2023數(shù)據(jù)安全治理實(shí)踐指南

11數(shù)據(jù)安全治理實(shí)踐指南2023數(shù)據(jù)安全治理實(shí)踐指南2.0數(shù)據(jù)安全治理實(shí)踐指南2.011目錄TOC\o"1-1"\h\u19265一、數(shù)據(jù)安全治理概述 410564（1）以數(shù)據(jù)為中心 423994（2）多元化主體共同參與 24301（3）兼顧發(fā)展與安全 24708二、數(shù)據(jù)安全治理總體視圖 322685三、數(shù)據(jù)安全治理實(shí)踐路線 124771（1）基于數(shù)據(jù)全生命周期的場(chǎng)景劃分 1513679（2）基于業(yè)務(wù)運(yùn)行環(huán)境的場(chǎng)景劃分 1613731四、數(shù)據(jù)分類分級(jí)場(chǎng)景建設(shè)思路 2110668五、數(shù)據(jù)安全治理總結(jié)與展望 279297（1）厘清數(shù)據(jù)安全風(fēng)險(xiǎn)，明確安全治理方向 2821010（2）構(gòu)建數(shù)據(jù)安全治理體系，夯實(shí)數(shù)字化轉(zhuǎn)型基礎(chǔ) 2818925（3）共享行業(yè)經(jīng)驗(yàn)，共建數(shù)據(jù)安全生態(tài) 294213（1）建立規(guī)范化的數(shù)據(jù)安全管理體系 2924135（2）建設(shè)覆蓋數(shù)據(jù)全生命周期的數(shù)據(jù)安全技術(shù)體系 3019840（3）實(shí)施精細(xì)化的數(shù)據(jù)安全運(yùn)營(yíng)體系 3132499（1）構(gòu)建數(shù)據(jù)安全治理框架 374527（2）建立健全數(shù)據(jù)安全治理體系 38一、數(shù)據(jù)安全治理概述發(fā)展數(shù)字經(jīng)濟(jì)、加快培育發(fā)展數(shù)據(jù)要素市場(chǎng)，必須把保障數(shù)據(jù)安全放在突出位置。這就要求我們著力解決數(shù)據(jù)安全領(lǐng)域的突出問(wèn)題，有效提升數(shù)據(jù)安全治理能力。隨著數(shù)據(jù)安全監(jiān)管要求逐漸落地，組織數(shù)據(jù)安全治理動(dòng)力明顯攀升，數(shù)據(jù)安全技術(shù)及服務(wù)供給不斷釋放。整體來(lái)看，數(shù)據(jù)安全治理進(jìn)入快速發(fā)展階段。本章將解析數(shù)據(jù)安全治理概念內(nèi)涵，分析數(shù)據(jù)安全治理要點(diǎn)。內(nèi)涵為指導(dǎo)行業(yè)數(shù)據(jù)安全治理能力建設(shè)，促進(jìn)行業(yè)數(shù)據(jù)安全治理能力發(fā)展，依據(jù)中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)大數(shù)據(jù)技術(shù)標(biāo)準(zhǔn)推進(jìn)委員會(huì)BDC91-2022《數(shù)據(jù)安全治理能力評(píng)估方法》，梳理數(shù)據(jù)安全治理概念內(nèi)涵，本指南認(rèn)為應(yīng)該從廣義和狹義兩個(gè)角度進(jìn)行理解。狹義地說(shuō)，數(shù)據(jù)安全治理是指在組織數(shù)據(jù)安全戰(zhàn)略的指導(dǎo)下，為確保組織數(shù)據(jù)處于有效保護(hù)和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力，內(nèi)外部相關(guān)方協(xié)作實(shí)施的一系列活動(dòng)集合。包括建立數(shù)據(jù)安全治理組織架構(gòu)，制定數(shù)據(jù)安全制度規(guī)范，構(gòu)建數(shù)據(jù)安全技術(shù)體系，建設(shè)數(shù)據(jù)安全人才梯隊(duì)等。廣義地說(shuō)，數(shù)據(jù)安全治理是在國(guó)家數(shù)據(jù)安全戰(zhàn)略的指導(dǎo)下，為形成全社會(huì)共同維護(hù)數(shù)據(jù)安全、促進(jìn)開發(fā)利用和產(chǎn)業(yè)發(fā)展的良好環(huán)境，國(guó)家有關(guān)部門、行業(yè)組織、科研機(jī)構(gòu)、企業(yè)、個(gè)人共同參與和實(shí)施的一系列活動(dòng)集合。包括完善相關(guān)政策法規(guī)，推動(dòng)政策法規(guī)落地，建設(shè)實(shí)施標(biāo)準(zhǔn)體系，研發(fā)應(yīng)用關(guān)鍵技術(shù)，培養(yǎng)專業(yè)人才等。點(diǎn)（1）以數(shù)據(jù)為中心數(shù)據(jù)的高效開發(fā)和利用，涵蓋了數(shù)據(jù)的采集、傳輸、存儲(chǔ)、使用、共享、銷毀等全生命周期的各個(gè)環(huán)節(jié)，不同環(huán)節(jié)的特性不同，都面臨豐富多樣的數(shù)據(jù)安全威脅與風(fēng)險(xiǎn)。因此，必須構(gòu)建以數(shù)據(jù)為中心的數(shù)據(jù)安全治理體系，根據(jù)具體的業(yè)務(wù)場(chǎng)景和各生數(shù)據(jù)安全治理實(shí)踐指南2.0數(shù)據(jù)安全治理實(shí)踐指南2.0PAGEPAGE35命周期環(huán)節(jié)，有針對(duì)性地識(shí)別并解決其中存在的數(shù)據(jù)安全問(wèn)題，防范數(shù)據(jù)安全風(fēng)險(xiǎn)。（2）多元化主體共同參與無(wú)論是從廣義還是狹義的角度出發(fā)，數(shù)據(jù)安全治理不是僅僅依靠一方力量可以開展的工作。對(duì)國(guó)家和社會(huì)而言，面對(duì)數(shù)據(jù)安全領(lǐng)域的諸多挑戰(zhàn)，政府、企業(yè)、行業(yè)組織、甚至個(gè)人都需要發(fā)揮各自優(yōu)勢(shì)，緊密配合，承擔(dān)數(shù)據(jù)安全治理主體責(zé)任，共同營(yíng)造適應(yīng)數(shù)字經(jīng)濟(jì)時(shí)代要求的協(xié)同治理模式。這也與《中華人民共和國(guó)數(shù)據(jù)安全法》（以下簡(jiǎn)稱《數(shù)據(jù)安全法》）中強(qiáng)調(diào)建立各方共同參與的工作機(jī)制相一致。對(duì)組織機(jī)構(gòu)而言，數(shù)據(jù)安全治理需要從組織戰(zhàn)略層面出發(fā)，協(xié)調(diào)管理層、執(zhí)行層等相關(guān)方，打通不同部門之間的溝通障礙，統(tǒng)一內(nèi)部數(shù)據(jù)安全共識(shí)，實(shí)現(xiàn)數(shù)據(jù)安全防護(hù)建設(shè)一盤棋。因此，數(shù)據(jù)安全治理必然是涉及多元化主體共同參與的工作。（3）兼顧發(fā)展與安全隨著國(guó)內(nèi)數(shù)字化建設(shè)的快速推進(jìn)，無(wú)論是政府部門，還是其他組織均沉淀了大量的數(shù)據(jù)。數(shù)字經(jīng)濟(jì)時(shí)代的應(yīng)用場(chǎng)景下，數(shù)據(jù)只有在流動(dòng)中才能充分發(fā)揮其價(jià)值，而數(shù)據(jù)流動(dòng)又必須以保障數(shù)據(jù)安全為前提，因此，必須要辯證看待數(shù)據(jù)安全治理。正如《數(shù)據(jù)安全法》提出的“堅(jiān)持以數(shù)據(jù)開發(fā)利用和產(chǎn)業(yè)發(fā)展促進(jìn)數(shù)據(jù)安全，以數(shù)據(jù)安全保障數(shù)據(jù)開發(fā)利用和產(chǎn)業(yè)發(fā)展。”數(shù)據(jù)安全治理不是強(qiáng)調(diào)數(shù)據(jù)的絕對(duì)安全，而是需要兼顧發(fā)展與安全的平衡。二、數(shù)據(jù)安全治理總體視圖本指南結(jié)合前期大量調(diào)研和數(shù)據(jù)安全治理能力評(píng)估實(shí)踐，依據(jù)中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)大數(shù)據(jù)技術(shù)標(biāo)準(zhǔn)推進(jìn)委員會(huì)BDC91-2022《數(shù)據(jù)安全治理能力評(píng)估方法》，提煉出一套行之有效的數(shù)據(jù)安全治理總體視圖，用以描繪數(shù)據(jù)安全治理的建設(shè)藍(lán)圖和實(shí)踐路線，如圖1所示。圖1數(shù)據(jù)安全治理總體視圖

來(lái)源：數(shù)據(jù)安全推進(jìn)計(jì)劃理目標(biāo)數(shù)據(jù)安全治理目標(biāo)是組織數(shù)據(jù)安全治理工作開展的前進(jìn)方向。本指南認(rèn)為其主要包括滿足合規(guī)要求、管理數(shù)據(jù)安全風(fēng)險(xiǎn)、促進(jìn)數(shù)據(jù)開發(fā)利用三方面。滿足合規(guī)要求。逐漸細(xì)化的數(shù)據(jù)安全監(jiān)管要求，為組織數(shù)據(jù)安全合規(guī)工作的推進(jìn)提出了更高的要求。及時(shí)發(fā)現(xiàn)合規(guī)差距，協(xié)助組織履行數(shù)據(jù)安全責(zé)任義務(wù)，為業(yè)務(wù)的穩(wěn)定運(yùn)行和規(guī)范化開展筑牢根基是數(shù)據(jù)安全治理工作的首要目標(biāo)。管理數(shù)據(jù)安全風(fēng)險(xiǎn)。不斷產(chǎn)出的海量數(shù)據(jù)在動(dòng)態(tài)實(shí)時(shí)流轉(zhuǎn)過(guò)程中，面臨著較大的風(fēng)險(xiǎn)暴露面，數(shù)據(jù)安全威脅及帶來(lái)的影響與日俱增。疊加數(shù)據(jù)安全邊界較為模糊、數(shù)據(jù)安全基礎(chǔ)不夠強(qiáng)韌等問(wèn)題，組織數(shù)據(jù)安全風(fēng)險(xiǎn)的有效管理必然是數(shù)據(jù)安全治理的重要使命。促進(jìn)數(shù)據(jù)開發(fā)利用。數(shù)字經(jīng)濟(jì)的高速發(fā)展離不開數(shù)據(jù)價(jià)值的充分釋放，數(shù)據(jù)安全則是保障數(shù)據(jù)價(jià)值釋放的重要基石。數(shù)據(jù)安全治理通過(guò)體系化的建設(shè)，完善組織的合規(guī)管理和風(fēng)險(xiǎn)管理工作機(jī)制，提升數(shù)據(jù)安全保護(hù)水平，促進(jìn)數(shù)據(jù)的開發(fā)利用。理體系數(shù)據(jù)安全治理體系是組織達(dá)成數(shù)據(jù)安全治理目標(biāo)需要具備的能力框架，組織應(yīng)圍繞該體系進(jìn)行建設(shè)。本指南提出的數(shù)據(jù)安全治理體系是一個(gè)三層架構(gòu)，分別包括數(shù)據(jù)安全戰(zhàn)略層、數(shù)據(jù)全生命周期安全層和基礎(chǔ)安全層。數(shù)據(jù)安全戰(zhàn)略層是推進(jìn)數(shù)據(jù)安全治理工作開展的戰(zhàn)略保障模塊，要求組織在啟動(dòng)各項(xiàng)工作前，應(yīng)制定相應(yīng)的戰(zhàn)略規(guī)劃。數(shù)據(jù)安全戰(zhàn)略從數(shù)據(jù)安全規(guī)劃、機(jī)構(gòu)人員管理兩方面入手，前者確立目標(biāo)任務(wù)，后者組建治理團(tuán)隊(duì)。數(shù)據(jù)安全規(guī)劃要求根據(jù)國(guó)家政策、組織業(yè)務(wù)發(fā)展需要以及數(shù)據(jù)安全需求等多方面因素明確組織整體數(shù)據(jù)安全規(guī)劃。機(jī)構(gòu)人員管理要求建立負(fù)責(zé)組織內(nèi)部數(shù)據(jù)安全工作的部門、崗位和人員，并與人力資源管理部門進(jìn)行聯(lián)動(dòng)，防范機(jī)構(gòu)人員管理過(guò)程中存在的數(shù)據(jù)安全風(fēng)險(xiǎn)。數(shù)據(jù)全生命周期安全層是評(píng)估組織數(shù)據(jù)安全合規(guī)及風(fēng)險(xiǎn)管理等工作下沉至各業(yè)務(wù)場(chǎng)景能力水平的重要模塊。要求組織以采集、傳輸、存儲(chǔ)、使用、共享、銷毀等環(huán)節(jié)為切入點(diǎn)，設(shè)置管控點(diǎn)和管理流程，保障數(shù)據(jù)安全。具體來(lái)說(shuō)包括：數(shù)據(jù)采集安全是指根據(jù)組織對(duì)數(shù)據(jù)采集的安全要求，建立數(shù)據(jù)采集安全管理措施和安全防護(hù)措施，規(guī)范數(shù)據(jù)采集相關(guān)流程，從而保證數(shù)據(jù)采集的合法、合規(guī)、正當(dāng)和誠(chéng)信。數(shù)據(jù)傳輸安全是指根據(jù)組織對(duì)內(nèi)和對(duì)外的數(shù)據(jù)傳輸需求，建立不同的數(shù)據(jù)加密保護(hù)策略和安全防護(hù)措施，防止傳輸過(guò)程中的數(shù)據(jù)泄露等風(fēng)險(xiǎn)。數(shù)據(jù)存儲(chǔ)安全是指根據(jù)組織內(nèi)部數(shù)據(jù)存儲(chǔ)安全要求，提供有效的技術(shù)和管理手段，防止對(duì)存儲(chǔ)介質(zhì)的不當(dāng)使用而可能引發(fā)的數(shù)據(jù)泄露風(fēng)險(xiǎn)，并規(guī)范數(shù)據(jù)存儲(chǔ)的冗余管理流程，保障數(shù)據(jù)可用性，實(shí)現(xiàn)數(shù)據(jù)存儲(chǔ)安全。數(shù)據(jù)使用安全是指根據(jù)數(shù)據(jù)使用過(guò)程面臨的安全風(fēng)險(xiǎn)，建立有效的數(shù)據(jù)使用安全管控措施和數(shù)據(jù)處理環(huán)境的安全保護(hù)機(jī)制，防止數(shù)據(jù)處理過(guò)程的風(fēng)險(xiǎn)。數(shù)據(jù)共享安全是指根據(jù)組織對(duì)外提供或交換數(shù)據(jù)的需求，建立有效的數(shù)據(jù)交換安全防護(hù)措施，降低數(shù)據(jù)共享場(chǎng)景下的安全風(fēng)險(xiǎn)。數(shù)據(jù)銷毀安全是指通過(guò)制定數(shù)據(jù)銷毀機(jī)制，實(shí)現(xiàn)有效的數(shù)據(jù)銷毀管控，防止因?qū)Υ鎯?chǔ)介質(zhì)中的數(shù)據(jù)進(jìn)行恢復(fù)而導(dǎo)致的數(shù)據(jù)泄露風(fēng)險(xiǎn)?；A(chǔ)安全層作為數(shù)據(jù)全生命周期安全能力建設(shè)的基本支撐模塊，可以在多個(gè)生命周期環(huán)節(jié)內(nèi)復(fù)用，是整個(gè)數(shù)據(jù)安全治理體系建設(shè)的通用要求，能夠?qū)崿F(xiàn)建設(shè)資源的有效整合。具體來(lái)說(shuō)包括：數(shù)據(jù)分類分級(jí)是指根據(jù)法律法規(guī)以及業(yè)務(wù)需求，明確組織內(nèi)部的數(shù)據(jù)分類分級(jí)原則及方法，并對(duì)數(shù)據(jù)進(jìn)行分類分級(jí)標(biāo)識(shí)，以實(shí)現(xiàn)差異化的數(shù)據(jù)安全管理。合規(guī)管理是指根據(jù)組織內(nèi)部的業(yè)務(wù)需求和業(yè)務(wù)開展場(chǎng)景，明確相關(guān)法律法規(guī)要求，通過(guò)制定管理措施降低組織面臨的合規(guī)風(fēng)險(xiǎn)。合作方管理是指通過(guò)建立組織的合作方管理機(jī)制，防范組織對(duì)外合作中的數(shù)據(jù)安全風(fēng)險(xiǎn)。監(jiān)控審計(jì)是指通過(guò)建立監(jiān)控及審計(jì)的工作機(jī)制，有效防范不正當(dāng)?shù)臄?shù)據(jù)訪問(wèn)和操作行為，降低數(shù)據(jù)全生命周期未授權(quán)訪問(wèn)、數(shù)據(jù)濫用、數(shù)據(jù)泄露等安全風(fēng)險(xiǎn)。身份認(rèn)證與訪問(wèn)控制是指根據(jù)組織的安全合規(guī)要求，建立用戶身份認(rèn)證和訪問(wèn)控制管理機(jī)制，防止對(duì)數(shù)據(jù)的未授權(quán)訪問(wèn)。安全風(fēng)險(xiǎn)分析是指根據(jù)組織的業(yè)務(wù)場(chǎng)景建立數(shù)據(jù)安全風(fēng)險(xiǎn)分析體系，將風(fēng)險(xiǎn)控制在可接受的水平，最大限度的保障數(shù)據(jù)安全。安全事件應(yīng)急是指通過(guò)建立數(shù)據(jù)安全應(yīng)急響應(yīng)體系，確保在發(fā)生數(shù)據(jù)安全事件理維度以數(shù)據(jù)安全治理目標(biāo)為指引，圍繞數(shù)據(jù)安全治理體系框架，可以從組織架構(gòu)、制度體系、技術(shù)工具和人員能力四個(gè)維度開展治理能力建設(shè)工作，以解決“誰(shuí)來(lái)干”、“怎么干”、“干的如何”、“有沒(méi)有能力干”等關(guān)鍵問(wèn)題。全組織架構(gòu)是數(shù)據(jù)安全治理體系建設(shè)的前提條件。通過(guò)建立專門的數(shù)據(jù)安全組織，落實(shí)數(shù)據(jù)安全管理責(zé)任，確保數(shù)據(jù)安全相關(guān)工作能夠持續(xù)穩(wěn)定的貫徹執(zhí)行。同時(shí)，因數(shù)據(jù)安全治理是一項(xiàng)多元化主體共同參與的復(fù)雜工作，明確的組織架構(gòu)有助于劃分各參與主體的數(shù)據(jù)安全權(quán)責(zé)邊界，促進(jìn)協(xié)同機(jī)制的建立，實(shí)現(xiàn)組織數(shù)據(jù)安全治理一盤棋。在一個(gè)組織內(nèi)部，安全部門、合規(guī)部門、風(fēng)控部門、內(nèi)審部門、業(yè)務(wù)部門、人力部門等都需要參與到數(shù)據(jù)安全治理的具體工作中，相互協(xié)同，共同保障組織的數(shù)據(jù)安全。一種較為典型的數(shù)據(jù)安全治理組織架構(gòu)一般由決策層、管理層、執(zhí)行層與監(jiān)督層構(gòu)成，如圖2所示，各層之間通過(guò)定期會(huì)議溝通等工作機(jī)制實(shí)現(xiàn)緊密合作、相互協(xié)同。決策層指導(dǎo)管理層工作的開展，并聽取管理層關(guān)于工作情況和重大事項(xiàng)等的匯報(bào)。管理層對(duì)執(zhí)行層的數(shù)據(jù)安全提出管理要求，并聽取執(zhí)行層關(guān)于數(shù)據(jù)安全執(zhí)行情況和重大事項(xiàng)的匯報(bào)，形成管理閉環(huán)。監(jiān)督層對(duì)管理層和執(zhí)行層各自職責(zé)范圍內(nèi)的數(shù)據(jù)安全工作情況進(jìn)行監(jiān)督，并聽取各方匯報(bào)，形成最終監(jiān)督結(jié)論后同步匯報(bào)至決策層。來(lái)源：數(shù)據(jù)安全推進(jìn)計(jì)劃圖2數(shù)據(jù)安全治理組織架構(gòu)示例各層的主要分工和構(gòu)成如表1所示。決策層以虛擬組織的形式存在，如數(shù)據(jù)安全領(lǐng)導(dǎo)小組，該小組一般由組織的高層領(lǐng)導(dǎo)及相關(guān)部門負(fù)責(zé)人共同構(gòu)成，主要負(fù)責(zé)對(duì)數(shù)據(jù)安全的重大事項(xiàng)進(jìn)行統(tǒng)籌決策。管理層一般由安全部門或數(shù)據(jù)部門牽頭，負(fù)責(zé)數(shù)據(jù)安全的管理、建設(shè)、宣貫等工作。執(zhí)行部門一般由業(yè)務(wù)部門或數(shù)據(jù)生產(chǎn)部門構(gòu)成，負(fù)責(zé)在本部門內(nèi)落實(shí)執(zhí)行各項(xiàng)數(shù)據(jù)安全管理要求。監(jiān)督層涉及到合規(guī)部門、風(fēng)控部門、內(nèi)審部門等，負(fù)責(zé)從不同的角度對(duì)數(shù)據(jù)安全治理工作的開展情況進(jìn)行監(jiān)督。表1數(shù)據(jù)安全組織職責(zé)分工表數(shù)據(jù)安全責(zé)任決策層管理層執(zhí)行層監(jiān)督層組織高層領(lǐng)導(dǎo)及相關(guān)部門負(fù)責(zé)人/門/產(chǎn)部門合規(guī)、風(fēng)控、內(nèi)審等部門安全策略規(guī)劃牽頭負(fù)責(zé)落實(shí)執(zhí)行遵照?qǐng)?zhí)行落實(shí)監(jiān)督安全工作管理/牽頭負(fù)責(zé)遵照?qǐng)?zhí)行落實(shí)監(jiān)督安全能力建設(shè)/牽頭負(fù)責(zé)遵照?qǐng)?zhí)行落實(shí)監(jiān)督安全制度建設(shè)/牽頭負(fù)責(zé)遵照?qǐng)?zhí)行落實(shí)監(jiān)督安全落地執(zhí)行/日常監(jiān)督牽頭負(fù)責(zé)落實(shí)監(jiān)督安全運(yùn)營(yíng)管理/牽頭負(fù)責(zé)遵照?qǐng)?zhí)行落實(shí)監(jiān)督安全教育培訓(xùn)/牽頭負(fù)責(zé)遵照?qǐng)?zhí)行落實(shí)監(jiān)督來(lái)源：數(shù)據(jù)安全推進(jìn)計(jì)劃因不同組織的部門設(shè)置都有較大不同，涉及到實(shí)際組織體系建設(shè)時(shí)，不同單位還需結(jié)合現(xiàn)有組織架構(gòu)，進(jìn)行適度的調(diào)整和補(bǔ)充。全制度流程一般會(huì)從業(yè)務(wù)數(shù)據(jù)安全需求、數(shù)據(jù)安全風(fēng)險(xiǎn)控制需要，以及法律法規(guī)合規(guī)性要求等幾個(gè)方面進(jìn)行梳理，最終確定數(shù)據(jù)安全防護(hù)的目標(biāo)、管理策略及具體的標(biāo)準(zhǔn)、規(guī)范、程序等。數(shù)據(jù)安全管理制度文件可分為四個(gè)層面，一、二級(jí)文件作為上層的管理要求，應(yīng)具備科學(xué)性、合理性、完備性及普適性。三、四級(jí)文件則是對(duì)上層管理要求的細(xì)化解讀，用于指導(dǎo)具體業(yè)務(wù)場(chǎng)景的具體工作。常見的制度體系如圖3所示。來(lái)源：數(shù)據(jù)安全推進(jìn)計(jì)劃圖3數(shù)據(jù)安全治理制度體系示例則。一級(jí)文件是由決策層明確的面向組織的數(shù)據(jù)安全管理方針、政策、目標(biāo)及基本原二級(jí)文件是由管理層根據(jù)一級(jí)文件制定的通用管理辦法、制度及標(biāo)準(zhǔn)。三級(jí)文件則。一般由管理層、執(zhí)行層根據(jù)二級(jí)管理辦法確定各業(yè)務(wù)、各環(huán)節(jié)的具體操作指南、規(guī)范。四級(jí)文件屬于輔助文件，是各項(xiàng)具體制度執(zhí)行時(shí)產(chǎn)生的過(guò)程性文檔，一般包括工作計(jì)劃、申請(qǐng)表單、審核記錄、日志文件、清單列表等內(nèi)容。根據(jù)圖3所示的常見制度體系，圍繞數(shù)據(jù)全生命周期安全要求，可以參考圖4完善組織各級(jí)制度文件內(nèi)容。圖4一套可參考的數(shù)據(jù)安全管理制度體系

來(lái)源：數(shù)據(jù)安全推進(jìn)計(jì)劃全技術(shù)體系并非單一產(chǎn)品或平臺(tái)的構(gòu)建，而是覆蓋數(shù)據(jù)全生命周期，結(jié)合組織自身使用場(chǎng)景的體系建設(shè)。依照組織數(shù)據(jù)安全建設(shè)的方針總則，圍繞數(shù)據(jù)全生命周期各階段的安全要求，建立與制度流程相配套的技術(shù)和工具。一種數(shù)據(jù)安全治理技術(shù)體系如圖5所示。圖5數(shù)據(jù)安全治理技術(shù)體系

來(lái)源：數(shù)據(jù)安全推進(jìn)計(jì)劃其中基礎(chǔ)通用技術(shù)工具為數(shù)據(jù)全生命周期的安全提供支撐：數(shù)據(jù)分類分級(jí)相關(guān)工具平臺(tái)主要實(shí)現(xiàn)數(shù)據(jù)資產(chǎn)掃描梳理、數(shù)據(jù)分類分級(jí)打標(biāo)和數(shù)據(jù)分類分級(jí)管理等功能。身份認(rèn)證及訪問(wèn)控制相關(guān)工具平臺(tái)，主要實(shí)現(xiàn)在數(shù)據(jù)全生命周期各環(huán)節(jié)中涉及的所有業(yè)務(wù)系統(tǒng)和管理平臺(tái)的身份認(rèn)證和權(quán)限管理。監(jiān)控審計(jì)相關(guān)工具平臺(tái)接入業(yè)務(wù)系統(tǒng)和管理平臺(tái)，實(shí)現(xiàn)對(duì)數(shù)據(jù)安全風(fēng)險(xiǎn)的實(shí)時(shí)監(jiān)控，并能進(jìn)行統(tǒng)一審計(jì)。日志管理平臺(tái)收集并分析所有業(yè)務(wù)系統(tǒng)和管理平臺(tái)的日志，并統(tǒng)一日志規(guī)范以支持后續(xù)的風(fēng)險(xiǎn)分析和審計(jì)等工作。安全及合規(guī)評(píng)估相關(guān)工具平臺(tái)主要用于綜合評(píng)估數(shù)據(jù)安全現(xiàn)狀和合規(guī)風(fēng)險(xiǎn)。數(shù)據(jù)全生命周期安全技術(shù)為生命周期中特定環(huán)節(jié)面臨的風(fēng)險(xiǎn)提供管控技術(shù)保障。整個(gè)數(shù)據(jù)全生命周期可以通過(guò)組合或復(fù)用以下多種技術(shù)實(shí)現(xiàn)數(shù)據(jù)安全：敏感數(shù)據(jù)識(shí)別通過(guò)對(duì)采集的數(shù)據(jù)進(jìn)行識(shí)別和梳理，發(fā)現(xiàn)其中的敏感數(shù)據(jù)，以便進(jìn)行安全管理。備份與恢復(fù)技術(shù)是防止數(shù)據(jù)破壞、丟失的的有效手段，用于保證數(shù)據(jù)可用性和完整性。數(shù)據(jù)加密相關(guān)工具平臺(tái)通過(guò)提供常見的加密模塊及密鑰管理能力，落地?cái)?shù)據(jù)的加密需求。數(shù)據(jù)脫敏是通過(guò)一定的規(guī)則對(duì)特定數(shù)據(jù)對(duì)象進(jìn)行變形的一類技術(shù)，用于防止數(shù)據(jù)泄露和違規(guī)使用等。數(shù)據(jù)水印技術(shù)通過(guò)對(duì)數(shù)據(jù)進(jìn)行處理使其承載特定信息，使得數(shù)據(jù)具備追溯數(shù)據(jù)所有者與分發(fā)對(duì)象等信息的能力。在數(shù)據(jù)處理過(guò)程中起到威懾及追責(zé)的作用。數(shù)據(jù)泄密防護(hù)技術(shù)通過(guò)終端防泄露技術(shù)、郵件防泄露技術(shù)、網(wǎng)絡(luò)防泄露技術(shù)，防止敏感數(shù)據(jù)在違反安全策略規(guī)定的情況下流出企業(yè)。API安全管理相關(guān)工具平臺(tái)提供內(nèi)部接口和外部接口的安全管控和監(jiān)控審計(jì)能力，保障數(shù)據(jù)傳輸接口安全。數(shù)據(jù)刪除是一種邏輯刪除技術(shù)，為保證刪除數(shù)據(jù)的不可恢復(fù)，一般會(huì)采取數(shù)據(jù)多次的覆寫、清除等操作。介質(zhì)銷毀一般通過(guò)消磁機(jī)或者物理?yè)v毀等方式對(duì)數(shù)據(jù)所在的介質(zhì)進(jìn)行物理銷毀。隱私計(jì)算通過(guò)實(shí)現(xiàn)數(shù)據(jù)的可用不可見，從而滿足隱私安全保護(hù)、價(jià)值轉(zhuǎn)化及釋放。全治理離不開相應(yīng)人員的具體執(zhí)行，人員的技術(shù)能力、管理能力等都影響到數(shù)據(jù)安全策略的執(zhí)行和效果。因此，加強(qiáng)對(duì)數(shù)據(jù)安全人才的培養(yǎng)是數(shù)據(jù)安全治理的應(yīng)有之義。組織需要根據(jù)崗位職責(zé)、人員角色，明確相應(yīng)的能力要求，并從意識(shí)和能力兩方面著手建立適配的數(shù)據(jù)安全能力培養(yǎng)機(jī)制，如表2所示。意識(shí)能力培養(yǎng)方式。可以結(jié)合業(yè)務(wù)開展的實(shí)際場(chǎng)景，以及數(shù)據(jù)安全事件實(shí)際案例，表2不同類型人員的數(shù)據(jù)安全能力要求和培養(yǎng)機(jī)制人員類型數(shù)據(jù)安全能力要求培養(yǎng)機(jī)制全員數(shù)據(jù)安全意識(shí)、員工安全操作規(guī)范宣貫領(lǐng)導(dǎo)層數(shù)據(jù)安全意識(shí)、法律法規(guī)政策宣貫專業(yè)技術(shù)人員數(shù)據(jù)安全技術(shù)、業(yè)務(wù)能力、合規(guī)能力宣貫、能力認(rèn)證結(jié)合來(lái)源：數(shù)據(jù)安全推進(jìn)計(jì)劃通過(guò)數(shù)據(jù)安全事件宣導(dǎo)、數(shù)據(jù)安全事件場(chǎng)景還原、數(shù)據(jù)安全宣傳海報(bào)、數(shù)據(jù)安全月活動(dòng)等方式，定期為員工開展數(shù)據(jù)安全意識(shí)培訓(xùn)，糾正工作中的不良習(xí)慣，降低因意識(shí)不足帶來(lái)的數(shù)據(jù)安全風(fēng)險(xiǎn)。技術(shù)能力培養(yǎng)方式。一方面，構(gòu)建組織內(nèi)部的數(shù)據(jù)安全學(xué)習(xí)專區(qū)，營(yíng)造培訓(xùn)環(huán)境，通過(guò)線上視頻、線下授課相結(jié)合的方式，按計(jì)劃、有主題的定期開展數(shù)據(jù)安全技能培訓(xùn)，夯實(shí)理論知識(shí)。另一方面，通過(guò)開展數(shù)據(jù)安全攻防對(duì)抗等實(shí)戰(zhàn)演練，將以教學(xué)為主的靜態(tài)培訓(xùn)轉(zhuǎn)為以實(shí)踐為主的動(dòng)態(tài)培訓(xùn)，提高人員參與積極性，有助于理論向?qū)嵺`轉(zhuǎn)化，切實(shí)提高人員數(shù)據(jù)安全技能。為保障培訓(xùn)效果，形成人員能力培養(yǎng)的管理閉環(huán)，還需要結(jié)合能力考核的管理機(jī)制。通過(guò)結(jié)合人員角色及崗位職責(zé)，構(gòu)建數(shù)據(jù)安全能力考核試題庫(kù)，通過(guò)考核平臺(tái)分發(fā)日常測(cè)驗(yàn)及各項(xiàng)考核內(nèi)容，評(píng)估人員數(shù)據(jù)安全理論基礎(chǔ)。同時(shí)將人員在實(shí)戰(zhàn)演練中的實(shí)際操作能力作為重要考核指標(biāo)，以綜合評(píng)估數(shù)據(jù)安全人員能力水平。理實(shí)踐數(shù)據(jù)安全治理體系給出了組織數(shù)據(jù)安全治理的建設(shè)框架，如何將整套框架切實(shí)應(yīng)用于建設(shè)過(guò)程，離不開實(shí)踐路線的繪制。本指南基于行業(yè)發(fā)展現(xiàn)狀，提煉出“全局體系規(guī)劃，場(chǎng)景有序落地，運(yùn)營(yíng)持續(xù)加強(qiáng)，評(píng)估助力優(yōu)化”的數(shù)據(jù)安全治理實(shí)踐理念，并進(jìn)一步豐富形成“規(guī)劃—建設(shè)—運(yùn)營(yíng)—優(yōu)化”的閉環(huán)路線，用以指導(dǎo)各行業(yè)組織數(shù)據(jù)安全治理工作的落地推進(jìn)。該實(shí)踐路線將在下一章展開論述。三、數(shù)據(jù)安全治理實(shí)踐路線基于以上數(shù)據(jù)安全治理實(shí)踐理念，可以按照自頂向下和自底向上相結(jié)合的思路推優(yōu)化為主線，圍繞構(gòu)建數(shù)據(jù)安全治理體系這一核心，從組織架構(gòu)、制度流程、技術(shù)工具和人員能力四個(gè)維度構(gòu)建全局建設(shè)思路。另一方面，組織自底向上，針對(duì)各業(yè)務(wù)場(chǎng)景敏捷落地相關(guān)數(shù)據(jù)安全能力點(diǎn)，以快速滿足業(yè)務(wù)場(chǎng)景的數(shù)據(jù)安全需求，降低數(shù)據(jù)安全治理的長(zhǎng)期性對(duì)業(yè)務(wù)開展的影響。通過(guò)各個(gè)場(chǎng)景的建設(shè)與完善，最終全面覆蓋組織的所有數(shù)據(jù)處理活動(dòng)。以上的實(shí)踐過(guò)程可以有效避免管理和技術(shù)的“兩張皮”問(wèn)題。全規(guī)劃數(shù)據(jù)安全規(guī)劃階段主要確定組織數(shù)據(jù)安全治理工作的總體定位和愿景，根據(jù)組織整體發(fā)展戰(zhàn)略內(nèi)容，結(jié)合實(shí)際情況進(jìn)行現(xiàn)狀分析，制定數(shù)據(jù)安全規(guī)劃，并對(duì)規(guī)劃進(jìn)行充分論證。通過(guò)現(xiàn)狀分析找到數(shù)據(jù)安全治理的核心訴求及差距項(xiàng)，以此作為規(guī)劃設(shè)計(jì)的依據(jù)?？梢詮陌踩弦?guī)對(duì)標(biāo)、風(fēng)險(xiǎn)現(xiàn)狀分析、行業(yè)最佳實(shí)踐對(duì)比入手。一是數(shù)據(jù)安全合規(guī)對(duì)標(biāo)。數(shù)據(jù)安全合規(guī)是組織履行數(shù)據(jù)安全相關(guān)責(zé)任義務(wù)的底線要求。不同組織應(yīng)對(duì)組織適用的外部法律法規(guī)、監(jiān)管要求、標(biāo)準(zhǔn)規(guī)范等進(jìn)行梳理，將重要條款與現(xiàn)有情況進(jìn)行對(duì)比，分析其差距，確定合規(guī)需求。二是數(shù)據(jù)安全風(fēng)險(xiǎn)現(xiàn)狀分析。有效的數(shù)據(jù)安全風(fēng)險(xiǎn)管理是組織推進(jìn)業(yè)務(wù)發(fā)展的重要保障。不同組織需結(jié)合其業(yè)務(wù)場(chǎng)景，基于數(shù)據(jù)全生命周期安全防護(hù)要求，通過(guò)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估等方式識(shí)別數(shù)據(jù)面臨的安全威脅及所在環(huán)境的脆弱性，形成風(fēng)險(xiǎn)問(wèn)題清單，提煉數(shù)據(jù)安全建設(shè)需求點(diǎn)。三是行業(yè)最佳實(shí)踐對(duì)比。行業(yè)對(duì)比是組織經(jīng)營(yíng)決策的主要參考。通過(guò)分析同行業(yè)的數(shù)據(jù)安全建設(shè)先進(jìn)案例，并與組織現(xiàn)狀進(jìn)行橫向?qū)Ρ?，有助于提煉出更加適宜的數(shù)據(jù)安全建設(shè)方向和建設(shè)思路。根據(jù)現(xiàn)狀分析結(jié)果，結(jié)合數(shù)據(jù)安全治理目標(biāo)，給出可落地實(shí)施的數(shù)據(jù)安全治理規(guī)劃方案，并提煉重點(diǎn)目標(biāo)和任務(wù)，分階段落實(shí)到工程實(shí)施中。方案規(guī)劃可以從前文所述的四個(gè)數(shù)據(jù)安全治理維度入手，通過(guò)對(duì)組織架構(gòu)、制度流程、技術(shù)工具、人員能力的不斷建設(shè)與完善達(dá)成建設(shè)目標(biāo)。以一個(gè)數(shù)據(jù)安全治理建設(shè)剛起步的企業(yè)為例，一般來(lái)說(shuō)，可以將數(shù)據(jù)安全規(guī)劃分為三個(gè)階段，如圖6所示。圖6數(shù)據(jù)安全治理規(guī)劃示例

來(lái)源：數(shù)據(jù)安全推進(jìn)計(jì)劃第一階段，組織尚處于數(shù)據(jù)安全治理建設(shè)初期，急需在內(nèi)部明確數(shù)據(jù)安全治理職責(zé)分工和管理要求，因而建議主要完成初步的數(shù)據(jù)安全治理體系建設(shè)工作，包括數(shù)據(jù)安全組織機(jī)構(gòu)的建立、數(shù)據(jù)安全制度體系的編制、數(shù)據(jù)安全基礎(chǔ)能力建設(shè)以及數(shù)據(jù)安全意識(shí)培訓(xùn)宣貫。同時(shí)數(shù)據(jù)分類分級(jí)作為實(shí)施數(shù)據(jù)安全管理措施和技術(shù)措施的前提，是一個(gè)需要提前布局且長(zhǎng)期推進(jìn)的工作。第二階段，組織有了一定的數(shù)據(jù)安全治理基礎(chǔ)，可以在這一階段著重完善數(shù)據(jù)安全技術(shù)能力體系，通過(guò)建設(shè)統(tǒng)一的管理平臺(tái)，全面落實(shí)數(shù)據(jù)安全管理規(guī)范及策略要求，并通過(guò)常態(tài)化數(shù)據(jù)安全運(yùn)營(yíng)，實(shí)現(xiàn)持續(xù)的數(shù)據(jù)安全保障能力。同時(shí)，應(yīng)加強(qiáng)數(shù)據(jù)安全能力培訓(xùn)體系的構(gòu)建，培養(yǎng)復(fù)合型數(shù)據(jù)安全專業(yè)人才，壯大數(shù)據(jù)安全人才隊(duì)伍。第三階段，組織已經(jīng)初步建成數(shù)據(jù)安全治理體系，這一階段以持續(xù)優(yōu)化為主要目標(biāo)，重在建立數(shù)據(jù)安全治理的量化評(píng)估體系，定期開展數(shù)據(jù)安全評(píng)估評(píng)測(cè)，監(jiān)測(cè)各項(xiàng)指標(biāo)的達(dá)標(biāo)情況。再根據(jù)評(píng)估評(píng)測(cè)結(jié)果及時(shí)優(yōu)化建設(shè)內(nèi)容，最終達(dá)到較高的數(shù)據(jù)安全治理水平。同時(shí)，通過(guò)提煉并輸出成功經(jīng)驗(yàn)，促進(jìn)行業(yè)共同進(jìn)步。規(guī)劃方案在建設(shè)過(guò)程的順利實(shí)施，應(yīng)從以下方面進(jìn)行論證分析。一是可行性分析，根據(jù)組織現(xiàn)狀，明確人力、物力、資金的投入與產(chǎn)生的效益對(duì)比，協(xié)調(diào)數(shù)據(jù)安全管理機(jī)制和技術(shù)能力建設(shè)與業(yè)務(wù)系統(tǒng)之間的分歧，確保在業(yè)務(wù)發(fā)展與安全保障之間達(dá)到平衡。二是安全性分析，方案在正式實(shí)施前，要進(jìn)行詳細(xì)的方案論證分析，確?？梢栽跇I(yè)務(wù)穩(wěn)定運(yùn)行的前提下實(shí)施治理建設(shè)，同時(shí)要考慮治理過(guò)程中可能產(chǎn)生的新風(fēng)險(xiǎn)，避免未知風(fēng)險(xiǎn)的引入。三是可持續(xù)性分析，數(shù)據(jù)安全治理是持續(xù)性過(guò)程，隨著業(yè)務(wù)拓展和技術(shù)進(jìn)步，規(guī)劃方案在保證與當(dāng)前組織現(xiàn)有體系兼容的同時(shí)，也要考慮與后續(xù)的發(fā)展相適應(yīng)。因此數(shù)據(jù)安全治理方案不僅要考慮當(dāng)下，還要著眼于未來(lái)。在滿足當(dāng)前數(shù)據(jù)安全需求的同時(shí)，還要適應(yīng)后續(xù)的持續(xù)發(fā)展。全建設(shè)數(shù)據(jù)安全建設(shè)階段主要對(duì)數(shù)據(jù)安全規(guī)劃進(jìn)行落地實(shí)施，建成與組織相適應(yīng)的數(shù)據(jù)安全治理能力，包括組織架構(gòu)的建設(shè)、制度體系的完善、技術(shù)工具的建立和人員能力的培養(yǎng)等。通過(guò)數(shù)據(jù)安全規(guī)劃，組織對(duì)如何從零開始建設(shè)數(shù)據(jù)安全治理體系有了一定認(rèn)知，同時(shí)也應(yīng)意識(shí)到數(shù)據(jù)安全治理的建設(shè)是一項(xiàng)需要長(zhǎng)期開展和持續(xù)投入的工作，無(wú)法一蹴而就。為了快速響應(yīng)不同業(yè)務(wù)場(chǎng)景下不同的數(shù)據(jù)安全策略要求，應(yīng)基于場(chǎng)景需要選擇性部署技術(shù)工具，編制三級(jí)操作指南文件，形成四級(jí)記錄模板。通過(guò)逐個(gè)場(chǎng)景的數(shù)據(jù)安全建設(shè)，最終推動(dòng)數(shù)據(jù)安全治理體系在組織內(nèi)的全面落地。本指南梳理了場(chǎng)景化數(shù)據(jù)安全治理建設(shè)的總體路線，如圖7所示。來(lái)源：數(shù)據(jù)安全推進(jìn)計(jì)劃圖7場(chǎng)景化數(shù)據(jù)安全建設(shè)五步走景是織進(jìn)行場(chǎng)景化數(shù)據(jù)安全治理建設(shè)的前提，可以幫助組織了解數(shù)據(jù)安全治理對(duì)象全貌，為組織場(chǎng)景化數(shù)據(jù)安全治理提供行動(dòng)地圖。目前，對(duì)業(yè)務(wù)場(chǎng)景的劃分尚未有統(tǒng)一的標(biāo)準(zhǔn)，本指南根據(jù)對(duì)數(shù)據(jù)安全供應(yīng)側(cè)及需求側(cè)的調(diào)研，將場(chǎng)景劃分方法歸類為基于數(shù)據(jù)全生命周期和基于業(yè)務(wù)運(yùn)行環(huán)境兩種劃分方式。（1）基于數(shù)據(jù)全生命周期的場(chǎng)景劃分基于數(shù)據(jù)全生命周期的場(chǎng)景劃分是分別在采集、傳輸、存儲(chǔ)、使用、共享、銷毀各環(huán)節(jié)抽象出典型應(yīng)用場(chǎng)景，如圖8所示。數(shù)據(jù)采集環(huán)節(jié)主要有個(gè)人信息主體數(shù)據(jù)采集、外部機(jī)構(gòu)數(shù)據(jù)采集、數(shù)據(jù)產(chǎn)生等場(chǎng)景。數(shù)據(jù)傳輸環(huán)節(jié)主要有內(nèi)部系統(tǒng)數(shù)據(jù)傳輸、外部機(jī)構(gòu)數(shù)據(jù)傳輸?shù)葓?chǎng)景。數(shù)據(jù)存儲(chǔ)環(huán)節(jié)主要有數(shù)據(jù)加密存儲(chǔ)、數(shù)據(jù)庫(kù)安全等場(chǎng)景。數(shù)據(jù)使用環(huán)節(jié)主要有應(yīng)用訪問(wèn)、數(shù)據(jù)運(yùn)維、測(cè)試和開發(fā)、網(wǎng)絡(luò)和終端安全、數(shù)據(jù)準(zhǔn)入、數(shù)據(jù)分析與挖掘等場(chǎng)景。數(shù)據(jù)共享環(huán)節(jié)主要有內(nèi)部共享和外部共享等場(chǎng)景。數(shù)據(jù)銷毀環(huán)節(jié)有邏輯刪除、物理銷毀和數(shù)據(jù)退役等場(chǎng)景。此外還有一些基礎(chǔ)性的工作，如數(shù)據(jù)分類分級(jí)應(yīng)該作為單獨(dú)的場(chǎng)景納入到整體的場(chǎng)景視圖中。圖8基于數(shù)據(jù)全生命周期的場(chǎng)景劃分來(lái)源：數(shù)據(jù)安全推進(jìn)計(jì)劃基于數(shù)據(jù)全生命周期的場(chǎng)景劃分方式，一方面能更好地契合當(dāng)前法律法規(guī)中關(guān)于數(shù)據(jù)全生命周期的安全要求，一方面更加匹配當(dāng)前主流的數(shù)據(jù)安全治理體系框架。（2）基于業(yè)務(wù)運(yùn)行環(huán)境的場(chǎng)景劃分組織的業(yè)務(wù)雖然各有不同，但是其業(yè)務(wù)運(yùn)行環(huán)境的劃分基本相同，據(jù)此可以將業(yè)務(wù)場(chǎng)景劃分為：辦公場(chǎng)景、生產(chǎn)場(chǎng)景、研發(fā)場(chǎng)景、運(yùn)維場(chǎng)景等。還可以基于支撐業(yè)務(wù)運(yùn)行的基礎(chǔ)設(shè)置進(jìn)一步細(xì)分為云、終端等場(chǎng)景，如圖9所示。圖9基于業(yè)務(wù)運(yùn)行環(huán)境的場(chǎng)景劃分來(lái)源：數(shù)據(jù)安全推進(jìn)計(jì)劃基于業(yè)務(wù)運(yùn)行環(huán)境的場(chǎng)景劃分方式，一方面與業(yè)務(wù)的研發(fā)上線緊密關(guān)聯(lián)，有利于場(chǎng)景的識(shí)別，另一方面兼容組織安全域的劃分，有利于充分利用原有的網(wǎng)絡(luò)安全能力。，組合考慮監(jiān)管要求、數(shù)據(jù)安全風(fēng)險(xiǎn)和業(yè)務(wù)發(fā)展需要，明確業(yè)務(wù)場(chǎng)景治理的開展優(yōu)先級(jí)。以上文提到的基于數(shù)據(jù)全生命周期的場(chǎng)景劃分方式為例，數(shù)據(jù)分類分級(jí)是數(shù)據(jù)安全的基礎(chǔ)性工作基本已經(jīng)成為行業(yè)共識(shí)，隨著行業(yè)數(shù)據(jù)分類分級(jí)指南的不斷建立和完善，組織應(yīng)跟緊行業(yè)發(fā)展步伐，前置數(shù)據(jù)分類分級(jí)工作的優(yōu)先級(jí)。其次，數(shù)據(jù)采集環(huán)節(jié)中個(gè)人信息主體數(shù)據(jù)采集、外部機(jī)構(gòu)數(shù)據(jù)采集等場(chǎng)景均涉及到個(gè)人信息權(quán)益保護(hù)，是當(dāng)前數(shù)據(jù)安全合規(guī)出現(xiàn)問(wèn)題的高危場(chǎng)景，容易影響組織品牌形象，因而需要優(yōu)先治理。此外，數(shù)字經(jīng)濟(jì)的繁榮發(fā)展離不開數(shù)據(jù)的流通共享，隨之而來(lái)的風(fēng)險(xiǎn)也在不斷顯現(xiàn)，對(duì)數(shù)據(jù)流通的安全保護(hù)勢(shì)在必行，因而也應(yīng)著重進(jìn)行相關(guān)場(chǎng)景的安全建設(shè)。全風(fēng)具體場(chǎng)景，綜合考慮合規(guī)要求、數(shù)據(jù)資源重要程度、面臨的數(shù)據(jù)安全威脅等因素，將數(shù)據(jù)流動(dòng)過(guò)程的風(fēng)險(xiǎn)點(diǎn)梳理出來(lái)，并明確數(shù)據(jù)安全風(fēng)險(xiǎn)等級(jí)。業(yè)務(wù)方應(yīng)根據(jù)此項(xiàng)評(píng)估結(jié)果，確定要進(jìn)行整改的風(fēng)險(xiǎn)點(diǎn)，并將其作為數(shù)據(jù)安全治理建設(shè)需求的輸入，為制定場(chǎng)景化數(shù)據(jù)安全解決方案提供依據(jù)。全風(fēng)組織可以根據(jù)相關(guān)政策及標(biāo)準(zhǔn)要求，申請(qǐng)充分的資源保障，并制定可落地的解決方案。目前，對(duì)于部分場(chǎng)景，業(yè)界已經(jīng)形成了一些公認(rèn)的典型解決方案，例如在數(shù)據(jù)加密存儲(chǔ)場(chǎng)景中使用加解密系統(tǒng)，并在算法的選擇上避開不安全的MD5、AES-ECB、SHA1等算法；在終端場(chǎng)景下部署終端DLP等。但更多情況下，組織需要根據(jù)實(shí)際情況通過(guò)自研解決方案或者甄選適宜的供應(yīng)側(cè)解決方案。數(shù)據(jù)理和運(yùn)營(yíng)工作，組織應(yīng)督促業(yè)務(wù)部門在實(shí)施具體的技術(shù)措施后，及時(shí)完善組織整體數(shù)據(jù)安全制度體系中關(guān)于三級(jí)與四級(jí)的制度文件，如《遠(yuǎn)程訪問(wèn)操作規(guī)范》、《數(shù)據(jù)備份操作規(guī)范》、《數(shù)據(jù)防泄露操作規(guī)范》、《堡壘機(jī)操作規(guī)范》等，以保持制度流程和技術(shù)落地的一致性。全運(yùn)營(yíng)數(shù)據(jù)安全運(yùn)營(yíng)階段通過(guò)不斷適配業(yè)務(wù)環(huán)境和風(fēng)險(xiǎn)管理需求，持續(xù)優(yōu)化安全策略措施，強(qiáng)化整個(gè)數(shù)據(jù)安全治理體系的有效運(yùn)轉(zhuǎn)。全治理的目標(biāo)之一是降低數(shù)據(jù)安全風(fēng)險(xiǎn)，因此建立有效的風(fēng)險(xiǎn)防范手段，對(duì)于預(yù)防數(shù)據(jù)安全事件發(fā)生有重要作用，可以從數(shù)據(jù)安全策略制定、數(shù)據(jù)安全基線掃描、數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估三方面入手。數(shù)據(jù)安全策略制定。一方面，根據(jù)數(shù)據(jù)全生命周期各項(xiàng)管理要求，制定通用安全策略，另一方面，結(jié)合各業(yè)務(wù)場(chǎng)景安全需要，制定針對(duì)性的安全策略。通過(guò)將通用策略和針對(duì)性策略結(jié)合部署，實(shí)現(xiàn)對(duì)數(shù)據(jù)流轉(zhuǎn)過(guò)程的安全防護(hù)。數(shù)據(jù)安全基線掃描?；诿媾R的風(fēng)險(xiǎn)形勢(shì)，定期梳理、更新相關(guān)安全規(guī)范及安全策略，并轉(zhuǎn)化為安全基線，同時(shí)直接落實(shí)到監(jiān)控審計(jì)平臺(tái)進(jìn)行定期掃描。安全基線是組織數(shù)據(jù)安全防護(hù)的最低要求，各業(yè)務(wù)的開展必須滿足。數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估。通過(guò)將日?；ㄆ陂_展的數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估結(jié)果與安全基線進(jìn)行對(duì)標(biāo)，發(fā)現(xiàn)不滿足基線要求的評(píng)估項(xiàng)，再通過(guò)改進(jìn)業(yè)務(wù)方案或強(qiáng)化安全技術(shù)手段的方式實(shí)現(xiàn)風(fēng)險(xiǎn)防范。全保護(hù)以知曉數(shù)據(jù)在組織內(nèi)的安全狀態(tài)為前提，需要組織在數(shù)據(jù)全生命周期各階段開展安全監(jiān)控和審計(jì)，以實(shí)現(xiàn)對(duì)數(shù)據(jù)安全風(fēng)險(xiǎn)的防控?？梢酝ㄟ^(guò)態(tài)勢(shì)監(jiān)控、日常審計(jì)、專項(xiàng)審計(jì)等方式對(duì)相關(guān)風(fēng)險(xiǎn)點(diǎn)進(jìn)行防控，從而降低數(shù)據(jù)安全風(fēng)險(xiǎn)。態(tài)勢(shì)監(jiān)控。根據(jù)數(shù)據(jù)全生命周期的各項(xiàng)安全管理要求，建立組織內(nèi)部統(tǒng)一的數(shù)據(jù)安全監(jiān)控審計(jì)平臺(tái)，對(duì)風(fēng)險(xiǎn)點(diǎn)的安全態(tài)勢(shì)進(jìn)行實(shí)時(shí)監(jiān)測(cè)。一旦出現(xiàn)安全威脅，能夠?qū)崿F(xiàn)及時(shí)告警及初步阻斷。日常審計(jì)。針對(duì)賬號(hào)使用、權(quán)限分配、密碼管理、漏洞修復(fù)等日常工作的安全管理要求，利用監(jiān)控審計(jì)平臺(tái)開展審計(jì)工作，從而發(fā)現(xiàn)問(wèn)題并及時(shí)處置。審計(jì)內(nèi)容包括但不限于表3所示內(nèi)容。表3日常審計(jì)項(xiàng)目示例審計(jì)項(xiàng)目活躍度異常賬號(hào)、弱口令、異常登錄敏感數(shù)據(jù)是否加密存儲(chǔ)敏感數(shù)據(jù)是否加密傳輸個(gè)人信息采集是否得到授權(quán)異常/高風(fēng)險(xiǎn)操作行為敏感數(shù)據(jù)是否脫敏使用漏洞是否定期修復(fù)分類分級(jí)策略是否正確落實(shí)接口安全策略的落實(shí)情況銷毀過(guò)程的日常監(jiān)督來(lái)源：中國(guó)信息通信研究院專項(xiàng)審計(jì)。以業(yè)務(wù)線為審計(jì)對(duì)象，定期開展專項(xiàng)數(shù)據(jù)安全審計(jì)工作。審計(jì)內(nèi)容包括數(shù)據(jù)全生命周期安全、隱私合規(guī)、合作方管理、鑒別訪問(wèn)、風(fēng)險(xiǎn)分析、數(shù)據(jù)安全事件應(yīng)急等多方面內(nèi)容，從而全面評(píng)價(jià)數(shù)據(jù)安全工作執(zhí)行情況，發(fā)現(xiàn)執(zhí)行問(wèn)題并統(tǒng)籌改進(jìn)。險(xiǎn)防范及監(jiān)控預(yù)警措施失效，導(dǎo)致發(fā)生數(shù)據(jù)安全事件，組織應(yīng)立即進(jìn)行應(yīng)急處置、復(fù)盤整改，并在內(nèi)部進(jìn)行宣貫宣導(dǎo)，防范安全事件的再次發(fā)生。數(shù)據(jù)安全事件應(yīng)急處置。根據(jù)數(shù)據(jù)安全事件應(yīng)急預(yù)案對(duì)正在發(fā)生的各類數(shù)據(jù)安全攻擊警告、數(shù)據(jù)安全威脅警報(bào)等進(jìn)行緊急處置，確保第一時(shí)間阻斷數(shù)據(jù)安全威脅。數(shù)據(jù)安全事件復(fù)盤整改。應(yīng)急處置完成后，應(yīng)盡快在業(yè)務(wù)側(cè)組織復(fù)盤分析，明確事件發(fā)生的根本原因，做好應(yīng)急總結(jié)，沉淀應(yīng)急手段，跟進(jìn)落實(shí)整改，并完善相應(yīng)應(yīng)急預(yù)案。數(shù)據(jù)安全應(yīng)急預(yù)案宣貫宣導(dǎo)。根據(jù)數(shù)據(jù)安全事件的類別和級(jí)別，在相關(guān)業(yè)務(wù)部門或全線業(yè)務(wù)部門定期開展應(yīng)急預(yù)案的宣貫宣導(dǎo)，降低發(fā)生類似數(shù)據(jù)安全事件的風(fēng)險(xiǎn)。估優(yōu)化數(shù)據(jù)安全評(píng)估優(yōu)化階段主要是通過(guò)內(nèi)部評(píng)估與第三方評(píng)估相結(jié)合的方式，對(duì)組織的數(shù)據(jù)安全治理能力進(jìn)行評(píng)估分析，總結(jié)不足并動(dòng)態(tài)糾偏，實(shí)現(xiàn)數(shù)據(jù)安全治理的持續(xù)優(yōu)化及閉環(huán)工作機(jī)制的建立。形成周期性的內(nèi)部評(píng)估工作機(jī)制，內(nèi)部評(píng)估應(yīng)由管理層牽頭，執(zhí)行層和監(jiān)督層配合執(zhí)行，確保評(píng)估工作的有效執(zhí)行，并應(yīng)將評(píng)估結(jié)果與組織的績(jī)效考核掛鉤，避免評(píng)估流于形式。常見的內(nèi)部評(píng)估手段包括評(píng)估自查、應(yīng)急演練、對(duì)抗模擬等。評(píng)估自查通過(guò)設(shè)計(jì)評(píng)估問(wèn)卷、調(diào)研表、定期執(zhí)行檢查工具等形式，在組織內(nèi)部開展評(píng)估，主要評(píng)估內(nèi)容至少應(yīng)包括數(shù)據(jù)全生命周期的安全控制策略、風(fēng)險(xiǎn)需求分析、監(jiān)控審計(jì)執(zhí)行、應(yīng)急處置措施、安全合規(guī)要求等內(nèi)容。應(yīng)急演練通過(guò)構(gòu)建內(nèi)部人員泄露、外部黑客攻擊等場(chǎng)景，驗(yàn)證組織數(shù)據(jù)安全治理措施的有效性和及時(shí)止損的能力，并通過(guò)在應(yīng)急演練后開展復(fù)盤總結(jié)，不斷改進(jìn)應(yīng)急預(yù)案及數(shù)據(jù)安全防護(hù)能力。應(yīng)急演練可采用實(shí)戰(zhàn)、桌面推演等方式，旨在驗(yàn)證數(shù)據(jù)安全事件應(yīng)急的流程機(jī)制是否順暢、技術(shù)工具是否實(shí)用、安全處置是否及時(shí)等，進(jìn)一步完善應(yīng)急預(yù)案，補(bǔ)足能力短板。對(duì)抗模擬通過(guò)搭建仿真環(huán)境開展紅藍(lán)對(duì)抗，或模擬黑產(chǎn)對(duì)抗，幫助組織面對(duì)內(nèi)外部數(shù)據(jù)安全風(fēng)險(xiǎn)時(shí)實(shí)現(xiàn)以攻促防，沉著應(yīng)對(duì)，并在這個(gè)過(guò)程中不斷挖掘組織數(shù)據(jù)安全可能存在的攻擊面和滲透點(diǎn)，尤其是面對(duì)組織內(nèi)部數(shù)據(jù)泄露風(fēng)險(xiǎn)，可以有針對(duì)性的完善數(shù)據(jù)安全治理工作機(jī)制和技術(shù)能力。評(píng)估外，組織還應(yīng)引入第三方評(píng)估。第三方評(píng)估以國(guó)家、行業(yè)及團(tuán)體標(biāo)準(zhǔn)等為執(zhí)行準(zhǔn)則，能客觀、公正、真實(shí)地反映組織數(shù)據(jù)安全治理水平，實(shí)現(xiàn)對(duì)標(biāo)差距分析。如中國(guó)信息通信研究院2020年底推出的國(guó)內(nèi)首個(gè)數(shù)據(jù)安全治理能力評(píng)估服務(wù)，結(jié)合業(yè)務(wù)場(chǎng)景和全生命周期數(shù)據(jù)流，從組織架構(gòu)、制度流程、技術(shù)工具、人員能力的建設(shè)情況入手，綜合考察組織數(shù)據(jù)安全治理能力的持續(xù)運(yùn)轉(zhuǎn)及自我改進(jìn)能力。目前該評(píng)估服務(wù)已在金融、電信、互聯(lián)網(wǎng)、汽車等多個(gè)行業(yè)領(lǐng)域獲得廣泛認(rèn)可，是組織進(jìn)行全面摸排、橫向?qū)Ρ鹊闹匾ナ?。四、?shù)據(jù)分類分級(jí)場(chǎng)景建設(shè)思路數(shù)據(jù)分類分級(jí)是數(shù)據(jù)安全治理實(shí)踐過(guò)程中的關(guān)鍵場(chǎng)景，是數(shù)據(jù)安全工作的橋頭堡和必選題。本指南結(jié)合行業(yè)實(shí)踐，提出如圖10所示的七步走建設(shè)思路，可供剛開展數(shù)據(jù)分類分級(jí)工作的組織參考。來(lái)源：中國(guó)信息通信研究院圖10數(shù)據(jù)分類分級(jí)“七步走”建設(shè)思路織保障對(duì)組織而言，數(shù)據(jù)分類分級(jí)工作是一項(xiàng)復(fù)雜的長(zhǎng)期性工作，是業(yè)務(wù)知識(shí)、數(shù)據(jù)知識(shí)和安全知識(shí)的交叉領(lǐng)域，需要相關(guān)部門協(xié)作開展。這就需要通過(guò)明確數(shù)據(jù)分類分級(jí)工作的組織架構(gòu)，劃分各部門職責(zé)分工，為數(shù)據(jù)分類分級(jí)工作的協(xié)同開展提供支撐。在實(shí)際工作中，我們看到各組織一般有數(shù)據(jù)安全管理的牽頭部門或團(tuán)隊(duì)統(tǒng)籌數(shù)據(jù)分類分級(jí)工作的開展，而在職責(zé)分工上，則體現(xiàn)出一定的差異性。以某電信運(yùn)營(yíng)商為例，在職責(zé)劃分方面，明確了由數(shù)據(jù)安全的管理部門負(fù)責(zé)制定數(shù)據(jù)分類分級(jí)的方法及策略，規(guī)范數(shù)據(jù)資產(chǎn)梳理工作，并監(jiān)督數(shù)據(jù)分類分級(jí)工作的落實(shí)。而各數(shù)據(jù)生產(chǎn)運(yùn)營(yíng)和使用的責(zé)任部門則需要維護(hù)本部門的數(shù)據(jù)資源清單、梳理部門的重要數(shù)據(jù)目錄、并按照數(shù)據(jù)安全管理部門制定的標(biāo)準(zhǔn)執(zhí)行數(shù)據(jù)分類分級(jí)規(guī)定動(dòng)作，制定并落實(shí)差異化管控措施等。以某金融機(jī)構(gòu)為例，在職責(zé)劃分方面，明確了由數(shù)據(jù)安全的管理部門牽頭開展數(shù)據(jù)分類分級(jí)工作，制定相關(guān)制度流程，并建設(shè)數(shù)據(jù)分類分級(jí)技術(shù)能力。由于建設(shè)了數(shù)據(jù)中臺(tái)對(duì)數(shù)據(jù)進(jìn)行統(tǒng)一管理，其他部門僅需配合數(shù)據(jù)分類分級(jí)評(píng)估工作，對(duì)數(shù)據(jù)分類分級(jí)結(jié)果進(jìn)行復(fù)核。以某互聯(lián)網(wǎng)公司為例，在職責(zé)劃分方面，明確了由數(shù)據(jù)安全管理部門負(fù)責(zé)各類數(shù)據(jù)的分類、匯總和管理等工作。其他部門主要負(fù)責(zé)識(shí)別本部門的各類敏感數(shù)據(jù)并同步至數(shù)據(jù)安全管理部門，同時(shí)負(fù)責(zé)本部門敏感數(shù)據(jù)相關(guān)數(shù)據(jù)安全管控措施的制定。源梳理在進(jìn)行數(shù)據(jù)分類分級(jí)之前，需要對(duì)組織內(nèi)的全部數(shù)據(jù)資源進(jìn)行識(shí)別、梳理，明確當(dāng)前組織內(nèi)部存儲(chǔ)了哪些數(shù)據(jù)、數(shù)據(jù)存儲(chǔ)的格式、數(shù)據(jù)范圍、數(shù)據(jù)流轉(zhuǎn)形式、數(shù)據(jù)訪問(wèn)控制方式、數(shù)據(jù)價(jià)值高低等問(wèn)題，并形成數(shù)據(jù)資源清單。在實(shí)際工作中，數(shù)據(jù)資源的梳理有兩種常見的工作思路。一種是站在數(shù)據(jù)治理的角度，為了達(dá)到對(duì)數(shù)據(jù)質(zhì)量進(jìn)行管理的首要目標(biāo)而進(jìn)行全量數(shù)據(jù)的盤點(diǎn)梳理，與此同時(shí)，梳理的結(jié)果可以復(fù)用于數(shù)據(jù)分類分級(jí)工作。一種是站在數(shù)據(jù)安全的角度，先對(duì)敏感數(shù)據(jù)進(jìn)行識(shí)別梳理，以快速響應(yīng)相關(guān)安全管理要求，再逐漸擴(kuò)展至全域數(shù)據(jù)范圍。、策略數(shù)據(jù)分類分級(jí)的方法、策略是指導(dǎo)此項(xiàng)工作開展的重要依據(jù)。組織需要參考國(guó)家及行業(yè)相關(guān)數(shù)據(jù)分類分級(jí)要求及規(guī)范，并結(jié)合自身業(yè)務(wù)屬性與管理特點(diǎn)，明確數(shù)據(jù)分類分級(jí)的方法、策略，如明確數(shù)據(jù)分類與定級(jí)的基本原則、基本方法等。規(guī)范當(dāng)前，為指導(dǎo)數(shù)據(jù)分類分級(jí)工作的推進(jìn)落實(shí)，各行業(yè)、各領(lǐng)域紛紛制定相關(guān)標(biāo)準(zhǔn)規(guī)范，如表4所示。通過(guò)明確數(shù)據(jù)分類分級(jí)工作的原則、方法、定義，并在此基礎(chǔ)上給出部分示例，進(jìn)一步細(xì)化國(guó)家關(guān)于數(shù)據(jù)分類分級(jí)工作的要求，推動(dòng)該項(xiàng)工作在不同行業(yè)企業(yè)及組織機(jī)構(gòu)的落地實(shí)施。表4近幾年數(shù)據(jù)分類分級(jí)相關(guān)規(guī)范發(fā)布時(shí)間名稱發(fā)布方2020年2月《工業(yè)數(shù)據(jù)分類分級(jí)指南（試行）》工業(yè)和信息化部辦公廳2020年4月GB/T38667-2020、國(guó)家2020年9月JRT0197-2020《金融數(shù)據(jù)安全數(shù)據(jù)安全分級(jí)指南》中國(guó)人民銀行202012YD/T3813-2020《基礎(chǔ)電信企業(yè)數(shù)據(jù)分類分級(jí)方法》工業(yè)和信息化部2021年5月YD/T3867-2021《基礎(chǔ)電信企業(yè)重要數(shù)據(jù)識(shí)別指南》工業(yè)和信息化部2021年7月DB33/T浙江省市場(chǎng)監(jiān)督管理局202110《重慶市公共數(shù)據(jù)分類分級(jí)指南（試行）》重慶市大數(shù)據(jù)應(yīng)用發(fā)展管理局202112《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指引——網(wǎng)絡(luò)數(shù)據(jù)分類分級(jí)指引》化技術(shù)委員2022年3月GB/TXXXXX/XXXX重要數(shù)據(jù)識(shí)別規(guī)則》、國(guó)家2022年9月GB/TXXXXX/XXX絡(luò)數(shù)據(jù)分類分級(jí)要求》、國(guó)家來(lái)源：中國(guó)信息通信研究院據(jù)分類組織應(yīng)根據(jù)已制定的數(shù)據(jù)分類原則，定義包含多個(gè)層級(jí)的數(shù)據(jù)類別清單，再對(duì)數(shù)據(jù)資源清單中的數(shù)據(jù)逐個(gè)進(jìn)行分類。在實(shí)際工作中，如表5所示，基礎(chǔ)電信、證券期貨、工業(yè)行業(yè)等領(lǐng)域制定了較為明確的分類方法和示例，有利于行業(yè)組織參考。對(duì)于暫未形成分類模板的行業(yè)，組織可以從經(jīng)營(yíng)維度按照通用分類模板進(jìn)行分類1。另外，針對(duì)個(gè)人信息的分類方式，組織也可以結(jié)合GB/T35273-2020《信息安全技術(shù)個(gè)人信息安全規(guī)范》給出的規(guī)范進(jìn)行完善。總體來(lái)說(shuō)，類別定義一般會(huì)根據(jù)行業(yè)領(lǐng)域的不同而產(chǎn)生不同的子類劃分方式，需要注意的是不同類別之間不能重復(fù)和交叉。表5各行業(yè)數(shù)據(jù)分類示例行業(yè)領(lǐng)域一級(jí)分類示例二級(jí)分類示例基礎(chǔ)電信用戶相關(guān)數(shù)據(jù)用戶身份相關(guān)數(shù)據(jù)、用戶服務(wù)內(nèi)容數(shù)據(jù)、用戶服務(wù)衍生數(shù)據(jù)、用戶統(tǒng)計(jì)分析類數(shù)據(jù)企業(yè)自身數(shù)據(jù)網(wǎng)絡(luò)與系統(tǒng)的建設(shè)與運(yùn)行維護(hù)類數(shù)據(jù)、證券期貨行業(yè)交易交易管理、結(jié)算管理、行情、資訊、投資者管理、產(chǎn)品管理監(jiān)管監(jiān)管報(bào)送、合規(guī)風(fēng)控、稽核信息披露信息披露管理、研究報(bào)告其他營(yíng)銷服務(wù)、業(yè)務(wù)管理、技術(shù)管理、綜合管理工業(yè)數(shù)據(jù)（工業(yè)企業(yè)）研發(fā)數(shù)據(jù)域研發(fā)設(shè)計(jì)數(shù)據(jù)、開發(fā)測(cè)試數(shù)據(jù)等生產(chǎn)數(shù)據(jù)域控制信息、工況狀態(tài)、工藝參數(shù)、系統(tǒng)日志等運(yùn)維數(shù)據(jù)域物流數(shù)據(jù)、產(chǎn)品售后服務(wù)數(shù)據(jù)等管理數(shù)據(jù)域系統(tǒng)設(shè)備資產(chǎn)信息、客戶與產(chǎn)品信息、產(chǎn)品供應(yīng)鏈數(shù)據(jù)、業(yè)務(wù)統(tǒng)計(jì)數(shù)據(jù)等外部數(shù)據(jù)域與其他主體共享的數(shù)據(jù)等平臺(tái)企業(yè)平臺(tái)運(yùn)營(yíng)數(shù)據(jù)域物聯(lián)采集數(shù)據(jù)、知識(shí)庫(kù)模型庫(kù)數(shù)據(jù)、研發(fā)數(shù)據(jù)等企業(yè)管理數(shù)據(jù)域客戶數(shù)據(jù)、業(yè)務(wù)合作數(shù)據(jù)、人事財(cái)務(wù)數(shù)據(jù)等通用用戶數(shù)據(jù)/業(yè)務(wù)數(shù)據(jù)/經(jīng)營(yíng)管理數(shù)據(jù)/系統(tǒng)運(yùn)行/安全數(shù)據(jù)/1 《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南—網(wǎng)絡(luò)數(shù)據(jù)分類分級(jí)指引》（TC260-PG-20212A）

來(lái)源：數(shù)據(jù)安全推進(jìn)計(jì)劃成定級(jí)數(shù)據(jù)分級(jí)主要從數(shù)據(jù)安全保護(hù)的角度，考慮影響對(duì)象、影響程度兩個(gè)要素對(duì)數(shù)據(jù)所在的安全級(jí)別進(jìn)行判定。不同行業(yè)分級(jí)標(biāo)準(zhǔn)在影響對(duì)象和影響程度的劃分上有所不同，從而也導(dǎo)致了分級(jí)結(jié)果的差異性。組織應(yīng)根據(jù)實(shí)際情況完成定級(jí)工作，常見的數(shù)據(jù)定級(jí)示例如表6所示。表6各行業(yè)數(shù)據(jù)分級(jí)示例行業(yè)領(lǐng)域影響對(duì)象影響程度分級(jí)示例（從高到低）基礎(chǔ)電信企業(yè)企業(yè)嚴(yán)重、高、中、低級(jí)、金融行業(yè)隱私、企業(yè)合法權(quán)益等人嚴(yán)重微損害、無(wú)損害、輕54321證券期貨行業(yè)行業(yè)、機(jī)構(gòu)、客戶嚴(yán)重、中等、輕微、無(wú)42（中）、1（低）工業(yè)數(shù)據(jù)工業(yè)生產(chǎn)、經(jīng)濟(jì)效益/三級(jí)數(shù)據(jù)、二級(jí)數(shù)據(jù)和一級(jí)數(shù)據(jù)來(lái)源：數(shù)據(jù)安全推進(jìn)計(jì)劃分級(jí)目錄基于上述工作，組織還需形成整體的數(shù)據(jù)分類分級(jí)目錄，明確數(shù)據(jù)類別和級(jí)別的對(duì)應(yīng)關(guān)系，為各部門落實(shí)數(shù)據(jù)分類分級(jí)工作提供依據(jù)。金融機(jī)構(gòu)典型數(shù)據(jù)分類分級(jí)目錄如圖11所示。安全策略在完成數(shù)據(jù)分類定級(jí)的基礎(chǔ)上，還需要依據(jù)國(guó)家及行業(yè)領(lǐng)域給出的安全保護(hù)要求，建立數(shù)據(jù)分類分級(jí)保護(hù)策略，對(duì)數(shù)據(jù)實(shí)施全流程分類分級(jí)管理和保護(hù)。如某電信運(yùn)營(yíng)商建立了如表7所示的數(shù)據(jù)分類分級(jí)保護(hù)要求映射表。11金融業(yè)機(jī)構(gòu)典型數(shù)據(jù)定級(jí)規(guī)則示例7數(shù)據(jù)分類分級(jí)保護(hù)要求映射表示例

來(lái)源：中國(guó)人民銀行命安全管控要求級(jí)別51234數(shù)據(jù)收集環(huán)節(jié)安全管控要求1√√√√√安全管控要求2√√√√安全管控要求3√√來(lái)源：數(shù)據(jù)安全推進(jìn)計(jì)劃五、數(shù)據(jù)安全治理總結(jié)與展望根據(jù)數(shù)據(jù)安全推進(jìn)計(jì)劃發(fā)布的《2022年數(shù)據(jù)安全行業(yè)調(diào)研報(bào)告》，六成以上參與調(diào)研的需求側(cè)企業(yè)在制度文件編制、合規(guī)工作開展、技術(shù)工具部署等方面推進(jìn)了相關(guān)工作。由此看出，隨著數(shù)據(jù)安全合規(guī)要求的逐步完善，數(shù)據(jù)安全治理工作正在高速發(fā)展、有力推進(jìn)。未來(lái)：政策引領(lǐng)與戰(zhàn)略自驅(qū)齊頭并進(jìn)，推進(jìn)數(shù)據(jù)安全治理不斷深入。根據(jù)調(diào)研，“合規(guī)需求”、“防范數(shù)據(jù)安全風(fēng)險(xiǎn)”、“企業(yè)自身發(fā)展需要”是組織開展數(shù)據(jù)安全能力建設(shè)的主要驅(qū)動(dòng)因素。這說(shuō)明，一方面，政策驅(qū)動(dòng)的合規(guī)需求對(duì)組織數(shù)據(jù)安全建設(shè)具有強(qiáng)推進(jìn)作用；另一方面，保障數(shù)據(jù)安全在推動(dòng)業(yè)務(wù)健康運(yùn)營(yíng)方面的重要作用愈加明顯。因此，政策引領(lǐng)的外部驅(qū)動(dòng)與發(fā)展戰(zhàn)略的內(nèi)部驅(qū)動(dòng)將成為數(shù)據(jù)安全治理工作不斷深入的助推劑。數(shù)據(jù)驅(qū)動(dòng)的業(yè)務(wù)發(fā)展，激勵(lì)數(shù)據(jù)安全治理組織從“有型”到“有效”。根據(jù)數(shù)據(jù)安全推進(jìn)計(jì)劃發(fā)布的《2022年數(shù)據(jù)安全行業(yè)調(diào)研報(bào)告》，98.2%的受訪者建立了專門的數(shù)據(jù)安全牽頭管理團(tuán)隊(duì)，數(shù)據(jù)安全治理組織架構(gòu)逐漸明晰。但由于數(shù)據(jù)與業(yè)務(wù)密切相關(guān)，其在實(shí)時(shí)產(chǎn)生及流動(dòng)過(guò)程中涉及的主體很多，導(dǎo)致數(shù)據(jù)安全主體責(zé)任邊界的實(shí)際劃分及管理仍然存在較大挑戰(zhàn)，如何在不同部門之間建立有效溝通機(jī)制，保障業(yè)務(wù)的安全合規(guī)開展是下一步關(guān)注重點(diǎn)。數(shù)據(jù)安全風(fēng)險(xiǎn)治理能力的建設(shè)與提升，成為數(shù)據(jù)安全治理的重要組成。由于數(shù)據(jù)本身具備流動(dòng)性、泛在性等特點(diǎn)，過(guò)長(zhǎng)的流轉(zhuǎn)鏈條、過(guò)大的威脅暴露面、過(guò)多的數(shù)據(jù)處理活動(dòng)等，都為數(shù)據(jù)安全風(fēng)險(xiǎn)管控帶來(lái)挑戰(zhàn)，并進(jìn)一步影響到數(shù)據(jù)安全治理的整體成效。為了進(jìn)一步防范數(shù)據(jù)泄露、數(shù)據(jù)篡改等安全事件的發(fā)生，落實(shí)數(shù)據(jù)安全風(fēng)險(xiǎn)的源頭管控，常態(tài)化數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估提上日程，基于風(fēng)險(xiǎn)的治理能力建設(shè)與提升也成為數(shù)據(jù)安全治理工作的重要組成部分。第三方數(shù)據(jù)安全評(píng)估認(rèn)證作為提升數(shù)據(jù)安全治理能力的主要抓手，將被更多行業(yè)組織引入。在國(guó)家層面的支持下，第三方數(shù)據(jù)安全評(píng)估、認(rèn)證服務(wù)市場(chǎng)正在蓬勃發(fā)展。中國(guó)信息通信研究院推出的首款市場(chǎng)化數(shù)據(jù)安全治理能力評(píng)估服務(wù)，自2020年進(jìn)入市場(chǎng)以來(lái)，共完成了4批次43家組織機(jī)構(gòu)的評(píng)估，廣受好評(píng)。同時(shí)，國(guó)家市場(chǎng)監(jiān)督管理總局與國(guó)家互聯(lián)網(wǎng)信息辦公室推出的數(shù)據(jù)安全管理認(rèn)證、個(gè)人信息保護(hù)認(rèn)證等工作也在穩(wěn)步推進(jìn)。越來(lái)越多的行業(yè)組織將通過(guò)引入第三方評(píng)估認(rèn)證工作，持續(xù)優(yōu)化自身數(shù)據(jù)安全治理能力。附錄：數(shù)據(jù)安全治理實(shí)踐案例(一)華泰證券股份有限公司(一)華泰證券股份有限公司建設(shè)思路（1）厘清數(shù)據(jù)安全風(fēng)險(xiǎn)，明確安全治理方向證券行業(yè)是產(chǎn)生和積累數(shù)據(jù)量最大、數(shù)據(jù)類型最豐富的領(lǐng)域之一，隨著證券行業(yè)數(shù)字化轉(zhuǎn)型、深化，證券業(yè)數(shù)據(jù)有著更加廣泛的應(yīng)用場(chǎng)景、應(yīng)用范圍，有著更高的應(yīng)用價(jià)值。隨著證券業(yè)數(shù)據(jù)的價(jià)值日益凸顯，數(shù)據(jù)非法采集、數(shù)據(jù)販賣、數(shù)據(jù)篡改、數(shù)據(jù)攻擊、數(shù)據(jù)權(quán)限濫用等安全問(wèn)題也層出不窮。如何更加安全地保障企業(yè)的數(shù)字化轉(zhuǎn)型，降低數(shù)據(jù)安全風(fēng)險(xiǎn)，釋放數(shù)據(jù)價(jià)值，成為了諸多轉(zhuǎn)型企業(yè)中的重點(diǎn)工作。面對(duì)新形勢(shì)帶來(lái)的安全挑戰(zhàn)，華泰證券積極應(yīng)對(duì)，從外部攻擊風(fēng)險(xiǎn)、內(nèi)部數(shù)據(jù)濫用風(fēng)險(xiǎn)、外部渠道數(shù)據(jù)泄露風(fēng)險(xiǎn)三個(gè)方面，厘清當(dāng)前面臨的數(shù)據(jù)安全風(fēng)險(xiǎn)，梳理的風(fēng)險(xiǎn)點(diǎn)覆蓋管理體系、制度流程、技術(shù)手段、運(yùn)營(yíng)機(jī)制四個(gè)層面。面對(duì)上述的數(shù)據(jù)安全風(fēng)險(xiǎn)，華泰證券開展了新一輪的數(shù)據(jù)安全治理工作。從完善數(shù)據(jù)安全制度管理體系、建立數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估機(jī)制、建設(shè)分層分級(jí)的數(shù)據(jù)權(quán)限管控體系、提升數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)和響應(yīng)能力、強(qiáng)化外部渠道數(shù)據(jù)泄露跟蹤調(diào)查能力五個(gè)方面著手，全方位保護(hù)公司重要數(shù)據(jù)資產(chǎn)以及客戶信息，為公司數(shù)字化轉(zhuǎn)型保駕護(hù)航。（2）構(gòu)建數(shù)據(jù)安全治理體系，夯實(shí)數(shù)字化轉(zhuǎn)型基礎(chǔ)華泰證券從頂層明確公司數(shù)據(jù)安全管理戰(zhàn)略，強(qiáng)化公司數(shù)據(jù)安全管理體系，以貫徹國(guó)家網(wǎng)絡(luò)空間安全戰(zhàn)略、滿足政策合規(guī)要求、統(tǒng)籌全體系數(shù)據(jù)安全為目標(biāo)，推進(jìn)公司整體安全管控水平不斷提升，為業(yè)務(wù)發(fā)展保駕護(hù)航。華泰證券以數(shù)字化轉(zhuǎn)型戰(zhàn)略為指引，以數(shù)據(jù)安全管理為保障，以技術(shù)體系為支撐，建立了覆蓋數(shù)據(jù)全生命周期的企業(yè)級(jí)數(shù)據(jù)安全治理體系，如圖12所示。華泰證券對(duì)標(biāo)國(guó)家行業(yè)標(biāo)準(zhǔn)，并結(jié)合自身數(shù)據(jù)安全戰(zhàn)略、數(shù)據(jù)安全管理體系，建立了基于數(shù)據(jù)全生命周期的數(shù)據(jù)安全管理三層框架體系，從管控層、技術(shù)支撐層、運(yùn)營(yíng)層三個(gè)維度開展數(shù)據(jù)全生命周期安全管理工作。（3）共享行業(yè)經(jīng)驗(yàn)，共建數(shù)據(jù)安全生態(tài)華泰證券作為數(shù)據(jù)安全推進(jìn)計(jì)劃成員單位，積極參與行業(yè)數(shù)據(jù)安全交流，分享數(shù)據(jù)安全治理經(jīng)驗(yàn)，參加業(yè)界數(shù)據(jù)安全相關(guān)標(biāo)準(zhǔn)建設(shè)工作，如參與編寫《證券期貨業(yè)數(shù)據(jù)安全風(fēng)險(xiǎn)防控?cái)?shù)據(jù)分類分級(jí)指引》，共同推進(jìn)行業(yè)數(shù)據(jù)安全生態(tài)建設(shè)。圖12華泰證券數(shù)據(jù)安全治理體系

來(lái)源：華泰證券券嚴(yán)照國(guó)家《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》等法律法規(guī)、行業(yè)規(guī)范和監(jiān)管規(guī)定，落實(shí)數(shù)據(jù)安全相關(guān)工作，通過(guò)建立健全數(shù)據(jù)安全管理機(jī)制，基于“制度、組織、人員、技術(shù)”為核心的管理框架，規(guī)范數(shù)據(jù)處理活動(dòng)，強(qiáng)化公司經(jīng)營(yíng)活動(dòng)中相關(guān)數(shù)據(jù)處理的合法合規(guī)性，從數(shù)據(jù)安全管理體系、數(shù)據(jù)安全技術(shù)體系、數(shù)據(jù)安全運(yùn)營(yíng)體系等方面推進(jìn)數(shù)據(jù)安全治理實(shí)踐，打造證券行業(yè)數(shù)據(jù)安全治理標(biāo)桿。（1）建立規(guī)范化的數(shù)據(jù)安全管理體系華泰證券從數(shù)據(jù)安全組織架構(gòu)、數(shù)據(jù)安全制度體系兩個(gè)方面開展數(shù)據(jù)安全治理工作，以滿足監(jiān)管要求以及風(fēng)險(xiǎn)管理需要。組織架構(gòu)方面，華泰證券建立了完備的數(shù)據(jù)安全組織架構(gòu)體系，設(shè)立公司數(shù)據(jù)治理委員會(huì)，在經(jīng)營(yíng)管理層的領(lǐng)導(dǎo)下，負(fù)責(zé)統(tǒng)籌和領(lǐng)導(dǎo)數(shù)據(jù)安全工作；數(shù)據(jù)治理委員會(huì)下轄數(shù)據(jù)安全與個(gè)人信息保護(hù)工作小組，由信息技術(shù)部門、業(yè)務(wù)部門、合規(guī)風(fēng)控部門派員參與，多部門協(xié)同推進(jìn)數(shù)據(jù)安全工作，將數(shù)據(jù)安全責(zé)任落實(shí)到每個(gè)部門、每個(gè)業(yè)務(wù)、每個(gè)系統(tǒng)和每個(gè)員工。加強(qiáng)數(shù)據(jù)安全人才培養(yǎng)，建立起一支具備數(shù)據(jù)安全管理、數(shù)據(jù)安全建設(shè)、數(shù)據(jù)安全運(yùn)營(yíng)等專業(yè)安全能力的自有人才隊(duì)伍。制度體系方面，華泰證券深入研究國(guó)家關(guān)于數(shù)據(jù)安全、個(gè)人信息保護(hù)相關(guān)的法律法規(guī)和標(biāo)準(zhǔn)，結(jié)合公司實(shí)際情況，建立了公司的數(shù)據(jù)安全三層制度體系，包括：頂層的公司級(jí)數(shù)據(jù)安全管理辦法、圍繞數(shù)據(jù)全生命周期的安全管理規(guī)范、以及細(xì)化的各類數(shù)據(jù)安全細(xì)則，對(duì)數(shù)據(jù)安全管理職責(zé)分工、數(shù)據(jù)全生命周期安全保護(hù)要求、個(gè)人信息保護(hù)要求、數(shù)據(jù)安全實(shí)施細(xì)則等進(jìn)行了明確，實(shí)現(xiàn)對(duì)數(shù)據(jù)全生命周期安全防護(hù)保障以及對(duì)數(shù)據(jù)安全管理和運(yùn)營(yíng)的支撐。（2）建設(shè)覆蓋數(shù)據(jù)全生命周期的數(shù)據(jù)安全技術(shù)體系華泰證券以防范外部數(shù)據(jù)竊取、防范內(nèi)部數(shù)據(jù)濫用和防范外部渠道泄露為抓手，依托數(shù)據(jù)安全可視化能力、數(shù)據(jù)安全運(yùn)營(yíng)能力、數(shù)據(jù)安全平臺(tái)能力，構(gòu)建如圖13所示的公司數(shù)據(jù)安全三層技術(shù)體系，進(jìn)一步加強(qiáng)數(shù)據(jù)安全保護(hù)能力，防范信息泄露。圖13華泰證券數(shù)據(jù)安全技術(shù)體系

來(lái)源：華泰證券數(shù)據(jù)安全平臺(tái)能力，基于IPDR框架，部署各類數(shù)據(jù)安全技術(shù)手段，覆蓋網(wǎng)絡(luò)、平臺(tái)、應(yīng)用、終端，形成事前、事中、事后的數(shù)據(jù)安全技術(shù)能力，并通過(guò)各技術(shù)能力組合形成風(fēng)險(xiǎn)識(shí)別、安全評(píng)估、安全防御、安全監(jiān)測(cè)、安全響應(yīng)五大服務(wù)能力。數(shù)據(jù)安全運(yùn)營(yíng)能力，包括數(shù)據(jù)安全管理、能力運(yùn)營(yíng)、策略管理、安全事件分析四個(gè)方面。數(shù)據(jù)安全管理方面，通過(guò)深度分析各類法律法規(guī)和標(biāo)準(zhǔn)，形成數(shù)據(jù)安全基線和風(fēng)險(xiǎn)矩陣，為能力運(yùn)營(yíng)、策略管理和安全事件分析提供指引。能力運(yùn)營(yíng)方面，基于數(shù)據(jù)安全平臺(tái)能力，開展安全評(píng)估、安全監(jiān)測(cè)、安全檢測(cè)和應(yīng)急處置。策略管理方面，根據(jù)公司數(shù)據(jù)安全態(tài)勢(shì)，動(dòng)態(tài)調(diào)整數(shù)據(jù)安全管控策略，保障數(shù)據(jù)安全高效流轉(zhuǎn)。安全事件分析方面，對(duì)數(shù)據(jù)安全告警、數(shù)據(jù)流轉(zhuǎn)記錄、用戶行為日志等進(jìn)行分析溯源，發(fā)現(xiàn)數(shù)據(jù)安全風(fēng)險(xiǎn)。數(shù)據(jù)安全可視化能力，基于數(shù)據(jù)安全平臺(tái)能力和運(yùn)營(yíng)能力，繪制展示公司數(shù)據(jù)地圖、數(shù)據(jù)流向圖，依托態(tài)勢(shì)感知能力展現(xiàn)數(shù)據(jù)安全風(fēng)險(xiǎn)態(tài)勢(shì)、用戶行為畫像。（3）實(shí)施精細(xì)化的數(shù)據(jù)安全運(yùn)營(yíng)體系華泰證券從風(fēng)險(xiǎn)防范、監(jiān)控預(yù)警、應(yīng)急處置三個(gè)方面，構(gòu)建“感知風(fēng)險(xiǎn)、看見威脅、抵御攻擊”的數(shù)據(jù)安全運(yùn)營(yíng)體系，為公司數(shù)字化轉(zhuǎn)型保駕護(hù)航。風(fēng)險(xiǎn)防范，采用“基線化”+“工程化”+“技術(shù)化”理念，以法律法規(guī)、行業(yè)標(biāo)準(zhǔn)、實(shí)踐指南為切入點(diǎn)，將數(shù)據(jù)安全評(píng)估過(guò)程嵌入業(yè)務(wù)原有生產(chǎn)流程并在早期介入風(fēng)險(xiǎn)管理，降低業(yè)務(wù)數(shù)據(jù)安全風(fēng)險(xiǎn)，如圖14所示。圖14數(shù)據(jù)安全評(píng)估基線化方案

來(lái)源：華泰證券監(jiān)控預(yù)警，依托數(shù)據(jù)安全技術(shù)體系，動(dòng)態(tài)監(jiān)控公司內(nèi)部跨網(wǎng)、跨域、跨實(shí)體流轉(zhuǎn)的數(shù)據(jù)，實(shí)時(shí)發(fā)現(xiàn)數(shù)據(jù)安全威脅并預(yù)警，快速溯源處置安全事件。應(yīng)急處置，建立數(shù)據(jù)安全事件應(yīng)急響應(yīng)機(jī)制，編制應(yīng)急預(yù)案，開展應(yīng)急演練，確保事件發(fā)生后可以快速響應(yīng)，及時(shí)恢復(fù)，最大程度上減少損失，并降低事件造成的消極影響。(二)中移信息技術(shù)有限公司(二)中移信息技術(shù)有限公司國(guó)家、上級(jí)單位“十四五”規(guī)劃要求，堅(jiān)持營(yíng)造良好數(shù)字生態(tài)，中移信息技術(shù)有限公司啟動(dòng)“十四五”IT領(lǐng)域數(shù)據(jù)安全發(fā)展規(guī)劃制定工作。主要包含7大能力，1個(gè)黨建引領(lǐng)保障，31項(xiàng)關(guān)鍵任務(wù)，以加強(qiáng)基礎(chǔ)保障能力建設(shè)、安全系統(tǒng)建設(shè)。并且梳理總結(jié)了9個(gè)發(fā)力點(diǎn)，分別是構(gòu)建網(wǎng)絡(luò)安全態(tài)勢(shì)監(jiān)測(cè)與感知體系、加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)、增強(qiáng)統(tǒng)一調(diào)度指揮能力、強(qiáng)化安全融合保障、遵從網(wǎng)絡(luò)安全法規(guī)、提升新型數(shù)字基礎(chǔ)設(shè)施安全管理水平、完善技術(shù)手段建設(shè)、強(qiáng)化數(shù)據(jù)安全保護(hù)、加大核心技術(shù)安全可控。如圖15所示，公司通過(guò)結(jié)合IPDRR的安全框架和數(shù)據(jù)全生命周期的治理理念，來(lái)貫徹十四五規(guī)劃，并且通過(guò)整合IT安全能力，全面構(gòu)建了數(shù)據(jù)安全全生命周期的能力體系，實(shí)現(xiàn)數(shù)據(jù)安全的可管可控。在數(shù)據(jù)采集、傳輸、存儲(chǔ)、使用、共享、銷毀各個(gè)環(huán)節(jié)部署相應(yīng)的安全技術(shù)，并對(duì)全流程進(jìn)行持續(xù)監(jiān)測(cè)、違規(guī)分析及告警處置。來(lái)源：中移信息技術(shù)有限公司圖15中移信息數(shù)據(jù)安全全生命周期能力體系過(guò)組織架構(gòu)、制度流程、技術(shù)體系等方面作為抓手，落實(shí)“十四五”安全戰(zhàn)略規(guī)劃。在組織架構(gòu)方面，公司設(shè)立安全管理中心，負(fù)責(zé)統(tǒng)籌安全規(guī)劃、建設(shè)安全平臺(tái)、監(jiān)督安全工作、考核執(zhí)行情況，如圖16所示。各個(gè)業(yè)務(wù)部門依據(jù)安全管理中心的要求，設(shè)立專人專崗負(fù)責(zé)數(shù)據(jù)安全管理、安全審計(jì)、系統(tǒng)管理及應(yīng)用管理。2018年，為了推進(jìn)安全工作部署和落實(shí)，中移信息技術(shù)有限公司成立網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組，領(lǐng)導(dǎo)小組包括公司高層領(lǐng)導(dǎo)，辦公室設(shè)在安全管理中心。根據(jù)《數(shù)據(jù)安全管理辦法》，網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組兼顧數(shù)據(jù)安全領(lǐng)導(dǎo)職責(zé)。圖16中移信息數(shù)據(jù)安全組織架構(gòu)

來(lái)源：中移信息技術(shù)有限公司在制度流程方面，公司依據(jù)法律法規(guī)、監(jiān)管要求、行業(yè)要求、業(yè)務(wù)數(shù)據(jù)安全需求和數(shù)據(jù)安全風(fēng)險(xiǎn)控制需要等幾個(gè)方面進(jìn)行梳理，確定數(shù)據(jù)安全防護(hù)的目標(biāo)、管理策略及具體的標(biāo)準(zhǔn)、規(guī)范、制度等，實(shí)現(xiàn)定責(zé)到人的管理機(jī)制。針對(duì)各個(gè)領(lǐng)域的安全管控制定了安全制度和流程規(guī)范，并建立了制度匯編模塊展示公司的總體制度建設(shè)，全體人員可查閱，如圖17所示。來(lái)源：中移信息技術(shù)有限公司來(lái)源：中移信息技術(shù)有限公司圖17中移信息數(shù)據(jù)安全制度體系在技術(shù)體系方面，公司參照數(shù)據(jù)全生命周期安全管控的理念建設(shè)安全能力平臺(tái)，構(gòu)建數(shù)據(jù)安全技術(shù)支撐體系，如圖18所示。遵循對(duì)不同級(jí)別的數(shù)據(jù)進(jìn)行分級(jí)管控的原則，將安全技術(shù)體系貫穿數(shù)據(jù)全生命周期的6個(gè)階段，實(shí)現(xiàn)數(shù)據(jù)安全保護(hù)目標(biāo)。圖18中移信息數(shù)據(jù)安全技術(shù)體系

來(lái)源：中移信息技術(shù)有限公司19所示，為了打造安全的數(shù)據(jù)環(huán)境，保證數(shù)據(jù)在流動(dòng)過(guò)程中時(shí)刻可以被管控，公司以數(shù)據(jù)分類分級(jí)作為治理基礎(chǔ)，建立了事前主動(dòng)納入、事中自動(dòng)發(fā)現(xiàn)、事后人工核查的閉環(huán)管理機(jī)制，實(shí)現(xiàn)數(shù)據(jù)在使用過(guò)程中自動(dòng)化完成分級(jí)分類及敏感數(shù)據(jù)的流轉(zhuǎn)監(jiān)控。同時(shí)，建立了基于數(shù)據(jù)分類分級(jí)機(jī)制和數(shù)據(jù)流轉(zhuǎn)流量分析的數(shù)據(jù)治理平臺(tái)和數(shù)據(jù)安全管控平臺(tái)，達(dá)到數(shù)據(jù)標(biāo)簽明確化，數(shù)據(jù)使用可控化的目標(biāo)。來(lái)源：中移信息技術(shù)有限公司來(lái)源：中移信息技術(shù)有限公司圖19中移信息數(shù)據(jù)流動(dòng)安全閉環(huán)管理機(jī)制亮點(diǎn)二：如圖20所示，為了保證數(shù)據(jù)靜態(tài)安全，公司對(duì)存儲(chǔ)的全量數(shù)據(jù)敏感字段進(jìn)行加密處理，采用國(guó)密SM4等算法實(shí)現(xiàn)靜態(tài)加密，全部四級(jí)敏感表以及個(gè)人信息字段均完成加密存儲(chǔ)。在密鑰管控工作中，遵循隱私保密原則，按需實(shí)時(shí)請(qǐng)求、不落地，進(jìn)一步提升系統(tǒng)安全。數(shù)據(jù)在存儲(chǔ)使用及對(duì)外共享使用過(guò)程中也嚴(yán)格遵循以下原則：①保證數(shù)據(jù)需求通過(guò)嚴(yán)格的審批流程后，脫敏處理提供；②為了保證數(shù)據(jù)安全，大數(shù)據(jù)存儲(chǔ)按分類分級(jí)標(biāo)準(zhǔn)，依據(jù)不同數(shù)據(jù)敏感等級(jí)進(jìn)行差異化加密處理。來(lái)源：中移信息技術(shù)有限公司圖20中移信息數(shù)據(jù)靜態(tài)安全管理機(jī)制亮點(diǎn)三：公司建設(shè)了如圖21所示的共享操作實(shí)時(shí)管控體系，使用實(shí)時(shí)監(jiān)控技術(shù)手段，建立數(shù)據(jù)下載行為分析引擎，實(shí)現(xiàn)對(duì)涉敏數(shù)據(jù)下載實(shí)時(shí)監(jiān)控、高風(fēng)險(xiǎn)操作實(shí)時(shí)告警能力。同時(shí)，規(guī)范監(jiān)控運(yùn)營(yíng)機(jī)制，組建涉敏數(shù)據(jù)下載監(jiān)控運(yùn)營(yíng)團(tuán)隊(duì)，實(shí)現(xiàn)告警、確認(rèn)、處置全流程的閉環(huán)運(yùn)營(yíng)模式，確保高風(fēng)險(xiǎn)操作得到及時(shí)排查和處置，提升數(shù)據(jù)下載（共享）環(huán)節(jié)的數(shù)據(jù)安全治理能力。來(lái)源：中移信息技術(shù)有限公司圖21中移信息數(shù)據(jù)共享實(shí)時(shí)管控平臺(tái)(三)中國(guó)聯(lián)通廣東省分公司(三)中國(guó)聯(lián)通廣東省分公司建設(shè)思路廣東聯(lián)通以合法合規(guī)、安全使用為驅(qū)動(dòng)，強(qiáng)化對(duì)內(nèi)對(duì)外數(shù)據(jù)安全管控，分階段規(guī)劃構(gòu)建“組織、管理、技術(shù)、運(yùn)營(yíng)”數(shù)據(jù)安全體系并不斷完善。通過(guò)對(duì)數(shù)據(jù)全生命周期的防護(hù)，實(shí)現(xiàn)端到端的數(shù)據(jù)安全治理?？傮w分三個(gè)階段建設(shè)數(shù)據(jù)安全體系：第一階段為“基礎(chǔ)建設(shè)”，通過(guò)規(guī)劃數(shù)據(jù)安全治理體系，組建數(shù)據(jù)安全組織，建設(shè)基礎(chǔ)數(shù)據(jù)安全能力，夯實(shí)防護(hù)體系底座基礎(chǔ)；第二階段為“能力升級(jí)”，通過(guò)升級(jí)數(shù)據(jù)安全一體化運(yùn)營(yíng)平臺(tái)能力，逐步加強(qiáng)數(shù)據(jù)安全能力覆蓋，實(shí)現(xiàn)基本完整的運(yùn)營(yíng)閉環(huán)；第三階段為“優(yōu)化運(yùn)營(yíng)”，通過(guò)完善數(shù)據(jù)安全運(yùn)營(yíng)體系，實(shí)現(xiàn)數(shù)據(jù)安全指標(biāo)精細(xì)化運(yùn)營(yíng)。在治理過(guò)程中，對(duì)內(nèi)專注于規(guī)范數(shù)據(jù)使用處理全流程，落實(shí)看數(shù)用數(shù)過(guò)程中數(shù)據(jù)分類分級(jí)管控各項(xiàng)安全措施；以及對(duì)數(shù)據(jù)要素賦能生產(chǎn)，數(shù)據(jù)服務(wù)過(guò)程構(gòu)建安全防護(hù)體系。對(duì)外專注于數(shù)據(jù)對(duì)外合作的安全管控以及個(gè)人隱私保護(hù)。廣東聯(lián)通的數(shù)據(jù)安全治理，在組織層面，嵌入廣東聯(lián)通數(shù)據(jù)治理組織架構(gòu)，構(gòu)建了自上而下的數(shù)據(jù)安全治理組織，明確部門職責(zé)分工、對(duì)人員定責(zé)定崗；在管理方面，承接集團(tuán)數(shù)據(jù)安全要求，形成四級(jí)管理制度體系；在技術(shù)體系方面，廣東聯(lián)通使用集團(tuán)集約化數(shù)安能力，結(jié)合省分自建數(shù)安能力，搭建對(duì)內(nèi)對(duì)外的數(shù)據(jù)安全防護(hù)體系；在安全運(yùn)營(yíng)層面，通過(guò)“作業(yè)本”方式跟蹤數(shù)據(jù)安全任務(wù)，結(jié)合考核與激勵(lì)的管理措施，逐步實(shí)現(xiàn)數(shù)據(jù)安全精細(xì)化運(yùn)營(yíng)。治理實(shí)踐（1）構(gòu)建數(shù)據(jù)安全治理框架廣東聯(lián)通綜合業(yè)界最佳的數(shù)據(jù)安全框架，依據(jù)集團(tuán)公司戰(zhàn)略與數(shù)據(jù)戰(zhàn)略目標(biāo)，制定數(shù)據(jù)安全治理戰(zhàn)略。在戰(zhàn)略指導(dǎo)下，建立如圖22所示的一體化數(shù)據(jù)安全治理體系，即從數(shù)據(jù)安全組織、管理體系、技術(shù)體系到安全運(yùn)營(yíng)，提高廣東聯(lián)通數(shù)據(jù)安全管理及防護(hù)能力，使數(shù)據(jù)安全風(fēng)險(xiǎn)可感、可視、可控，保障數(shù)據(jù)安全有序流動(dòng)，如圖22所示。圖22廣東聯(lián)通數(shù)據(jù)安全體系框架（2）建立健全數(shù)據(jù)安全治理體系

來(lái)源：廣東聯(lián)通以組織架構(gòu)為保障，通過(guò)建立健全數(shù)據(jù)安全管理體系、數(shù)據(jù)安全技術(shù)體系和數(shù)據(jù)安全運(yùn)營(yíng)體系，推動(dòng)數(shù)據(jù)安全治理。建立數(shù)據(jù)安全組織體系。廣東聯(lián)通設(shè)置了數(shù)據(jù)治理指導(dǎo)委員會(huì)（辦公室），統(tǒng)籌推進(jìn)數(shù)據(jù)安全工作，下設(shè)數(shù)據(jù)安全專項(xiàng)組，由管理組、業(yè)務(wù)組、對(duì)外合作組、技術(shù)組、隱私保護(hù)安全合規(guī)組、監(jiān)督組6個(gè)小組構(gòu)成，合力推動(dòng)數(shù)據(jù)安全全面落地。完善數(shù)據(jù)安全管理體系。廣東聯(lián)通依據(jù)國(guó)家、行業(yè)主管部門的數(shù)據(jù)安全相關(guān)法律法規(guī)與標(biāo)準(zhǔn)規(guī)范及聯(lián)通集團(tuán)相關(guān)數(shù)據(jù)安全要求，逐步構(gòu)建四級(jí)數(shù)據(jù)安全制度體系，覆蓋了數(shù)據(jù)全生命周期及數(shù)據(jù)分類分級(jí)、基礎(chǔ)安全等各方面要求。健全數(shù)據(jù)安全技術(shù)體系。廣東聯(lián)通數(shù)據(jù)安全技術(shù)體系以數(shù)據(jù)識(shí)別、數(shù)據(jù)加密、數(shù)據(jù)脫敏、接口安全、數(shù)據(jù)防泄露、操作審計(jì)、數(shù)據(jù)銷毀、數(shù)據(jù)溯源八個(gè)安全能力為基礎(chǔ)，圍繞數(shù)據(jù)全生命周期安全需求，在集團(tuán)能力基礎(chǔ)上構(gòu)建省分集約化數(shù)據(jù)安全能力，實(shí)現(xiàn)數(shù)據(jù)安全立體化防護(hù)。同時(shí)，積極研究并逐步推動(dòng)建立隱私計(jì)算平臺(tái)，探索個(gè)人隱私數(shù)據(jù)對(duì)外協(xié)同數(shù)據(jù)處理時(shí)合規(guī)防護(hù)，確保用戶隱私數(shù)據(jù)安全。完善數(shù)據(jù)安全運(yùn)營(yíng)體系。廣東聯(lián)通以安全合規(guī)需求為驅(qū)動(dòng)，組建SOC，構(gòu)建了圍繞數(shù)據(jù)感知、風(fēng)險(xiǎn)感知、安全合規(guī)、事件管理四個(gè)方面的運(yùn)營(yíng)體系，制定了安全實(shí)施、安全意識(shí)、數(shù)據(jù)保護(hù)、安全事件、敏感數(shù)據(jù)擴(kuò)散五項(xiàng)運(yùn)營(yíng)指標(biāo)，運(yùn)用恰當(dāng)?shù)陌踩夹g(shù)和管理手段，整合人、技術(shù)、流程，持續(xù)降低數(shù)據(jù)安全風(fēng)險(xiǎn)。依據(jù)運(yùn)營(yíng)指標(biāo)結(jié)果，廣東聯(lián)通不斷優(yōu)化總結(jié)運(yùn)營(yíng)內(nèi)容，提升數(shù)據(jù)安全運(yùn)營(yíng)能力，為數(shù)據(jù)持續(xù)性提供安全防護(hù)。全面梳理和重塑工號(hào)實(shí)名管理的規(guī)范流程，打造基于身份證唯一標(biāo)識(shí)的“實(shí)名認(rèn)證、分級(jí)授權(quán)、日志溯源”，實(shí)現(xiàn)人臉識(shí)別、操作留痕、審計(jì)追溯，消除工號(hào)借用、盜用、越權(quán)等隱患。202211N100%實(shí)名，100%實(shí)人登錄，對(duì)異常工號(hào)行為進(jìn)行監(jiān)控，逐步實(shí)現(xiàn)工號(hào)數(shù)字化規(guī)范化管理。目前已199套系統(tǒng)進(jìn)行工號(hào)持續(xù)安全運(yùn)營(yíng)，清理不合規(guī)工號(hào)28萬(wàn)多個(gè)，回收高權(quán)限工號(hào)1000433號(hào)口令”登錄，已設(shè)計(jì)42項(xiàng)安全指標(biāo)周期性運(yùn)營(yíng)，有效保障了工號(hào)權(quán)限數(shù)據(jù)安全。亮點(diǎn)二：針對(duì)IT系統(tǒng)多，且對(duì)用戶基礎(chǔ)數(shù)據(jù)調(diào)用服務(wù)需求大，以及業(yè)務(wù)發(fā)展、數(shù)據(jù)分析、運(yùn)營(yíng)等訪問(wèn)敏感數(shù)據(jù)的頻繁需求,啟動(dòng)數(shù)據(jù)服務(wù)安全項(xiàng)目，確保數(shù)據(jù)服務(wù)涉及的數(shù)據(jù)調(diào)用、數(shù)據(jù)使用安全。如圖23，依托集團(tuán)數(shù)據(jù)中臺(tái)和天擎能力商店，構(gòu)建省分?jǐn)?shù)據(jù)能力開放平臺(tái)，統(tǒng)一提供基礎(chǔ)數(shù)據(jù)調(diào)用服務(wù)。通過(guò)應(yīng)用系統(tǒng)注冊(cè)審批、賬號(hào)身份校驗(yàn)、賬號(hào)稽查稽核，并進(jìn)行接口實(shí)時(shí)監(jiān)控審計(jì)，確保數(shù)據(jù)調(diào)用安全；2022年累計(jì)提供數(shù)據(jù)能力調(diào)用6千萬(wàn)次。同時(shí)，建設(shè)自助工具平臺(tái)，并建立OA審批、DLP加解密及溯源聯(lián)動(dòng)機(jī)制對(duì)內(nèi)部提供批量數(shù)據(jù)分析需求，批量敏感數(shù)據(jù)限制特定云終端訪問(wèn)并限制向外傳輸，以此確保數(shù)據(jù)使用安全；目前已累計(jì)提供批量數(shù)據(jù)使用需求17萬(wàn)次。通過(guò)項(xiàng)目實(shí)施，確保了數(shù)據(jù)服務(wù)100%合規(guī)、安全。圖23廣東聯(lián)通數(shù)據(jù)服務(wù)安全體系

來(lái)源：廣東聯(lián)通車對(duì)企業(yè)內(nèi)部數(shù)據(jù)進(jìn)行了全面劃分，以經(jīng)營(yíng)數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)、個(gè)人數(shù)據(jù)、汽車數(shù)據(jù)等基礎(chǔ)分類，對(duì)結(jié)構(gòu)化數(shù)據(jù)、非結(jié)構(gòu)化數(shù)據(jù)等進(jìn)行了類型定義，制定以數(shù)據(jù)為中心的全生命周期的管控策略，企業(yè)數(shù)據(jù)安全治理的框架。以業(yè)務(wù)風(fēng)險(xiǎn)場(chǎng)景為導(dǎo)向，將吉利汽車的數(shù)據(jù)安全現(xiàn)狀進(jìn)行了細(xì)致梳理，從組織人員、制度流程、文化意識(shí)、安全管理活動(dòng)、技術(shù)管控措施5個(gè)方面進(jìn)行全局規(guī)劃，制定了“體系流程標(biāo)準(zhǔn)化、管控能力自動(dòng)化、數(shù)據(jù)安全價(jià)值化”三步走的數(shù)據(jù)安全目標(biāo)和實(shí)施路徑，如圖24所示。圖24吉利汽車集團(tuán)數(shù)據(jù)安全三步走戰(zhàn)略

來(lái)源：吉利汽車，各類數(shù)據(jù)安全風(fēng)險(xiǎn)逐步上升，吉利汽車數(shù)據(jù)安全治理方案以法律法規(guī)、行業(yè)標(biāo)準(zhǔn)規(guī)范為依據(jù)，通過(guò)“人、管、技”三個(gè)方面來(lái)推動(dòng)完善，建立一個(gè)完善的組并開展螺旋式上升的運(yùn)營(yíng)機(jī)制，從而構(gòu)建“事前防范、事中監(jiān)測(cè)、事后響應(yīng)”全面的安全能力，如圖25所示。圖25吉利汽車集團(tuán)數(shù)據(jù)安全治理框架

來(lái)源：吉利汽車在組織人員管理上，上層組織層面吉利在原有信息安全委員會(huì)下設(shè)了數(shù)據(jù)安全專業(yè)委員會(huì)，獲得領(lǐng)導(dǎo)層的支持和資源保障，并專門成立了企業(yè)數(shù)據(jù)安全合規(guī)與產(chǎn)品數(shù)據(jù)安全合規(guī)團(tuán)隊(duì)，各業(yè)務(wù)單位配備專兼職的數(shù)據(jù)安全接口人，設(shè)置品牌安全負(fù)責(zé)人，來(lái)推動(dòng)汽車的數(shù)據(jù)安全治理能力，并持續(xù)推廣運(yùn)營(yíng)，保證各業(yè)務(wù)單位的形成良性的運(yùn)轉(zhuǎn)機(jī)制。在流程制度建設(shè)上，吉利對(duì)ISMS、DSMS、PSMS三套體系進(jìn)行充分融合、求同存異，制定了三套體系一套執(zhí)行標(biāo)準(zhǔn)的“三