數據安全產業(yè)發(fā)展分析報告

數據安全產業(yè)發(fā)展分析報告

立足數據安全政策基礎、產業(yè)基礎、發(fā)展基礎等因素，布局建設國家數據安全產業(yè)園，推動企業(yè)、技術、資本、人才等加快向園區(qū)集中，逐步建立多點布局、以點帶面、輻射全國的發(fā)展格局。鼓勵地方結合產業(yè)基礎和優(yōu)勢，圍繞關鍵技術產品和重點領域應用，打造龍頭企業(yè)引領、具有綜合競爭力的高端化、特色化數據安全產業(yè)集群。適應不同類型數據特點，以實際應用需求為導向，探索建立多樣化的數據開發(fā)利用機制。鼓勵市場力量挖掘商業(yè)數據價值，推動數據價值產品化、服務化，大力發(fā)展專業(yè)化、個性化數據服務，促進數據、技術、場景深度融合，滿足各領域數據需求。鼓勵重點行業(yè)創(chuàng)新數據開發(fā)利用模式，在確保數據安全、保障用戶隱私的前提下，調動行業(yè)協會、科研院所、企業(yè)等多方參與數據價值開發(fā)。結合新型智慧城市建設，加快城市數據融合及產業(yè)生態(tài)培育，提升城市數據運營和開發(fā)利用水平。數據安全治理實踐路線基于數據安全治理實踐理念，可以按照自頂向下和自底向上相結合的思路推進實踐過程。一方面，組織自頂向下，以數據安全戰(zhàn)略規(guī)劃為指導，以規(guī)劃、建設、運營、優(yōu)化為主線，圍繞構建數據安全治理體系這一核心，從組織架構、制度流程、技術工具和人員能力四個維度構建全局建設思路。另一方面，組織自底向上，針對各業(yè)務場景敏捷落地相關數據安全能力點，以快速滿足業(yè)務場景的數據安全需求，降低數據安全治理的長期性對業(yè)務開展的影響。通過各個場景的建設與完善，最終全面覆蓋組織的所有數據處理活動。以上的實踐過程可以有效避免管理和技術的兩張皮問題。（一）數據安全規(guī)劃數據安全規(guī)劃階段主要確定組織數據安全治理工作的總體定位和愿景，根據組織整體發(fā)展戰(zhàn)略內容，結合實際情況進行現狀分析，制定數據安全規(guī)劃，并對規(guī)劃進行充分論證。1、數據安全規(guī)劃現狀分析組織應通過現狀分析找到數據安全治理的核心訴求及差距項，以此作為規(guī)劃設計的依據?？梢詮陌踩弦?guī)對標、風險現狀分析、行業(yè)最佳實踐對比入手。一是數據安全合規(guī)對標。數據安全合規(guī)是組織履行數據安全相關責任義務的底線要求。不同組織應對組織適用的外部法律法規(guī)、監(jiān)管要求、標準規(guī)范等進行梳理，將重要條款與現有情況進行對比，分析其差距，確定合規(guī)需求。二是數據安全風險現狀分析。有效的數據安全風險管理是組織推進業(yè)務發(fā)展的重要保障。不同組織需結合其業(yè)務場景，基于數據全生命周期安全防護要求，通過數據安全風險評估等方式識別數據面臨的安全威脅及所在環(huán)境的脆弱性，形成風險問題清單，提煉數據安全建設需求點。三是行業(yè)最佳實踐對比。行業(yè)對比是組織經營決策的主要參考。通過分析同行業(yè)的數據安全建設先進案例，并與組織現狀進行橫向對比，有助于提煉出更加適宜的數據安全建設方向和建設思路。2、數據安全方案規(guī)劃組織應根據現狀分析結果，結合數據安全治理目標，給出可落地實施的數據安全治理規(guī)劃方案，并提煉重點目標和任務，分階段落實到工程實施中。方案規(guī)劃可以從前文所述的四個數據安全治理維度入手，通過對組織架構、制度流程、技術工具、人員能力的不斷建設與完善達成建設目標。以一個數據安全治理建設剛起步的企業(yè)為例，一般來說，可以將數據安全規(guī)劃分為三個階段。第一階段，組織尚處于數據安全治理建設初期，急需在內部明確數據安全治理職責分工和管理要求，因而建議主要完成初步的數據安全治理體系建設工作，包括數據安全組織機構的建立、數據安全制度體系的編制、數據安全基礎能力建設以及數據安全意識培訓宣貫。同時數據分類分級作為實施數據安全管理措施和技術措施的前提，是一個需要提前布局且長期推進的工作。第二階段，組織有了一定的數據安全治理基礎，可以在這一階段著重完善數據安全技術能力體系，通過建設統一的管理平臺，全面落實數據安全管理規(guī)范及策略要求，并通過常態(tài)化數據安全運營，實現持續(xù)的數據安全保障能力。同時，應加強數據安全能力培訓體系的構建，培養(yǎng)復合型數據安全專業(yè)人才，壯大數據安全人才隊伍。第三階段，組織已經初步建成數據安全治理體系，這一階段以持續(xù)優(yōu)化為主要目標，重在建立數據安全治理的量化評估體系，定期開展數據安全評估評測，監(jiān)測各項指標的達標情況。再根據評估評測結果及時優(yōu)化建設內容，最終達到較高的數據安全治理水平。同時，通過提煉并輸出成功經驗，促進行業(yè)共同進步。3、數據安全規(guī)劃方案論證為保障規(guī)劃方案在建設過程的順利實施，應從以下方面進行論證分析。一是可行性分析，根據組織現狀，明確人力、物力、資金的投入與產生的效益對比，協調數據安全管理機制和技術能力建設與業(yè)務系統之間的分歧，確保在業(yè)務發(fā)展與安全保障之間達到平衡。二是安全性分析，方案在正式實施前，要進行詳細的方案論證分析，確?？梢栽跇I(yè)務穩(wěn)定運行的前提下實施治理建設，同時要考慮治理過程中可能產生的新風險，避免未知風險的引入。三是可持續(xù)性分析，數據安全治理是持續(xù)性過程，隨著業(yè)務拓展和技術進步，規(guī)劃方案在保證與當前組織現有體系兼容的同時，也要考慮與后續(xù)的發(fā)展相適應。因此數據安全治理方案不僅要考慮當下，還要著眼于未來。在滿足當前數據安全需求的同時，還要適應后續(xù)的持續(xù)發(fā)展。（二）數據安全建設數據安全建設階段主要對數據安全規(guī)劃進行落地實施，建成與組織相適應的數據安全治理能力，包括組織架構的建設、制度體系的完善、技術工具的建立和人員能力的培養(yǎng)等。通過數據安全規(guī)劃，組織對如何從零開始建設數據安全治理體系有了一定認知，同時也應意識到數據安全治理的建設是一項需要長期開展和持續(xù)投入的工作，無法一蹴而就。為了快速響應不同業(yè)務場景下不同的數據安全策略要求，應基于場景需要選擇性部署技術工具，編制三級操作指南文件，形成四級記錄模板。通過逐個場景的數據安全建設，最終推動數據安全治理體系在組織內的全面落地。第一步：全面梳理業(yè)務場景。梳理數據資產和業(yè)務場景是組織進行場景化數據安全治理建設的前提，可以幫助組織了解數據安全治理對象全貌，為組織場景化數據安全治理提供行動地圖。目前，對業(yè)務場景的劃分尚未有統一的標準，根據對數據安全供應側及需求側的調研，將場景劃分方法歸類為基于數據全生命周期和基于業(yè)務運行環(huán)境兩種劃分方式。（1）基于數據全生命周期的數據安全建設場景劃分基于數據全生命周期的場景劃分是分別在采集、傳輸、存儲、使用、共享、銷毀各環(huán)節(jié)抽象出典型應用場景。?數據采集環(huán)節(jié)主要有個人信息主體數據采集、外部機構數據采集、數據產生等場景。?數據傳輸環(huán)節(jié)主要有內部系統數據傳輸、外部機構數據傳輸等場景。?數據存儲環(huán)節(jié)主要有數據加密存儲、數據庫安全等場景。?數據使用環(huán)節(jié)主要有應用訪問、數據運維、測試和開發(fā)、網絡和終端安全、數據準入、數據分析與挖掘等場景。?數據共享環(huán)節(jié)主要有內部共享和外部共享等場景。?數據銷毀環(huán)節(jié)有邏輯刪除、物理銷毀和數據退役等場景?；跀祿芷诘膱鼍皠澐址绞?，一方面能更好地契合當前法律法規(guī)中關于數據全生命周期的安全要求，一方面更加匹配當前主流的數據安全治理體系框架。（2）基于業(yè)務運行環(huán)境的數據安全建設場景劃分組織的業(yè)務雖然各有不同，但是其業(yè)務運行環(huán)境的劃分基本相同，據此可以將業(yè)務場景劃分為：辦公場景、生產場景、研發(fā)場景、運維場景等。還可以基于支撐業(yè)務運行的基礎設置進一步細分為云、終端等場景?；跇I(yè)務運行環(huán)境的場景劃分方式，一方面與業(yè)務的研發(fā)上線緊密關聯，有利于場景的識別，另一方面兼容組織安全域的劃分，有利于充分利用原有的網絡安全能力。第二步：確定業(yè)務場景治理優(yōu)先級。在業(yè)務場景梳理完成后，組織需要綜合考慮監(jiān)管要求、數據安全風險和業(yè)務發(fā)展需要，明確業(yè)務場景治理的開展優(yōu)先級。數據分類分級是數據安全的基礎性工作基本已經成為行業(yè)共識，隨著行業(yè)數據分類分級指南的不斷建立和完善，組織應跟緊行業(yè)發(fā)展步伐，前置數據分類分級工作的優(yōu)先級。其次，數據采集環(huán)節(jié)中個人信息主體數據采集、外部機構數據采集等場景均涉及到個人信息權益保護，是當前數據安全合規(guī)出現問題的高危場景，容易影響組織品牌形象，因而需要優(yōu)先治理。此外，數字經濟的繁榮發(fā)展離不開數據的流通共享，隨之而來的風險也在不斷顯現，對數據流通的安全保護勢在必行，因而也應著重進行相關場景的安全建設。第三步：評估業(yè)務場景數據安全風險。評估業(yè)務場景的數據安全風險是指針對具體場景，綜合考慮合規(guī)要求、數據資源重要程度、面臨的數據安全威脅等因素，將數據流動過程的風險點梳理出來，并明確數據安全風險等級。業(yè)務方應根據此項評估結果，確定要進行整改的風險點，并將其作為數據安全治理建設需求的輸入，為制定場景化數據安全解決方案提供依據。第四步：制定并實施業(yè)務場景解決方案。結合業(yè)務場景的數據安全風險評估結果，組織可以根據相關政策及標準要求，申請充分的資源保障，并制定可落地的解決方案。目前，對于部分場景，業(yè)界已經形成了一些公認的典型解決方案，例如在數據加密存儲場景中使用加解密系統，并在算法的選擇上避開不安全的MD5、AES-ECB、SHA1等算法；在終端場景下部署終端DLP等。但更多情況下，組織需要根據實際情況通過自研解決方案或者甄選適宜的供應側解決方案。第五步：完善業(yè)務場景操作規(guī)范。為規(guī)范業(yè)務場景日常的數據安全管理和運營工作，組織應督促業(yè)務部門在實施具體的技術措施后，及時完善組織整體數據安全制度體系中關于三級與四級的制度文件，如《遠程訪問操作規(guī)范》、《數據備份操作規(guī)范》、《數據防泄露操作規(guī)范》、《堡壘機操作規(guī)范》等，以保持制度流程和技術落地的一致性。（三）數據安全運營數據安全運營階段通過不斷適配業(yè)務環(huán)境和風險管理需求，持續(xù)優(yōu)化安全策略措施，強化整個數據安全治理體系的有效運轉。1、數據安全運營風險防范數據安全治理的目標之一是降低數據安全風險，因此建立有效的風險防范手段，對于預防數據安全事件發(fā)生有重要作用，可以從數據安全策略制定、數據安全基線掃描、數據安全風險評估三方面入手。數據安全策略制定。一方面，根據數據全生命周期各項管理要求，制定通用安全策略，另一方面，結合各業(yè)務場景安全需要，制定針對性的安全策略。通過將通用策略和針對性策略結合部署，實現對數據流轉過程的安全防護。數據安全基線掃描?；诿媾R的風險形勢，定期梳理、更新相關安全規(guī)范及安全策略，并轉化為安全基線，同時直接落實到監(jiān)控審計平臺進行定期掃描。安全基線是組織數據安全防護的最低要求，各業(yè)務的開展必須滿足。數據安全風險評估。通過將日?；ㄆ陂_展的數據安全風險評估結果與安全基線進行對標，發(fā)現不滿足基線要求的評估項，再通過改進業(yè)務方案或強化安全技術手段的方式實現風險防范。2、數據安全運營監(jiān)控預警數據安全保護以知曉數據在組織內的安全狀態(tài)為前提，需要組織在數據全生命周期各階段開展安全監(jiān)控和審計，以實現對數據安全風險的防控?？梢酝ㄟ^態(tài)勢監(jiān)控、日常審計、專項審計等方式對相關風險點進行防控，從而降低數據安全風險。態(tài)勢監(jiān)控。根據數據全生命周期的各項安全管理要求，建立組織內部統一的數據安全監(jiān)控審計平臺，對風險點的安全態(tài)勢進行實時監(jiān)測。一旦出現安全威脅，能夠實現及時告警及初步阻斷。日常審計。針對賬號使用、權限分配、密碼管理、漏洞修復等日常工作的安全管理要求，利用監(jiān)控審計平臺開展審計工作，從而發(fā)現問題并及時處置。專項審計。以業(yè)務線為審計對象，定期開展專項數據安全審計工作。審計內容包括數據全生命周期安全、隱私合規(guī)、合作方管理、鑒別訪問、風險分析、數據安全事件應急等多方面內容，從而全面評價數據安全工作執(zhí)行情況，發(fā)現執(zhí)行問題并統籌改進。3、數據安全運營應急處理一旦風險防范及監(jiān)控預警措施失效，導致發(fā)生數據安全事件，組織應立即進行應急處置、復盤整改，并在內部進行宣貫宣導，防范安全事件的再次發(fā)生。數據安全事件應急處置。根據數據安全事件應急預案對正在發(fā)生的各類數據安全攻擊警告、數據安全威脅警報等進行緊急處置，確保第一時間阻斷數據安全威脅。數據安全事件復盤整改。應急處置完成后，應盡快在業(yè)務側組織復盤分析，明確事件發(fā)生的根本原因，做好應急總結，沉淀應急手段，跟進落實整改，并完善相應應急預案。數據安全應急預案宣貫宣導。根據數據安全事件的類別和級別，在相關業(yè)務部門或全線業(yè)務部門定期開展應急預案的宣貫宣導，降低發(fā)生類似數據安全事件的風險。（四）數據安全評估優(yōu)化數據安全評估優(yōu)化階段主要是通過內部評估與第三方評估相結合的方式，對組織的數據安全治理能力進行評估分析，總結不足并動態(tài)糾偏，實現數據安全治理的持續(xù)優(yōu)化及閉環(huán)工作機制的建立。1、數據安全內部評估組織應形成周期性的內部評估工作機制，內部評估應由管理層牽頭，執(zhí)行層和監(jiān)督層配合執(zhí)行，確保評估工作的有效執(zhí)行，并應將評估結果與組織的績效考核掛鉤，避免評估流于形式。常見的內部評估手段包括評估自查、應急演練、對抗模擬等。評估自查通過設計評估問卷、調研表、定期執(zhí)行檢查工具等形式，在組織內部開展評估，主要評估內容至少應包括數據全生命周期的安全控制策略、風險需求分析、監(jiān)控審計執(zhí)行、應急處置措施、安全合規(guī)要求等內容。應急演練通過構建內部人員泄露、外部黑客攻擊等場景，驗證組織數據安全治理措施的有效性和及時止損的能力，并通過在應急演練后開展復盤總結，不斷改進應急預案及數據安全防護能力。應急演練可采用實戰(zhàn)、桌面推演等方式，旨在驗證數據安全事件應急的流程機制是否順暢、技術工具是否實用、安全處置是否及時等，進一步完善應急預案，補足能力短板。對抗模擬通過搭建仿真環(huán)境開展紅藍對抗，或模擬黑產對抗，幫助組織面對內外部數據安全風險時實現以攻促防，沉著應對，并在這個過程中不斷挖掘組織數據安全可能存在的攻擊面和滲透點，尤其是面對組織內部數據泄露風險，可以有針對性的完善數據安全治理工作機制和技術能力。2、數據安全第三方評估除了內部評估外，組織還應引入第三方評估。第三方評估以國家、行業(yè)及團體標準等為執(zhí)行準則，能客觀、公正、真實地反映組織數據安全治理水平，實現對標差距分析。如中國信息通信研究院2020年底推出的國內首個數據安全治理能力評估服務，結合業(yè)務場景和全生命周期數據流，從組織架構、制度流程、技術工具、人員能力的建設情況入手，綜合考察組織數據安全治理能力的持續(xù)運轉及自我改進能力。目前該評估服務已在金融、電信、互聯網、汽車等多個行業(yè)領域獲得廣泛認可，是組織進行全面摸排、橫向對比的重要抓手。深化數據安全國際交流合作充分利用雙多邊機制，加強數據安全產業(yè)政策交流合作。加強與一帶一路沿線國家數據安全產業(yè)合作，促進標準銜接和認證結果互認，推動產品、服務、技術、品牌走出去。鼓勵國內外數據安全企業(yè)在技術創(chuàng)新、產品研發(fā)、應用推廣等方面深化交流合作。探索打造數據安全產業(yè)國際創(chuàng)新合作基地。支持舉辦高層次數據安全國際論壇和展會。鼓勵我國數據安全領域學者、企業(yè)家積極參與相關國際組織工作。壯大數據安全服務（一）推進規(guī)劃咨詢與建設運維服務面向數據安全合規(guī)需求，發(fā)展合規(guī)風險把控、數據資產管理、安全體系設計等方面的規(guī)劃咨詢服務。圍繞數據安全保護能力建設與運行需求，積極發(fā)展系統集成、監(jiān)測預警、應急響應、安全審計等建設運維服務。面向數據有序開發(fā)利用的安全需求，發(fā)展數據權益保護、違約鑒定等中介服務。（二）積極發(fā)展檢測、評估、認證服務建立數據安全檢測評估體系，加強與網絡安全等級保護評測等相關體系銜接，培育第三方檢測、評估等服務機構，支持開展檢測、評估人員的培訓。支持開展數據安全技術、產品、服務和管理體系認證。鼓勵檢測、評估、認證機構跨行業(yè)跨領域發(fā)展，推動跨行業(yè)標準互通和結果互認。推動檢測、評估等服務與數據安全相關標準體系的動態(tài)銜接。有效拓展數字經濟國際合作（一）加快貿易數字化發(fā)展以數字化驅動貿易主體轉型和貿易方式變革，營造貿易數字化良好環(huán)境。完善數字貿易促進政策，加強制度供給和法律保障。加大服務業(yè)開放力度，探索放寬數字經濟新業(yè)態(tài)準入，引進全球服務業(yè)跨國公司在華設立運營總部、研發(fā)設計中心、采購物流中心、結算中心，積極引進優(yōu)質外資企業(yè)和創(chuàng)業(yè)團隊，加強國際創(chuàng)新資源引進來。依托自由貿易試驗區(qū)、數字服務出口基地和海南自由貿易港，針對跨境寄遞物流、跨境支付和供應鏈管理等典型場景，構建安全便利的國際互聯網數據專用通道和國際化數據信息專用通道。大力發(fā)展跨境電商，扎實推進跨境電商綜合試驗區(qū)建設，積極鼓勵各業(yè)務環(huán)節(jié)探索創(chuàng)新，培育壯大一批跨境電商龍頭企業(yè)、海外倉領軍企業(yè)和優(yōu)秀產業(yè)園區(qū)，打造跨境電商產業(yè)鏈和生態(tài)圈。（二）推動數字絲綢之路深入發(fā)展加強統籌謀劃，高質量推動中國—東盟智慧城市合作、中國—中東歐數字經濟合作。圍繞多雙邊經貿合作協定，構建貿易投資開放新格局，拓展與東盟、歐盟的數字經濟合作伙伴關系，與非盟和非洲國家研究開展數字經濟領域合作。統籌開展境外數字基礎設施合作，結合當地需求和條件，與共建一帶一路國家開展跨境光纜建設合作，保障網絡基礎設施互聯互通。構建基于區(qū)塊鏈的可信服務網絡和應用支撐平臺，為廣泛開展數字經濟合作提供基礎保障。推動數據存儲、智能計算等新興服務能力全球化發(fā)展。加大金融、物流、電子商務等領域的合作模式創(chuàng)新，支持我國數字經濟企業(yè)走出去，積極參與國際合作。（三）積極構建良好國際合作環(huán)境倡導構建和平、安全、開放、合作、有序的網絡空間命運共同體，積極維護網絡空間主權，加強網絡空間國際合作。加快研究制定符合我國國情的數字經濟相關標準和治理規(guī)則。依托雙邊和多邊合作機制，開展數字經濟標準國際協調和數字經濟治理合作。積極借鑒國際規(guī)則和經驗，圍繞數據跨境流動、市場準入、反壟斷、數字人民幣、數據隱私保護等重大問題探索建立治理規(guī)則。深化政府間數字經濟政策交流對話，建立多邊數字經濟合作伙伴關系，主動參與國際組織數字經濟議題談判，拓展前沿領域合作。構建商事協調、法律顧問、知識產權等專業(yè)化中介服務機制和公共服務平臺，防范各類涉外經貿法律風險，為出海企業(yè)保駕護航。加快推動數字產業(yè)化（一）增強關鍵技術創(chuàng)新能力瞄準傳感器、量子信息、網絡通信、集成電路、關鍵軟件、大數據、人工智能、區(qū)塊鏈、新材料等戰(zhàn)略性前瞻性領域，發(fā)揮我國社會主義制度優(yōu)勢、新型舉國體制優(yōu)勢、超大規(guī)模市場優(yōu)勢，提高數字技術基礎研發(fā)能力。以數字技術與各領域融合應用為導向，推動行業(yè)企業(yè)、平臺企業(yè)和數字技術服務企業(yè)跨界創(chuàng)新，優(yōu)化創(chuàng)新成果快速轉化機制，加快創(chuàng)新技術的工程化、產業(yè)化。鼓勵發(fā)展新型研發(fā)機構、企業(yè)創(chuàng)新聯合體等新型創(chuàng)新主體，打造多元化參與、網絡化協同、市場化運作的創(chuàng)新生態(tài)體系。支持具有自主核心技術的開源社區(qū)、開源平臺、開源項目發(fā)展，推動創(chuàng)新資源共建共享，促進創(chuàng)新模式開放化演進。（二）提升核心產業(yè)競爭力著力提升基礎軟硬件、核心電子元器件、關鍵基礎材料和生產裝備的供給水平，強化關鍵產品自給保障能力。實施產業(yè)鏈強鏈補鏈行動，加強面向多元化應用場景的技術融合和產品創(chuàng)新，提升產業(yè)鏈關鍵環(huán)節(jié)競爭力，完善5G、集成電路、新能源汽車、人工智能、工業(yè)互聯網等重點產業(yè)供應鏈體系。深化新一代信息技術集成創(chuàng)新和融合應用，加快平臺化、定制化、輕量化服務模式創(chuàng)新，打造新興數字產業(yè)新優(yōu)勢。協同推進信息技術軟硬件產品產業(yè)化、規(guī)?；瘧?，加快集成適配和迭代優(yōu)化，推動軟件產業(yè)做大做強，提升關鍵軟硬件技術創(chuàng)新和供給能力。（三）加快培育新業(yè)態(tài)新模式推動平臺經濟健康發(fā)展，引導支持平臺企業(yè)加強數據、產品、內容等資源整合共享，擴大協同辦公、互聯網醫(yī)療等在線服務覆蓋面。深化共享經濟在生活服務領域的應用，拓展創(chuàng)新、生產、供應鏈等資源共享新空間。發(fā)展基于數字技術的智能經濟，加快優(yōu)化智能化產品和服務運營，培育智慧銷售、無人配送、智能制造、反向定制等新增長點。完善多元價值傳遞和貢獻分配體系，有序引導多樣化社交、短視頻、知識分享等新型就業(yè)創(chuàng)業(yè)平臺發(fā)展。（四）營造繁榮有序的產業(yè)創(chuàng)新生態(tài)發(fā)揮數字經濟領軍企業(yè)的引領帶動作用，加強資源共享和數據開放，推動線上線下相結合的創(chuàng)新協同、產能共享、供應鏈互通。鼓勵開源社區(qū)、開發(fā)者平臺等新型協作平臺發(fā)展，培育大中小企業(yè)和社會開發(fā)者開放協作的數字產業(yè)創(chuàng)新生態(tài)，帶動創(chuàng)新型企業(yè)快速壯大。以園區(qū)、行業(yè)、區(qū)域為整體推進產業(yè)創(chuàng)新服務平臺建設，強化技術研發(fā)、標準制修訂、測試評估、應用培訓、創(chuàng)業(yè)孵化等優(yōu)勢資源匯聚，提升產業(yè)創(chuàng)新服務支撐水平。推進數據安全標準體系建設（一）加強數據安全產業(yè)重點標準供給充分發(fā)揮標準對產業(yè)發(fā)展的支撐引領作用，促進產業(yè)技術、產品、服務和應用標準化。鼓勵科研院所、企事業(yè)單位、普通高等院校及職業(yè)院校等各類主體積極參與數據安全產業(yè)評價、數據安全產品技術要求、數據安全產品評測、數據安全服務等標準制定。高質高效推進貫標工作，加大標準應用推廣力度。積極參與數據安全國際標準組織活動，推動國內國際協同發(fā)展。數據安全治理總結與展望根據數據安全推進計劃發(fā)布的《2022年數據安全行業(yè)調研報告》，六成以上參與調研的需求側企業(yè)在制度文件編制、合規(guī)工作開展、技術工具部署等方面推進了相關工作。由此看出，隨著數據安全合規(guī)要求的逐步完善，數據安全治理工作正在高速發(fā)展、有力推進。政策引領與戰(zhàn)略自驅齊頭并進，推進數據安全治理不斷深入。根據調研，合規(guī)需求、防范數據安全風險、企業(yè)自身發(fā)展需要是組織開展數據安全能力建設的主要驅動因素。這說明，一方面，政策驅動的合規(guī)需求對組織數據安全建設具有強推進作用；另一方面，保障數據安全在推動業(yè)務健康運營方面的重要作用愈加明顯。因此，政策引領的外部驅動與發(fā)展戰(zhàn)略的內部驅動將成為數據安全治理工作不斷深入的助推劑。數據驅動的業(yè)務發(fā)展，激勵數據安全治理組織從有型到有效。根據數據安全推進計劃發(fā)布的《2022年數據安全行業(yè)調研報告》，98．2%的受訪者建立了專門的數據安全牽頭管理團隊，數據安全治理組織架構逐漸明晰。但由于數據與業(yè)務密切相關，其在實時產生及流動過程中涉及的主體很多，導致數據安全主體責任邊界的實際劃分及管理仍然存在較大挑戰(zhàn)，如何在不同部門之間建立有效溝通機制，保障業(yè)務的安全合規(guī)開展是下一步關注重點。數據安全風險治理能力的建設與提升，成為數據安全治理的重要組成。由于數據本身具備流動性、泛在性等特點，過長的流轉鏈條、過大的威脅暴露面、過多的數據處理活動等，都為數據安全風險管控帶來挑戰(zhàn)，并進一步影響到數據安全治理的整體成效。為了進一步防范數據泄露、數據篡改等安全事件的發(fā)生，落實數據安全風險的源頭管控，常態(tài)化數據安全風險評估提上日程，基于風險的治理能力建設與提升也成為數據安全治理工作的重要組成部分。第三方數據安全評估認證作為提升數據安全治理能力的主要抓手，將被更多行業(yè)組織引入。在國家層面的支持下，第三方數據安全評估、認證服務市場正在蓬勃發(fā)展。中國信息通信研究院推出的首款市場化數據安全治理能力評估服務，自2020年進入市場以來，共完成了4批次43家組織機構的評估，廣受好評。同時，國家市場監(jiān)督管理總局與國家互聯網信息辦公室推出的數據安全管理認證、個人信息保護認證等工作也在穩(wěn)步推進。越來越多的行業(yè)組織將通過引入第三方評估認證工作，持續(xù)優(yōu)化自身數據安全治理能力。數據分類分級場景建設思路數據分類分級是數據安全治理實踐過程中的關鍵場景，是數據安全工作的橋頭堡和必選題。行業(yè)實踐，七步走建設思路，可供剛開展數據分類分級工作的組織參考。第一步：建立組織保障。對組織而言，數據分類分級工作是一項復雜的長期性工作，是業(yè)務知識、數據知識和安全知識的交叉領域，需要相關部門協作開展。這就需要通過明確數據分類分級工作的組織架構，劃分各部門職責分工，為數據分類分級工作的協同開展提供支撐。在實際工作中，各組織一般有數據安全管理的牽頭部門或團隊統籌數據分類分級工作的開展，而在職責分工上，則體現出一定的差異性。?以某電信運營商為例，在職責劃分方面，明確了由數據安全的管理部門負責制定數據分類分級的方法及策略，規(guī)范數據資產梳理工作，并監(jiān)督數據分類分級工作的落實。而各數據生產運營和使用的責任部門則需要維護本部門的數據資源清單、梳理部門的重要數據目錄、并按照數據安全管理部門制定的標準執(zhí)行數據分類分級規(guī)定動作，制定并落實差異化管控措施等。?以某金融機構為例，在職責劃分方面，明確了由數據安全的管理部門牽頭開展數據分類分級工作，制定相關制度流程，并建設數據分類分級技術能力。由于建設了數據中臺對數據進行統一管理，其他部門僅需配合數據分類分級評估工作，對數據分類分級結果進行復核。?以某互聯網公司為例，在職責劃分方面，明確了由數據安全管理部門負責各類數據的分類、匯總和管理等工作。其他部門主要負責識別本部門的各類敏感數據并同步至數據安全管理部門，同時負責本部門敏感數據相關數據安全管控措施的制定。第二步：進行數據資源梳理。在進行數據分類分級之前，需要對組織內的全部數據資源進行識別、梳理，明確當前組織內部存儲了哪些數據、數據存儲的格式、數據范圍、數據流轉形式、數據訪問控制方式、數據價值高低等問題，并形成數據資源清單。在實際工作中，數據資源的梳理有兩種常見的工作思路。一種是站在數據治理的角度，為了達到對數據質量進行管理的首要目標而進行全量數據的盤點梳理，與此同時，梳理的結果可以復用于數據分類分級工作。一種是站在數據安全的角度，先對敏感數據進行識別梳理，以快速響應相關安全管理要求，再逐漸擴展至全域數據范圍。第三步：明確分類分級方法策略。數據分類分級的方法、策略是指導此項工作開展的重要依據。組織需要參考國家及行業(yè)相關數據分類分級要求及規(guī)范，并結合自身業(yè)務屬性與管理特點，明確數據分類分級的方法、策略，如明確數據分類與定級的基本原則、基本方法等。當前，為指導數據分類分級工作的推進落實，各行業(yè)、各領域紛紛制定相關標準規(guī)范。通過明確數據分類分級工作的原則、方法、定義，并在此基礎上給出部分示例，進一步細化國家關于數據分類分級工作的要求，推動該項工作在不同行業(yè)企業(yè)及組織機構的落地實施。第四步：完成數據分類。組織應根據已制定的數據分類原則，定義包含多個層級的數據類別清單，再對數據資源清單中的數據逐個進行分類。在實際工作中，基礎電信、證券期貨、工業(yè)行業(yè)等領域制定了較為明確的分類方法和示例，有利于行業(yè)組織參考。對于暫未形成分類模板的行業(yè)，組織可以從經營維度按照通用分類模板進行分類1。另外，針對個人信息的分類方式，組織也可以結合GB/T35273-2020《信息安全技術個人信息安全規(guī)范》給出的規(guī)范進行完善?？傮w來說，類別定義一般會根據行業(yè)領域的不同而產生不同的子類劃分方式，需要注意的是不同類別之間不能重復和交叉。第五步：逐類完成定級。數據分級主要從數據安全保護的角度，考慮影響對象、影響程度兩個要素對數據所在的安全級別進行判定。不同行業(yè)分級標準在影響對象和影響程度的劃分上有所不同，從而也導致了分級結果的差異性。組織應根據實際情況完成定級工作。第六步：形成分類分級目錄。組織還需形成整體的數據分類分級目錄，明確數據類別和級別的對應關系，為各部門落實數據分類分級工作提供依據。第七步：制定數據安全策略。在完成數據分類定級的基礎上，還需要依據國家及行業(yè)領域給出的安全保護要求，建立數據分類分級保護策略，對數據實施全流程分類分級管理和保護。數據安全指導思想立足新發(fā)展階段，完整、準確、全面貫徹新發(fā)展理念，構建新發(fā)展格局，堅定不移貫徹總體國家安全觀，統籌發(fā)展和安全，把握數字化發(fā)展機遇，以全面提升數據安全產業(yè)供給能力為主線，以創(chuàng)新為動力、需求為導向、人才為根本，加強核心技術攻關，加快補齊短板，促進各領域深度應用，發(fā)展數據安全服務，構建繁榮產業(yè)生態(tài)，推動數據安全產業(yè)高質量發(fā)展，全面加強數據安全產業(yè)體系和能力，夯實數據安全治理基礎，促進以數據為關鍵要素的數字經濟健康快速發(fā)展。大力推進產業(yè)數字化轉型（一）加快企業(yè)數字化轉型升級引導企業(yè)強化數字化思維，提升員工數字技能和數據管理能力，全面系統推動企業(yè)研發(fā)設計、生產加工、經營管理、銷售服務等業(yè)務數字化轉型。支持有條件的大型企業(yè)打造一體化數字平臺，全面整合企業(yè)內部信息系統，強化全流程數據貫通，加快全價值鏈業(yè)務協同，形成數據驅動的智能決策能力，提升企業(yè)整體運行效率和產業(yè)