大数据价值评估与安全合规审查方法研究.pdf
《大数据价值评估与安全合规审查方法研究.pdf》由会员分享,可在线阅读,更多相关《大数据价值评估与安全合规审查方法研究.pdf(39页珍藏版)》请在咨信网上搜索。
1、 编号:11 未经许可不得它用 国家信息中心 2021 年度青年人才基础研究项目成果 大数据价值评估与安全合规审查方法研究 部 门:信息与网络安全部 项目负责人:王佳慧 目 录 一、研究计划执行情况概述.4(一)按计划执行情况.4(二)研究目标完成情况.5 二、研究工作主要进展、结果和影响.6(一)主要研究内容.6(二)主要研究进展.8 三、国内外学术合作交流等情况.36 四、存在的问题、建议及其他需要说明的情况.36 五、项目取得成果的总体情况.36 参考文献.37 国家信息中心 2021 年度青年人才基础研究项目成果 3 大数据价值评估与安全合规审查方法研究 摘 要 目前,全球已经进入了数
2、字经济时代,中华人民共和国国民经济和社会发展第十四个五年规划和 2035 年远景目标纲要 的发布表明,大数据价值与安全合规非常重要。本课题通过梳理国内外数据安全合规评估和价值评估的研究现状,围绕大数据发展对数据价值标准化的迫切需求,主要做了以下两方面研究。在大数据安全合规方面,本报告通过研究国内大数据安全标准为依据,提出一种数据安全合规评价的指标体系。具体分为通用指标构建,特定指标构建。特定指标构建是主要考虑不同行业的法律法规监管要求和业务发展需要不同。通用指标包括三个一级指标,分别为组织建设、制度保障、技术保障。并详述了每个指标的评估实施方法。需要说明的是,本课题的数据安全合规审查适用于内部
3、自评或第三方评估指标构建。现场评估实施包括准备环境、实施现场评估、输出评估结果、问题回顾、复评复测五个阶段。本课题提出的指标体系从数据全生命周期着手来,结合国内国际法,行业特点,应用特点,同时关注、研究相关的执法案例,研究各个数据各个阶段的安全合规,对于具体应用而言,如果不涉及某个阶段,可以忽略相应的指标,因此通用性更强,由于数据和应用的紧相关关系,对于具体的应用场景,也需要结合实际情况增加扩展指标。在大数据价值评估方面,提出了数据价值评估指标体系的构建方法和评估的实施流程。数据价值评估指标构建体系从市场角度来看,可通过成本法、市场法、收益法三种方法构建;从非市场角度考虑数据价值评估指标体系的
4、构建,可通过条件价值法,即通过调查公民对数据开放共享和隐私保护的价值判断来衡量数据的社会价值。国家信息中心 2021 年度青年人才基础研究项目成果 4 也可通过专家讨论会衡量数据的社会价值和非市场价值。同样的指标体系,使用不同的评估方法会产生不同的结果,因此数据价值量化评估不可能有通用方法,因此本课题对不同对评估方法都有研究,在实际应用阶段,价值评估指标构建完成后,应该结合数据特性、规格、评估目的以及供需双方的意见进行具体分析,确定合适的量化机制。具体方法包括层次分析法、专家打分法,以及层次分析法+模糊综合评价法等方法。分两阶段实施,第一阶段主要解决数据价值评估机制和指标体系的确定。基本确定数
5、据价值评估的目的、范围、要求、数据类别和合规性,确定数据价值评估的指标。第二阶段结合数据特性、规格、评估目的以及供需双方的意见进行具体分析,确定合适的量化机制。应当从数据的实际场景出发,结合通用指标,具体情况具体分析。同时充分考虑分级分类分区、定性定量、主观客观、市场属性非市场属性、应用成本相结合的方法。一、研究计划执行情况概述(一)按计划执行情况 本项目的研究计划要点包括:1)建立大数据价值评估框架;2)建立大数据价值评估指标体系;3)研究数据全生命周期的安全合规评价体系;4)推动大数据价值评估和安全合规体系的行业示范应用;项目组严按照原定计划进行各项工作,主要做了如下工作:1)提出数据安全
6、合规的评估指标体系;2)提出数据安全合规评估的评估实施方法;3)提出数据安全合规评估实施流程;4)提出数据价值评估的实施流程;5)研究数据价值评估指标体系构建方法;国家信息中心 2021 年度青年人才基础研究项目成果 5 6)针对数据价值评估适用的方法进行系统研究;具体对比如下表 1:表表 1 计划与完成情况计划与完成情况 序号序号 计划计划 完成情况完成情况 1 建立大数据价值评估框架 分析了大数据价值评估的挑战和必要性,在此基础上提出数据价值评估的实施流程,提出适用于数据价值评估的方法。2 建立大数据价值评估指标体系 提出数据价值评估指标体系构建方法,实际应用中根据数据的类别以及数据的不同
7、特性选用不用的指标体系构建方法。3 研究数据全生命周期的安全合规评价体系 深入分析了国内外数据安全合规面临的挑战,从数据全生命周期着手,结合国内国际法,行业特点,应用特点,同时关注、研究相关的执法案例。提出了数据安全合规评估体系。具体分为通用指标构建,特定指标构建。特定指标构建是主要考虑不同行业的法律法规监管要求和业务发展需要不同。通用指标包括三个一级指标,分别为组织建设、制度保障、技术保障。4 推动大数据价值评估和安全合规体系的行业示范应用 通过具体场景的分析,和具体评估的实施,推动大数据价值和安全合规研究成果的落地和验证。5 论文 1 篇 论文 1 篇,评估报告 1 份 本项目取得了如下研
8、究成果:论文基于密钥组合的隐私数据保护方案1 篇,数据流通平台安全合规评估报告 1 份,与预期研究成果相符。(二)研究目标完成情况 项目组紧紧围绕本项目的研究目标开展各项研究,从以下几个方面都做了深入的探索实践,已顺利完成预期研究目标。项目组通过梳理国内外数据安全合规评估和价值评估的研究现状,围绕大数据发展对数据价值标准化的迫切需求,提出数据价值评估框架和指标体系构建方法。取得了一系列研究成果,具体包括如下几个方面:1)研究数据安全合规的必要性;国家信息中心 2021 年度青年人才基础研究项目成果 6 2)提出数据安全合规的评估指标体系;3)提出数据安全合规评估的评估实施方法;4)提出数据安全
9、合规评估实施流程;5)提出数据价值评估的实施流程;6)研究数据价值评估指标体系构建方法;7)针对数据价值评估适用的方法进行系统研究。完成论文基于密钥组合的隐私数据保护方案。完成评估报告数据流通平台安全合规评估。综上所述,项目研究已经实现了既定目标。二、研究工作主要进展、结果和影响(一)主要研究内容 随着移动互联网、5G、云计算等技术普及和革新,数据量快速增长,数据汇聚、融合、流动与应用等场景大幅增加,催生了大数据时代。大数据时代出现之后,数字经济也得到飞速发展。近年来,数字经济在全球迎来了前所未有的高速发展。在新的经济形态中,数据成为改变市场、组织机构甚至政府和公民关系的重要因素。近年来,各国
10、加快推进数据领域的立法活动,以期通过制度竞争获得数据资源、数据监管技术、数据规则话语权的博弈优势。全球主要发达国家把数字经济作为经济发展的重点,积极推进国家发展战略和政策,推动经济和社会持续转型。国际领域的数据竞争已经进入白热化的状态,数据成为国际竞争的重要因素。数据不仅成为重要的商业资源和生产要素,更是国家基础性战略资源。我国积极布局新基建、数据要素培育,数据经济势头发展迅猛。2020 年 4 月 9 日,中共中央、国务院印发关于构建更加完善的要素市场化配置体制机制的意见1,明确提出“加快培育数据要素市场”,包括推进政府数据开放共享,提升社会数据资源价值,加强数据资源整合和安全保护。这也给我
11、们带来了很多新的挑战。当前我国深化数据要素市场化配置面临统筹力度弱、数据立法欠缺、交易市场瓶颈大、创新资源配置效率低、数据市场监管难、数据安全保障差等六个方面的挑战2。可见,数据要充分发挥其价值,也必须建立在数据安全合规的基础之上。回顾数据发展的整个过程会发现,数据已经成为当代的战略性的资源。从上世纪国家信息中心 2021 年度青年人才基础研究项目成果 7 四十年代到八十年代,由于计算机的昂贵、体积大、能耗高,往往只限于国防、气象、科研研究的一些领域。那时候一台计算机是有几个房子那么大,数据的存储量不是很高。而进入到了信息技术的 1.0 时代,也称为 IT 时代,这一时期是以单机应用为主要特征
12、的数字化阶段,以数字化办公和信息管理系统逐渐代替纯手工数据,此时的数据仅限于办公等信息。信息化 1.0 阶段的特征是数据信息描绘(映射)现实。从上世纪九十年代中期开始,随着网络发展,特别是互联网的兴起。以互联网为应用特征的网络化,加速了数据的传播、流通和汇聚,数据呈现海量的、多样性、时效性、低价值密度等一系列特征。网络促进了我们彼此的交流沟通,将各个方面的事情组合起来。这时候数据驱动现实模式的改变。电子商务的兴起,电子政务的广泛应用,使我们真正进入了网络的时代,就是 DT(数据)时代。总的来说,主要面临以下几方面挑战:挑战挑战 1:新技术催生安全新需求,冲击传统合规体系新技术催生安全新需求,冲
13、击传统合规体系 当下,云计算、物联网、5G、移动互联网等新技术使得时时刻刻都能收集数据。通过数据分析、数据挖掘、人工智能等信息技术,非个人数据的聚合可形成敏感数据,从碎片化的、不具有敏感性的数据中也可以分析出敏感的信息,海量数据的聚合甚至可以分析出有关国家安全的数据。这一系列的现象导致个人数据与非个人数据、敏感数据与非敏感数据、国家秘密与非国家秘密等边界逐渐模糊。传统网络环境下的统一的、集中的安全管理模式已经不能适应新环境下的数据安全需求。这就为数据合规带来新风险;另一方面导致传统数据合规策略的有效性降低甚至失效。挑战挑战 2:全球化监管带来合规难题全球化监管带来合规难题 不论是国内还是国际领
14、域,大数据安全的监管态势均不断增强。在此背景下,大数据安全成为组织合规的重要内容。国内层面,整体来看,尚不完善的规则设计和执行机制难以为组织数据合规提供有效指引。目前虽然我国网络安全方面的顶层制度设计已经基本完成,网络安全法的颁布也在很大程度上填补了立法空缺,但在整个网络安全领域我国仍存在着立法不足的情况。在具体实施方面,作为网络安全基本大法的网络安全法配套制度尚不健全,可操作性和实际落地仍有待加强。此外,作为新实施的法律实践层面,网络安全法的执法案例尚不充足,执法尺度仍需进一步探索和统一。国际层面,通观国际立法趋势,不难发现数据已成为国际空间竞相争夺的战略性国家信息中心 2021 年度青年人
15、才基础研究项目成果 8 资源,美欧等诸多国家和地区已经纷纷出台举措抢占国际空间数据规则的制定权,建立以本国或本区域利益为中心的数据规则体系。总的来讲,各国立法规范逐步增多,监管效力不断增强。各国的立法目标不仅在于个体权益的保障,更是关涉国家主权、国家利益在国际空间的博弈和角逐。为争夺数据话语权,扩张本国法律的适用范围,积极推行符合本国利益诉求的国际社会数据规则体系成为当前国际的立法趋势。随着国际博弈的加剧,国际法律冲突也逐渐走向常态化。网络和数据的跨国界性往往使得组织需要应对不同规则体系的合规,大大增加了组织合规的复杂性。挑战挑战 3:数据价值指标体系构建研究工作不足数据价值指标体系构建研究工
16、作不足 数据的搜集、积累、储存、处理过程的环节多,各环节常反复出现。数据成本构成较复杂,各构成部分相互关联耦合。数据的经济效益难测算,数据的价值转化或确认过程存在不确定性等。这些特点导致数据价值评估难以标准化,也不宜考虑单一因素做简单化处理,而要紧密结合数据价值基本特性,综合多因素分阶段开展分析评估。数据价值评估指标体系主要考虑数据不同特性对价值的影响,对数据价值评估指标体系构建的研究工作较少。挑战挑战 4:数据价值评估方法很难通用数据价值评估方法很难通用 数据现在通常归类为无形资产,实际上,数据与一般无形资产价值的构成不同,数据价值的形成具有生产的一次性、加工处理的多性、成本费用的多源性、获
17、益的较大不确定性、价值转化的风险性、数据应用的不同等特点,导致数据价值评估需要考虑诸多影响因素,具有高复杂性和高难度性,很难有通用的评估方法。针对上述问题及挑战,本项目的主要研究内容包括如下两个方面:针对上述问题及挑战,本项目的主要研究内容包括如下两个方面:1)研究数据安全合规的必要性,数据安全合规的评估指标体系、数据安全合规评估的评估实施方法,数据安全合规评估实施流程。2)提出数据价值评估的实施流程。研究数据价值评估指标体系构建方法。针对数据价值评估适用的方法进行系统研究。(二)主要研究进展 1.研究大数据全生命周期的安全合规 本部分主要研究数据安全合规的必要性,数据安全合规的评估指标体系、
18、数据安全合规评估的评估实施方法,数据安全合规评估实施流程。目前,在国家层面上网络安全法数据安全法密码法个人信息保护国家信息中心 2021 年度青年人才基础研究项目成果 9 法已发布。政务领域,国家层面发布了政务服务平台基础数据规范、国务院关于印发政务信息资源共享管理暂行办法的通知等多项国家标准规范和政策文件。地方层面,各省市出台了上百份与政务数据相关的政策文件,各地都对政务数据使用、规范等工作提出了要求。但是机构和企业如何安全合规的使用数据还存在很多问题。已有的法规在实际执行落地方面,还需要更多的规范和解释支撑。而数据安全一把手责任以及其他责任又倒逼安全合规的必要性。数据泄露要承担责任,尤其是
19、一些数据是包含了大量与国民经济、商业机密、个人隐私等相关的信息,保障数据的安全性也是最重要的环节之一。随着数字化建设全面推进,各业务场景和业务数据流转过程也在发生巨大的变化,其安全性也是目前面临的主要挑战。目前,国际标准化组织 ISO 和国际电工委员会 IEC 已形成了较为完善的数据安全和隐私保护标准体系;国内方面相关的数据安全和隐私保护相关标准主要包括:信息安全技术个人信息安全规范,信息安全技术个人信息安全影响评估指南 信息安全技术大数据安全管理指南数据安全治理实践指南3等。但在数据资产安全性上,还有很多需要完善的地方。数据资产安全的标准体系,要以数据安全和隐私保护4为重点,在服务器、网络等
20、基础设施安全建设的基础上,围绕数据采集、存储、利用、共享等数据活动,将数据库安全防护和政务数据全生命周期流转过程中的风险控制,在数据相关各部门形成统一的安全策略。完善自动化运维管理和常规审计中,及时对风险进行预知。数据安全防护机制总体标准架构应从技术标准、管理标准、应用标准、评估标准等多个方面构建数据安全标准体系。首先,建立完善的数据安全风险策略,通过合理授权、加密、脱敏等风控技术工具进行风险控制,并能够对风险事件进行溯源。其次,加强敏感数据控制5,对涉及政府机密、商业机密、个人隐私等信息必须进行脱敏,这就涉及到对敏感数据要进行良好的定义、敏感数据的监考、访问权限控制等机制,完善敏感数据管理。
21、第三,对数据安全运营进行有效的管理。在自动运维系统上能够提供健全的风险预警、配置管理、策略管理、应急响应等,完善政务数据在运行层面的管控。随着数据大量的汇集、数据的共享开放、多应用场景的形势下,过去的安全机制也需要不断调整适应现有的状况,以应对日趋严峻的网络安全风险环境。国家信息中心 2021 年度青年人才基础研究项目成果 10 1.1 数据安全合规评估的必要性数据安全合规评估的必要性 随着移动互联网、5G、云计算等技术普及和革新,数据量快速增长,数据汇聚、融合、流动与应用等场景大幅增加,催生了大数据时代。大数据时代出现之后,数字经济也得到飞速发展。近年来,数字经济在全球迎来了前所未有的高速发
22、展。在新的经济形态中,数据成为改变市场、组织机构甚至政府和公民关系的重要因素。近年来,各国加快推进数据领域的立法活动,以期通过制度竞争获得数据资源、数据监管技术、数据规则话语权的博弈优势。全球主要发达国家把数字经济作为经济发展的重点,积极推进国家发展战略和政策,推动经济和社会持续转型。国际领域的数据竞争已经进入白热化的状态,数据成为国际竞争的重要因素。数据不仅成为重要的商业资源和生产要素,更是国家基础性战略资源。我国积极布局新基建、数据要素培育,数据经济势头发展迅猛。2020 年 4 月 9 日,中共中央、国务院印发关于构建更加完善的要素市场化配置体制机制的意见,明确提出“加快培育数据要素市场
23、”,包括推进政府数据开放共享,提升社会数据资源价值,加强数据资源整合和安全保护。2020 年 5 月 11 日中共中央、国务院印发关于新时代加快完善社会主义市场经济体制的意见,进一步提出,“建立数据资源清单管理机制,完善数据权属界定、开放共享、交易流通等标准和措施,发挥社会数据资源价值。”可以说,互联网场景中,数据不再是一座孤岛,数据开始借助云计算、物联网、人工智能等技术集群开始流动,成为新经济形态的驱动力量。随着数据应用技术,数据大量汇聚,数据深度挖掘,人工智能技术的发展,数据安全的挑战也与日俱增。信息社会从小数据时代进入到更高级的形态大数据时代。在此阶段,数据质量和价值通过共享、交易等流通
24、方式价值得到更大程度的实现和提升,数据动态利用逐渐走向常态化、多元化,个人信息的权属问题和重要数据的识别问题成为这一阶段的主要争议,引发了从个人信息保护到组织数据保护、不正当竞争、著作权、网络(空间)安全等一系列法律问题。数据从静态安全到动态利用安全的转变使得数据安全不再只是传统信息安全和网络安全时代,确保数据本身的保密性、完整性和可用性(三性问题),除了关注三性遭到破坏的数据泄漏、数据篡改、数据丢失等问题,更承载着个人、组织、国家等多方主体的利益诉求,关涉个人权益保障、组织知识产权保护、市场秩序维持、产业国家信息中心 2021 年度青年人才基础研究项目成果 11 健康生态建立、社会公共安全乃
25、至国家安全维护等诸多数据安全合规问题。新技术和新应用的迭代更新也不断催生出新风险,数据安全风险日益升级,成为建设产业健康生态、保障社会公共安全和国家安全的制约因素。大数据安全已然成为超越个体,关涉国家安全的核心环节。要最大化、有效的释放数据机制,前提必须确保数据的安全和合规。如果数据是不合规的,价值可能就是零。如果数据是不安全的,也会大大降低数据的价值。对数据进行有效的加工、处理、分析是协助持续提高大数据产业发展、治理效率、实现治理现代化的重要途径。而与此同时,由于多渠道数据汇聚、数据清洗、数据安全,等各个步骤处理过程中缺乏详细的标准,数据的质量和应用在各层次、各领域标准化程度不高,成为了制约
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 数据 价值 评估 安全 合规 审查 方法 研究
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【宇***】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【宇***】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。