全治理概念内涵,本指南认为应该从广义和狭义两个角度进行理解。狭义地说,狭义地说,数据安全治理是指在组织数据安全战略的指导下,为确保组织数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力,内外部相关方协作实施的一系列活动集合。包括建立数据安全治理组织架构,制
7、定数据安全制度规范,构建数据安全技术体系,建设数据安全人才梯队等。广义地说,广义地说,数据安全治理是在国家数据安全战略的指导下,为形成全社会共同维护数据安全、促进开发利用和产业发展的良好环境,2 国家有关部门、行业组织、科研机构、企业、个人共同参与和实施的一系列活动集合。包括完善相关政策法规,推动政策法规落地,建设实施标准体系,研发应用关键技术,培养专业人才等。(二)数据安全治理原则(二)数据安全治理原则 1.1.以数据为中心 以数据为中心 数据的高效开发和利用,涵盖了数据的采集、传输、存储、使用、共享、销毁等全生命周期的各个环节,不同环节的特性不同,都面临丰富多样的数据安全威胁与风险。因此,
8、必须构建以数据为中心的数据安全治理体系,根据具体的业务场景和各生命周期环节,有针对性地识别并解决其中存在的数据安全问题,防范数据安全风险。2.2.多元化主体共同参与 多元化主体共同参与 无论是从广义还是狭义的角度出发,数据安全治理不是仅仅依靠一方力量可以开展的工作。对国家和社会而言,面对数据安全领域的诸多挑战,政府、企业、行业组织、甚至个人都需要发挥各自优势,紧密配合,承担数据安全治理主体责任,共同营造适应数字经济时代要求的协同治理模式。这也与中华人民共和国数据安全法(以下简称数据安全法)中强调建立各方共同参与的工作机制相一致。对组织机构而言,数据安全治理需要从组织战略层面出发,协调管理层、执
9、行层等相关方,打通不同部门之间的沟通障碍,统一内部数据安全共识,实现数据安全防护建设一盘棋。因此,数据安全治理必然是涉及多元化主体共同参与的工作。3 3.3.兼顾发展与安全 兼顾发展与安全 随着国内数字化建设的快速推进,无论是政府部门,还是其他组织均沉淀了大量的数据。数字经济时代的应用场景下,数据只有在流动中才能充分发挥其价值,而数据流动又必须以保障数据安全为前提,因此,必须要辩证看待数据安全治理。正如 数据安全法 提出的“坚持以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展。”数据安全治理不是强调数据的绝对安全,而是需要兼顾发展与安全的平衡。4 二、数据安全治理总体
10、视图 二、数据安全治理总体视图 本指南结合前期大量调研和数据安全治理能力评估实践,依据中国通信标准化协会大数据技术标准推进委员会 BDC 91-2022 数据安全治理能力评估方法,提炼出一套行之有效的数据安全治理总体视图,用以描绘数据安全治理的建设蓝图和实践路线,如图 1 所示。来源:数据安全推进计划 图 1 数据安全治理总体视图(一)数据安全治理目标(一)数据安全治理目标 数据安全治理目标是组织数据安全治理工作开展的前进方向。本指南认为其主要包括满足合规要求、治理数据安全风险、促进数据开发利用三方面。满足合规要求。满足合规要求。逐渐细化的数据安全监管要求,为组织数据安全 5 合规工作的推进提
11、出了更高的要求。及时发现合规差距,协助组织履行数据安全责任义务,为业务的稳定运行和规范化开展筑牢根基是数据安全治理工作的首要目标。治理数据安全风险。治理数据安全风险。不断产出的海量数据在动态实时流转过程中,面临着较大的风险暴露面,数据安全威胁及带来的影响与日俱增。叠加数据安全边界较为模糊、数据安全基础不够强韧等问题,组织数据安全风险的有效治理必然是数据安全治理的重要使命。促进数据开发利用。促进数据开发利用。数字经济的高速发展离不开数据价值的充分释放,数据安全则是保障数据价值释放的重要基石。数据安全治理通过体系化的建设,完善组织的合规管理和风险管理工作机制,提升数据安全保护水平,促进数据的开发利
12、用。(二)数据安全治理体系(二)数据安全治理体系 数据安全治理体系是组织达成数据安全治理目标需要具备的能力框架,组织应该围绕该体系进行建设。本指南依据 BDC 91-2022 数据安全治理能力评估方法,基于数据全生命周期视角数据全生命周期视角提出了一个三层架构,同时基于该三层架构在实践中的工作分工工作分工,演化出管理、技术、运营三类工作内容。1.1.基于数据全生命周期视角 基于数据全生命周期视角 数据安全治理体系的三层框架包括数据安全战略层、数据全生命周期安全层和基础安全层,其中:数据安全战略层数据安全战略层是推进数据安全治理工作开展的战略保障模块,6 要求组织在启动各项工作前,应制定相应的战
13、略规划。数据安全战略从数据安全规划、机构人员管理两方面入手,前者确立目标任务,后者组建治理团队。数据安全规划要求根据国家政策、组织业务发展需要以及数据安全需求等多方面因素明确组织整体数据安全规划。机构人员管理要求建立负责组织内部数据安全工作的部门、岗位和人员,并与人力资源管理部门进行联动,防范机构人员管理过程中存在的数据安全风险。数据全生命周期安全层数据全生命周期安全层是评估组织数据安全合规及风险管理等工作下沉至各业务场景能力水平的重要模块。要求组织以采集、传输、存储、使用、共享、销毁等环节为切入点,设置管控点和管理流程,保障数据安全。具体来说包括:数据采集安全是指根据组织对数据采集的安全要求
14、,建立数据采集安全管理措施和安全防护措施,规范数据采集相关流程,从而保证数据采集的合法、合规、正当和诚信。数据传输安全是指根据组织对内和对外的数据传输需求,建立不同的数据加密保护策略和安全防护措施,防止传输过程中的数据泄露等风险。数据存储安全是指根据组织内部数据存储安全要求,提供有效的技术和管理手段,防止对存储介质的不当使用而可能引发的数据泄露风险,并规范数据存储的冗余管理流程,保障数据可用性,实现数 7 据存储安全。数据使用安全是指根据数据使用过程面临的安全风险,建立有效的数据使用安全管控措施和数据处理环境的安全保护机制,防止数据处理过程的风险。数据共享安全是指根据组织对外提供或交换数据的需
15、求,建立有效的数据交换安全防护措施,降低数据共享场景下的安全风险。数据销毁安全是指通过制定数据销毁机制,实现有效的数据销毁管控,防止因对存储介质中的数据进行恢复而导致的数据泄露风险。基础安全层基础安全层作为数据全生命周期安全能力建设的基本支撑模块,可以在多个生命周期环节内复用,是整个数据安全治理体系建设的通用要求,能够实现建设资源的有效整合。具体来说包括:数据分类分级是指根据法律法规以及业务需求,明确组织内部的数据分类分级原则及方法,并对数据进行分类分级标识,以实现差异化的数据安全管理。合规管理是指根据组织内部的业务需求和业务开展场景,明确相关法律法规要求,通过制定管理措施降低组织面临的合规风
16、险。合作方管理是指通过建立组织的合作方管理机制,防范组织对外合作中的数据安全风险。监控审计是指通过建立监控及审计的工作机制,有效防范不正当的数据访问和操作行为,降低数据全生命周期未授权访问、数据滥用、数据泄露等安全风险。8 身份认证与访问控制是指根据组织的安全合规要求,建立用户身份认证和访问控制管理机制,防止对数据的未授权访问。安全风险分析是指根据组织的业务场景建立数据安全风险分析体系,将风险控制在可接受的水平,最大限度的保障数据安全。安全事件应急是指通过建立数据安全应急响应体系,确保在发生数据安全事件后能够及时止损,保障业务的安全和稳定运行,最大程度降低数据安全事件带来的影响。2.2.基于工
17、作内容分工视角 基于工作内容分工视角 上述三层框架在组织内部落地实践过程,涉及到多方面的工作,根据组织内常见的工作划分,我们按照管理、技术、运营三类的工作内容进行演化,生成基于工作内容的数据安全治理体系视角,其中:管理类工作管理类工作涉及组织架构、制度流程、人员管理等三方面工作,是数据安全治理体系在组织内运作的基石,主要负责协调、整合及优化各种资源,最终实现数据安全治理目标。更详细的内容可以参考“(三)数据安全治理维度”。技术类工作技术类工作涉及基础通用类、生命周期类、平台类技术的策略配置、技术实现等,主要为管理类工作的落地提供技术支撑,是数据安全的直接保障。具体的技术工作将在“(三)数据安全
18、治理维度”进行描述。运营类工作运营类工作可以从运营对象、管控流程两个维度切入实现,主要承担优化数据安全工作流程,及时持续的为数据安全决策提供有价值 9 的信息和洞察。更详细的内容将在第三章进行阐述。(三)数据安全治理维度(三)数据安全治理维度 以数据安全治理目标为指引,围绕数据安全治理体系框架,可以从组织架构、制度体系、技术工具和人员能力四个维度开展治理能力建设工作,以解决“谁来干”、“怎么干”、“干的如何”、“有没有能力干”等关键问题。1.组织架构 1.组织架构 数据安全组织架构是数据安全治理体系建设的前提条件。通过建立专门的数据安全组织,落实数据安全管理责任,确保数据安全相关工作能够持续稳
19、定的贯彻执行。同时,因数据安全治理是一项多元化主体共同参与的复杂工作,明确的组织架构有助于划分各参与主体的数据安全权责边界,促进协同机制的建立,实现组织数据安全治理一盘棋。在一个组织内部,安全部门、合规部门、风控部门、内审部门、业务部门、人力部门等都需要参与到数据安全治理的具体工作中,相互协同,共同保障组织的数据安全。一种较为典型的数据安全治理组织架构一般由决策层、管理层、执行层与监督层构成,如图 2 所示,各层之间通过定期会议沟通等工作机制实现紧密合作、相互协同。决策层决策层指导管理层工作的开展,并听取管理层关于工作情况和重大事项等的汇报,一般以虚拟组织的形式存在,如数据安全领导小组,该小组
20、通常由组织的高层领导及相关部门负责人共同构成,主要负责 10 对数据安全的重大事项进行统筹决策,主要职责包括:来源:数据安全推进计划 图 2 数据安全治理组织架构示例 制定数据安全整体目标和发展规划;发布数据安全管理制度及规范;提供数据安全规划、设计、建设、实施、运营等全过程的资源保障;重大数据安全事件协调与决策。管理层管理层则对执行层提出数据安全管理要求,并听取执行层关于数据安全执行情况和重大事项的汇报,形成管理闭环,一般由安全部门或数据部门牵头,负责数据安全的管理、建设、宣贯等工作,主要职责包括:制定数据安全管理制度及规范;制定数据安全工作在各层级的运行机制,保障数据安全工作的 11 顺利
21、运营;推进数据安全风险评估、数据出境安全评估等专项工作的开展;推进数据安全意识培训、安全技能提升、安全技术考核等工作;负责与国家数据安全相关监管部门及行业组织的协调沟通。执行层执行层一般由业务部门、技术部门等构成,负责执行或支撑各项数据安全管理要求的贯彻落实,主要职责包括:负责依据国家法律法规、政策文件、标准规范及企业相关数据安全管理要求,合理开展工作;负责制定本部门相关业务场景下的数据安全实施细则;负责按照要求构建数据安全建设的技术支撑能力,助力管理要求落地;负责反馈合理的数据安全需求,促进数据安全防护工作的改进;积极参与数据安全意识培训、能力培养及考核工作。监督层监督层负责对管理层和执行层
22、各自职责范围内的数据安全工作情况进行监督,并听取各方汇报,形成最终监督结论后同步汇报至决策层,一般涉及合规、风控、内审等部门,主要职责包括:对数据安全制度及规范的执行情况进行监督;对数据安全技术工具的落地情况进行监督;对数据安全风险评估过程进行监督审计。各层的主要分工和构成如表 1 所示。因不同组织的部门设置都有较大不同,涉及到实际组织体系建设时,不同机构还需结合现有组织 12 架构,进行适度的调整和补充。表 1 数据安全组织职责分工表 来源:数据安全推进计划 2.制度流程 2.制度流程 数据安全制度流程一般会从业务数据安全需求、数据安全风险控制需要,以及法律法规合规性要求等几个方面进行梳理,
23、最终确定数据安全防护的目标、管理策略及具体的标准、规范、程序等。数据安全管理制度文件可分为四个层面,一、二级文件作为上层的管理要求,应具备科学性、合理性、完备性及普适性。三、四级文件则是对上层管理要求的细化解读,用于指导具体业务场景的具体工作。常见的制度体系如图 3 所示。数据安全责任 数据安全责任 决策层 决策层 管理层 管理层 执行层 执行层 监督层 监督层 组织高层领导组织高层领导及相关部门负及相关部门负责人责人 安全部门/安全部门/数据数据部门部门 业务部门/业务部门/技术技术部门部门/人力部门/人力部门 合规部门/合规部门/风控风控部门部门/内审部门/内审部门 整体建设规划 整体建设
24、规划 牵头负责 遵照执行 遵照执行 执行并监督 组织架构调整 组织架构调整 牵头负责 遵照执行 遵照执行 执行并监督 制度流程建设 制度流程建设 意见审批 牵头负责 遵照执行 执行并监督 技术体系建设 技术体系建设 意见审批 日常管理 牵头负责 日常监督 安全要求落实 安全要求落实 意见审批 日常管理 牵头负责 日常监督 安全专项检查 安全专项检查 意见审批 牵头负责 遵照执行 日常监督 安全教育培训 安全教育培训 意见审批 牵头负责 遵照执行 日常监督 13 来源:数据安全推进计划 图 3 数据安全治理制度体系示例 一级文件一级文件是由决策层明确的面向组织的数据安全管理方针、政策、目标及基本
25、原则。二级文件二级文件是由管理层根据一级文件制定的通用管理办法、制度及标准。三级文件三级文件一般由管理层、执行层根据二级管理办法确定各业务、各环节的具体操作指南、规范。四级文件四级文件属于辅助文件,是各项具体制度执行时产生的过程性文档,一般包括工作计划、申请表单、审核记录、日志文件、清单列表等内容。根据图 3 所示的常见制度体系,围绕数据全生命周期安全要求,可以参考图 4 完善组织各级制度文件内容。14 15 3.技术工具 3.技术工具 数据安全治理体系的技术并非单一产品或平台的构建,而是结合组织自身使用场景,围绕数据全生命周期各阶段的安全要求,建立起来的与制度流程相配套的技术和工具。一种典型
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 数据 安全 治理 实践 指南 3.0
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【Stan****Shan】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【Stan****Shan】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。