數(shù)據安全治理實踐指南（4.0）

數(shù)據安全推進計劃中國通信標準化協(xié)會大數(shù)據技術標準推進委員會數(shù)據作為數(shù)字經濟發(fā)展的核心資源,是驅動社會創(chuàng)新、經濟高質量發(fā)展的源動能。數(shù)據安全作為數(shù)字經濟健康發(fā)展的重要基石,是我領域數(shù)據安全相關部門法規(guī)的相繼發(fā)布,數(shù)據安全的重要性被推向了新的高度,企業(yè)數(shù)據安全治理和優(yōu)化需求愈加急迫。為幫助企業(yè)有效開展數(shù)據安全治理實踐工作,提升數(shù)據安全治理該指南經過四年精心打磨,基于豐富的企業(yè)數(shù)據安全治理實踐經驗,闡明了數(shù)據安全治理的核心概念,提出了數(shù)據安全建設實踐路線,并深入探討了實踐中的難點問題。相較于前序版本,4.0版本亮點在于:(1)更新數(shù)據安全場景化實踐路線。指南融合了企業(yè)的優(yōu)秀實踐經驗,更新了場景化實踐路徑,凝練了數(shù)據安全場景劃分思路,為企業(yè)開展場景化建設提供有力支持。(2)更新數(shù)據分類分級專項。指南積極響應監(jiān)管要求,吸納了企業(yè)的先進實踐經驗,對分類分級的實踐路線進行了優(yōu)化,為企業(yè)開展和優(yōu)化數(shù)據分類分級工作提供參考指引。(3)更新數(shù)據出境安全評估專項。指南依據最新的政策要求,更新了企業(yè)數(shù)據出境安全管理的實踐路徑,更加與時俱進。(4)更新數(shù)據安全治理技術體系。指南依據企業(yè)最佳實踐經驗,并結合多家數(shù)據安全廠商最新數(shù)據安全技術體系,更新了數(shù)據安全治理技術體系,更加完善與先進,可供企業(yè)實施參考。一、數(shù)據安全治理概述 1(一)數(shù)據安全治理概念內涵 1(二)數(shù)據安全治理原則 2二、數(shù)據安全治理總體視圖 4(一)數(shù)據安全治理目標 4(二)數(shù)據安全治理體系 51.基于數(shù)據全生命周期視角 52.基于工作內容分工視角 8(三)數(shù)據安全治理維度 81.組織架構 92.制度流程 3.技術工具 14 (四)數(shù)據安全治理專項 (五)數(shù)據安全治理實踐 三、數(shù)據安全治理實踐路線 (一)全局數(shù)據安全體系規(guī)劃 1.現(xiàn)狀分析 2.方案規(guī)劃 3.方案論證 21(二)數(shù)據安全場景有序建設 1.全面梳理數(shù)據安全場景 2.評估數(shù)據安全場景風險 3.確定數(shù)據安全場景治理優(yōu)先級 4.進行數(shù)據安全場景治理建設 5.完善數(shù)據安全場景管控措施 (三)數(shù)據安全運營持續(xù)加強 1.從運營對象的角度 2.從管控流程的角度 (四)數(shù)據安全評估助力優(yōu)化 2.第三方評估 30四、數(shù)據安全治理專項開展思路 (一)數(shù)據分類分級專項 (二)數(shù)據安全風險評估及治理專項 (三)合作方數(shù)據安全管理專項 (四)數(shù)據出境安全評估專項 五、數(shù)據安全治理總結與展望 一、數(shù)據安全治理概述發(fā)展數(shù)字經濟、加快培育發(fā)展數(shù)據要素市場,必須把保障數(shù)據安全放在突出位置。這就要求我們著力解決數(shù)據安全領域的突出問題,有效提升數(shù)據安全治理能力。隨著數(shù)據安全監(jiān)管要求逐漸落地,組織數(shù)據安全治理動力明顯攀升,數(shù)據安全技術及服務供給不斷釋放。整體來看,數(shù)據安全治理進入快速發(fā)展階段。本章將解析數(shù)據安全治理概念內涵,分析數(shù)據安全治理原則。為指導行業(yè)數(shù)據安全治理能力建設,促進行業(yè)數(shù)據安全治理能力發(fā)展,依據通信行業(yè)標準《數(shù)據安全治理能力通用評估方法》(YD/T4558-2023),梳理數(shù)據安全治理概念內涵,本指南認為應該從廣義和狹義兩個角度進行理解。數(shù)據安全治理是指在組織數(shù)據安全戰(zhàn)略的指導下,為確保組織數(shù)據處于有效保護和合法利用的狀態(tài),以及具備保障持續(xù)安全狀態(tài)的能力,內外部相關方協(xié)作實施的一系列活動集合。包括建立數(shù)據安全治理組織架構,制定數(shù)據安全制度規(guī)范,構建數(shù)據安全技術體系,建設數(shù)據安全人才梯隊等。數(shù)據安全治理是在國家數(shù)據安全戰(zhàn)略的指導下,為形成全社會共同維護數(shù)據安全、促進開發(fā)利用和產業(yè)發(fā)展的良好環(huán)境,國家有關部門、行業(yè)組織、科研機構、企業(yè)、個人共同參與和實施的1一系列活動集合。包括完善相關政策法規(guī),推動政策法規(guī)落地,建設實施標準體系,研發(fā)應用關鍵技術,培養(yǎng)專業(yè)人才等。共享、銷毀等全生命周期的各個環(huán)節(jié),不同環(huán)節(jié)的特性不同,都面臨據安全治理體系,根據具體的業(yè)務場景和各生命周期環(huán)節(jié),有針對性地識別并解決其中存在的數(shù)據安全問題,防范數(shù)據安全風險。無論是從廣義還是狹義的角度出發(fā),數(shù)據安全治理不是僅僅依靠一方力量可以開展的工作。對國家和社會而言,面對數(shù)據安全領域的諸多挑戰(zhàn),政府、企業(yè)、行業(yè)組織、甚至個人都需要發(fā)揮各自優(yōu)勢緊密配合,承擔數(shù)據安全治理主體責任,共同營造適應數(shù)字經濟時代要求的協(xié)同治理模式。這也與《中華人民共和國數(shù)據安全法》(以下簡稱《數(shù)據安全法》)中強調建立各方共同參與的工作機制相一致。對組織機構而言,數(shù)據安全治理需要從組織戰(zhàn)略層面出發(fā),協(xié)調管理安全共識,實現(xiàn)數(shù)據安全防護建設一盤棋。因此,數(shù)據安全治理必然是涉及多元化主體共同參與的工作。2二、數(shù)據安全治理總體視圖本指南結合前期大量調研和數(shù)據安全治理能力評估實踐,依據通信行業(yè)標準《數(shù)據安全治理能力通用評估方法》(YD/T4558-2023),提煉出一套行之有效的數(shù)據安全治理總體視圖,用以描繪數(shù)據安全治理的建設藍圖和實踐路線,如圖1所示。合作方數(shù)據安全…合作方數(shù)據安全…來源:數(shù)據安全推進計劃圖1數(shù)據安全治理總體視圖數(shù)據安全治理目標數(shù)據安全治理目標是組織數(shù)據安全治理工作開展的前進方向。本指南認為其主要包括滿足合規(guī)要求、治理數(shù)據安全風險、促進數(shù)據開滿足合規(guī)要求。逐漸細化的數(shù)據安全監(jiān)管要求,為組織數(shù)據安全4及時發(fā)現(xiàn)合規(guī)差距協(xié)助組織履合規(guī)工作的推進提出了更高的要求及時發(fā)現(xiàn)合規(guī)差距協(xié)助組織履行數(shù)據安全責任義務標,為業(yè)務的穩(wěn)定運行和規(guī)范化開展筑牢根基是數(shù)據安全治理工作的首要目。行數(shù)據安全責任義務標不斷產出的海量數(shù)據在動態(tài)實時流轉過程中面臨著較大的風險暴露面俱增疊數(shù)據安全威脅及帶來的影響與面臨著較大的風險暴露面俱增疊加數(shù)據安全邊界較為模糊,組織數(shù)據加數(shù)據安全邊界較為模糊,組織數(shù)據安全風險的有效治理必然是數(shù)據安全治理的重要使命。數(shù)字經濟的高速發(fā)展離不開數(shù)據價值的充分用數(shù)字經濟的高速發(fā)展離不開數(shù)據價值的充分數(shù)據安全治理通釋放數(shù)據安全則是保障數(shù)據價值釋放的重要基石數(shù)據安全治理通釋放過體系化的建設提升數(shù)完善組織的合規(guī)管理和風險管理工作機制過體系化的建設提升數(shù)據安全保護水平促進數(shù)據的開發(fā)利用據安全保護水平標需要具備的能數(shù)據安全治理體系是組織達成數(shù)據安全治理標需要具備的能力框架本指南依據通信行業(yè)標準組織應該圍繞該體系進行建設力框架本指南依據通信行業(yè)標準基于數(shù)據全生命T4558據安全治理能力通用評估方法223YD基于數(shù)據全生命T4558據安全治理能力通用評估方法223層架構層架構在實踐中的工作個層架構層架構在實踐中的工作個類工作內容技術分工類工作內容技術分工于數(shù)據全生命數(shù)據安全治理體系的層框架包括數(shù)據安全戰(zhàn)略層數(shù)據全生命數(shù)據安全治理體系的周期安全層和基礎安全層數(shù)據安全戰(zhàn)略層是推進數(shù)據安全治理工作開展的戰(zhàn)略保障模塊,5要求組織在啟動各項工作前,應制定相應的戰(zhàn)略規(guī)劃。數(shù)據安全戰(zhàn)略者組建治理團隊?！?shù)據安全規(guī)劃要求根據國家政策、組織業(yè)務發(fā)展需要以及數(shù)據安全需求等多方面因素明確組織整體數(shù)據安全規(guī)劃?！C構人員管理要求建立負責組織內部數(shù)據安全工作的部門、崗位和人員,并與人力資源管理部門進行聯(lián)動,防范機構人員管理過程中存在的數(shù)據安全風險。數(shù)據全生命周期安全層是評估組織數(shù)據安全合規(guī)及風險管理等工作下沉至各業(yè)務場景能力水平的重要模塊。要求組織以收集、傳輸、保障數(shù)據安全。具體來說包括:·數(shù)據收集安全是指根據組織對數(shù)據收集的安全要求,建立數(shù)據收集安全管理措施和安全防護措施,規(guī)范數(shù)據收集相關流程,從而保證數(shù)據收集的合法、合規(guī)、正當和誠信?！?shù)據傳輸安全是指根據組織對內和對外的數(shù)據傳輸需求,建立不同的數(shù)據加密保護策略和安全防護措施,防止傳輸過程中的數(shù)據泄露等風險?！?shù)據存儲安全是指根據組織內部數(shù)據存儲安全要求,提供有效的技術和管理手段,防止對存儲介質的不當使用而可能引發(fā)的數(shù)據泄露風險,并規(guī)范數(shù)據存儲的冗余管理流程,保障數(shù)據可用性,實現(xiàn)數(shù)據存儲安全。6·數(shù)據使用安全是指根據數(shù)據使用過程面臨的安全風險,建立有效的數(shù)據使用安全管控措施和數(shù)據處理環(huán)境的安全保護機制,防止數(shù)據處理過程的風險。·數(shù)據共享安全是指根據組織對外提供或交換數(shù)據的需求,建立有效的數(shù)據交換安全防護措施,降低數(shù)據共享場景下的安全風險?！?shù)據銷毀安全是指通過制定數(shù)據銷毀機制,實現(xiàn)有效的數(shù)據銷毀管控,防止因對存儲介質中的數(shù)據進行恢復而導致的數(shù)據泄露風險?；A安全層作為數(shù)據全生命周期安全能力建設的基本支撐模塊,可以在多個生命周期環(huán)節(jié)內復用,是整個數(shù)據安全治理體系建設的通用要求,能夠實現(xiàn)建設資源的有效整合。具體來說包括:·數(shù)據分類分級是指根據法律法規(guī)以及業(yè)務需求,明確組織內部的數(shù)據分類分級原則及方法,并對數(shù)據進行分類分級標識,以實現(xiàn)差異化的數(shù)據安全管理。·合規(guī)管理是指根據組織內部的業(yè)務需求和業(yè)務開展場景,明確相關法律法規(guī)要求,通過制定管理措施降低組織面臨的合規(guī)風險?！ず献鞣焦芾硎侵竿ㄟ^建立組織的合作方管理機制,防范組織對外合作中的數(shù)據安全風險?！けO(jiān)控審計是指通過建立監(jiān)控及審計的工作機制,有效防范不正當?shù)臄?shù)據訪問和操作行為,降低數(shù)據全生命周期未授權訪問、數(shù)據濫用、數(shù)據泄露等安全風險?！ど矸菡J證與訪問控制是指根據組織的安全合規(guī)要求,建立用戶身份認證和訪問控制管理機制,防止對數(shù)據的未授權訪問。7·安全風險分析是指根據組織的業(yè)務場景建立數(shù)據安全風險分析體系,將風險控制在可接受的水平,最大限度的保障數(shù)據安全?！ぐ踩录笔侵竿ㄟ^建立數(shù)據安全應急響應體系,確保在發(fā)生數(shù)據安全事件后能夠及時止損,保障業(yè)務的安全和穩(wěn)定運行,最大程度降低數(shù)據安全事件帶來的影響。2.基于工作內容分工視角上述三層框架在組織內部落地實踐過程,涉及到多方面的工作,根據組織內常見的工作劃分,我們按照管理、技術、運營三類的工作內容進行演化,生成基于工作內容的數(shù)據安全治理體系視角,其中:管理類工作涉及組織架構、制度流程、人員管理等三方面工作,是數(shù)據安全治理體系在組織內運作的基石,主要負責協(xié)調、整合及優(yōu)化各種資源,最終實現(xiàn)數(shù)據安全治理目標。更詳細的內容可以參考 "(三)數(shù)據安全治理維度"。工涉及基礎通用類、生命周期類、平臺類技術的策略配置、技術實現(xiàn)等,主要為管理類工作的落地提供技術支撐,是數(shù)據安全的直接保障。具體的技術工作將在"(三)數(shù)據安全治理維度"進行描述。運營類工作可以從運營對象、管控流程兩個維度切入實現(xiàn),主要承擔優(yōu)化數(shù)據安全工作流程,及時持續(xù)的為數(shù)據安全決策提供有價值的信息和洞察。更詳細的內容將在第三章進行闡述。8以數(shù)據安全治理目標為指引,圍繞數(shù)據安全治理體系框架,可以從組織架構、制度體系、技術工具和人員能力四個維度開展治理能力建設工作,以解決"誰來干""怎么干""干的如何"、"有沒有能力干"等關鍵問題。1.組織架構數(shù)據安全組織架構是數(shù)據安全治理體系建設的前提條件。通過建立專門的數(shù)據安全組織,落實數(shù)據安全管理責任,確保數(shù)據安全相關工作能夠持續(xù)穩(wěn)定的貫徹執(zhí)行。同時,因數(shù)據安全治理是一項多元化主體共同參與的復雜工作,明確的組織架構有助于劃分各參與主體的數(shù)據安全權責邊界,促進協(xié)同機制的建立,實現(xiàn)組織數(shù)據安全治理一盤棋。業(yè)務部門、人力部門等都需要參與到數(shù)據安全治理的具體工作中,相互協(xié)同,共同保障組織的數(shù)據安全。一種較為典型的數(shù)據安全治理組各層之間通過定期會議溝通等工作機制實現(xiàn)緊密合作、相互協(xié)同。指導管理層工作的開展,并聽取管理層關于工作情況和重大事項等的匯報,一般以虛擬組織的形式存在,如數(shù)據安全領導小組,該小組通常由組織的高層領導及相關部門負責人共同構成,主要負責對數(shù)據安全的重大事項進行統(tǒng)籌決策,主要職責包括:圖2數(shù)據安全治理組織架構示例·制定數(shù)據安全整體目標和發(fā)展規(guī)劃;·發(fā)布數(shù)據安全管理制度及規(guī)范;·提供數(shù)據安全規(guī)劃、設計、建設、運營等全過程的資源保障;?重大數(shù)據安全事件協(xié)調與決策。王則對執(zhí)行層提出數(shù)據安全管理要求,并聽取執(zhí)行層關于數(shù)據安全執(zhí)行情況和重大事項的匯報,形成管理閉環(huán),一般由安全部門責包括:·制定數(shù)據安全管理制度及規(guī)范;·制定數(shù)據安全工作在各層級的運行機制,保障數(shù)據安全工作的順利運營;·推進數(shù)據安全風險評估、數(shù)據出境安全評估等專項工作的開展;·推進數(shù)據安全意識培訓、安全技能提升、安全技術考核·負責與國家數(shù)據安全相關監(jiān)管部門及行業(yè)組織的協(xié)調溝通。數(shù)據安全管理要求的貫徹落實,主要職責包括:·負責依據國家法律法規(guī)、政策文件、標準規(guī)范及企業(yè)相關數(shù)據安全管理要求,合理開展工作;·負責制定本部門相關業(yè)務場景下的數(shù)據安全實施細則;·負責按照要求構建數(shù)據安全建設的技術支撐能力,助力管理要求落地;·負責反饋合理的數(shù)據安全需求,促進數(shù)據安全防護工作的改進;·積極參與數(shù)據安全意識培訓、能力培養(yǎng)及考核工作。監(jiān)督層負責對管理層和執(zhí)行層各自職責范圍內的數(shù)據安全工作情況進行監(jiān)督,并聽取各方匯報,形成最終監(jiān)督結論后同步匯報至決·對數(shù)據安全制度及規(guī)范的執(zhí)行情況進行監(jiān)督;·對數(shù)據安全技術工具的落地情況進行監(jiān)督;·對數(shù)據安全風險評估過程進行監(jiān)督審計。因不同組織的部門設置都有較大不同,涉及到實際組織體系建設時,不同機構還需結合現(xiàn)有組織架構,進行適度的調整和補充。數(shù)據安全制度流程一般會從業(yè)務數(shù)據安全需求、數(shù)據安全風險控制需要,以及法律法規(guī)合規(guī)性要求等幾個方面進行梳理,最終確定數(shù)件則是對上層管理要求的細化解讀,用于指導具體業(yè)務場景的具體工作。常見的制度體系如圖3所示。來源來源:數(shù)據安全推進計劃圖3數(shù)據安全治理制度體系示例是由決策層明確的面向組織的數(shù)據安全管理方針、政策、法確定各業(yè)務、各環(huán)節(jié)的具體操作指南、規(guī)范。屬于輔助文件,是各項具體制度執(zhí)行時產生的過程性文檔,一般包括工作計劃、12133.技術工具數(shù)據安全治理體系的技術并非單一產品或平臺的構建,而是結合組織自身使用場景,圍繞數(shù)據全生命周期各階段的安全要求,建立起來的與制度流程相配套的技術和工具。一種典型的數(shù)據安全治理技術構成。來源:數(shù)據安全推進計劃圖5數(shù)據安全治理技術體系基礎通用類技術工具為數(shù)據全生命周期的安全提供支撐:·身份鑒權包括口令密碼、雙因素認證和生物識別等技術,用于驗證用戶身份,確保只有授權用戶能夠訪問系統(tǒng)或數(shù)據,從而保護數(shù)據的安全性和隱私?！ぴL問控制技術是指權限管控相關技術或平臺,用于在身份鑒權14之后,根據用戶的權限和角色等,限制其對特定數(shù)據資源的訪問及操作,以確保數(shù)據資源的安全性和合規(guī)使用?！ぴ茢?shù)據安全技術是指保護存儲在云端的數(shù)據免受未授權訪問、·大數(shù)據安全技術是指基于大數(shù)據平臺的,保護大規(guī)模數(shù)據集在收集、存儲、處理和共享過程中的保密性、完整性和可用性的一系列技術。數(shù)據全生命周期安全類技術為生命周期中特定環(huán)節(jié)面臨的風險提供管控技術保障。整個數(shù)據全生命周期可以通過組合或復用以下多種技術實現(xiàn)數(shù)據安全:·敏感數(shù)據識別通過對數(shù)據進行識別和梳理,發(fā)現(xiàn)其中的敏感數(shù)·數(shù)據分類分級相關工具平臺主要實現(xiàn)數(shù)據資產掃描梳理、數(shù)據分類分級打標和數(shù)據分類分級管理等功能?！?shù)據標記技術是指在數(shù)據上附加標簽或元數(shù)據,以便于追蹤、管理和應用安全策略,以幫助安全工具更好地理解和處理數(shù)據。·數(shù)據加密技術是指通過密碼技術保護數(shù)據不被未授權訪問或泄露,從而保障數(shù)據機密性。·數(shù)據完整性校驗技術是指通過校驗技術、密碼技術等確保數(shù)據在存儲、處理和傳輸?shù)冗^程中不被未授權修改或破壞。15·數(shù)據庫安全涵蓋數(shù)據庫審計、數(shù)據庫防火墻等技術工具,幫助組織保護其數(shù)據庫免受各種安全威脅?！る娮游臋n權限管理相關工具平臺對電子文檔進行統(tǒng)一管理、監(jiān)控和審計,防止電子文檔被非授權訪問?！?shù)據安全網關通過建立統(tǒng)一的數(shù)據訪問、分發(fā)的出入口,基于協(xié)議訪問數(shù)據源,發(fā)現(xiàn)敏感數(shù)據,對訪問數(shù)據的行為進行分析、處理,提供持續(xù)的數(shù)據安全保障及監(jiān)測能力?！浞菖c恢復/存儲災備技術是防止數(shù)據破壞、丟失的的有效手段,用于保證數(shù)據可用性和完整性。·數(shù)據安全沙箱用于構建安全可控的可信安全空間,使得用戶可以在隔離的環(huán)境中處理敏感數(shù)據,以防止數(shù)據泄露和濫用。·隱私計算通過實現(xiàn)數(shù)據的可用不可見,從而滿足隱私安全保護、價值轉化及釋放?！?shù)據脫敏通過數(shù)據脫敏策略對敏感數(shù)據進行脫敏處理,以滿足相關法律法規(guī)、標準要求以及業(yè)務需求,并實現(xiàn)數(shù)據可用性和安全性的平衡。流向、使用等進行追蹤和查詢?！PI管控相關工具平臺提供內部接口和外部接口的安全管控和監(jiān)控審計能力,保障數(shù)據傳輸接口安全。·數(shù)據防泄露通過終端防泄露技術、郵件防泄露技術、網絡防泄露技術等,防止敏感數(shù)據在違反安全策略規(guī)定的情況下被有意或無意的泄露·數(shù)據流轉監(jiān)測預警是指通過實時監(jiān)控和分析數(shù)據在組織內部種場景中的流動情況和內外部流轉的多敏及時發(fā)現(xiàn)異常數(shù)據訪問種場景中的流動情況和內外部流轉的多敏感數(shù)據外發(fā)和數(shù)據流量異常等潛在風險并向相關人員發(fā)出警報感數(shù)據外發(fā)和數(shù)據流量異常等潛在風險便采取相應的應對措施硬銷毀等技術數(shù)據銷毀包括軟銷毀通過數(shù)據銷毀使得被銷硬銷毀等技術數(shù)據銷毀包括軟銷毀毀的數(shù)據不能再恢復通個人信息刪除是在符合法律規(guī)定或者當事人約定的情形下通使得個人信息不可檢索或訪問過相關技術手段刪除相關個人信息使得個人信息不可檢索或訪問·介質銷毀是指通過消磁機或者物理搗毀等方式對數(shù)據所在的介質進行物理銷毀。打破其之間的協(xié)作壁技術通過接入各技術工具的能力點打破其之間的協(xié)作壁進而提供統(tǒng)的管理入壘實現(xiàn)對不同技術工具的能力編排與調度進而提供統(tǒng)的管理入壘為組織的各項安全決策提供全局視角:與操作方式為組織的各項安全決策提供全局視角:數(shù)據合規(guī)管理數(shù)據安全運營管理平臺通過數(shù)據資產梳理數(shù)據合規(guī)管理全能力管理協(xié)數(shù)據安全運營建立數(shù)據安全態(tài)勢感知等核心功能全能力管理協(xié)數(shù)據安全運營建立單規(guī)避產品在實際應用過程中的粗防護單視角等問題人人人員的技術能力數(shù)據安全治理離不開相應人員的具體執(zhí)行人員的技術能力,加強對數(shù)據安因此,加強對數(shù)據安因此組織需要根據崗位職責、全人才的培養(yǎng)是數(shù)據安全治理的應有之義。組織需要根據崗位職責、17人員角色等明確相應的能力要求,并從意識和能力兩方面著手建立適配的數(shù)據安全能力培養(yǎng)機制,如表1所示。表1不同類型人員的數(shù)據安全能力要求和培養(yǎng)機制數(shù)據安全能力要求了解數(shù)據安全法律法規(guī)、具備數(shù)據安全意識、知曉常見數(shù)據安全陷阱熟知數(shù)據安全法律法規(guī)、知曉數(shù)據安全風險、熟悉數(shù)據安全合規(guī)評估工作流程、熟悉數(shù)據安全操作規(guī)范了解數(shù)據安全法律法規(guī)、具備數(shù)據安全技術能力、熟悉業(yè)務流程的安全風險、熟悉數(shù)據安全操作規(guī)范熟知數(shù)據安全法律法規(guī)、熟悉數(shù)據安全工作流程、具備數(shù)據安全意識來源:數(shù)據安全推進計劃意識能力培養(yǎng)方式?？梢越Y合業(yè)務開展的實際場景,以及數(shù)據安全事件實際案例,通過數(shù)據安全事件宣導、數(shù)據安全事件場景還原、數(shù)據安全宣傳海報、數(shù)據安全月活動等方式,定期為員工開展數(shù)據安全意識培訓,糾正工作中的不良習慣,降低因意識不足帶來的數(shù)據安全風險。技術能力培養(yǎng)方式。一方面,構建組織內部的數(shù)據安全學習專區(qū),營造培訓環(huán)境,通過線上視頻、線下授課相結合的方式,按計劃、有主題的定期開展數(shù)據安全技能培訓,夯實理論知識。另一方面,通過開展數(shù)據安全攻防對抗等實戰(zhàn)演練,將以教學為主的靜態(tài)培訓轉為以實踐為主的動態(tài)培訓,提高人員參與積極性,有助于理論向實踐轉化,切實提高人員數(shù)據安全技能。為保障培訓效果,形成人員能力培養(yǎng)的管理閉環(huán),還需要結合能力考核的管理機制。通過結合人員角色及崗位職責,構建數(shù)據安全能18員數(shù)據安全理論基礎。同時將人員在實戰(zhàn)演練中的實際操作能力作為重要考核指標,以綜合評估數(shù)據安全人員能力水平。如前所述,數(shù)據安全治理的要點之一是多元化主體的共同參與,其工作過程涉及數(shù)據、安全、合規(guī)、業(yè)務等諸多部門,因此協(xié)調落實復雜程度較高,為了保障各部門及各項管理要求的有效配合及落實,數(shù)據安全專項工作必不可少。結合監(jiān)管要求及業(yè)務發(fā)展需要,數(shù)據分類分級、數(shù)據安全風險評估、數(shù)據出境安全評估、合作方數(shù)據安全管理等專項工作的開展需要提上日程。本指南結合相關要求及行業(yè)實踐,將在第四章詳細描述以上專項工作的開展思路。數(shù)據安全治理體系給出了組織數(shù)據安全治理的建設框架,如何將整套框架切實應用于建設過程,離不開實踐路線的繪制。本指南基于行業(yè)發(fā)展現(xiàn)狀,提煉出"全局體系規(guī)劃,場景有序落地,運營持續(xù)加治理工作的落地推進。該實踐路線將在第三章展開論述。三、數(shù)據安全治理實踐路線基于以上數(shù)據安全治理實踐理念,可以按照體系化和場景化相結合的思路推進實踐過程。一方面,體系化思路,以數(shù)據安全戰(zhàn)略規(guī)劃為指導,以規(guī)劃、建設、運營、優(yōu)化為主線,圍繞構建數(shù)據安全治理體系這一核心,從組織架構、制度流程、技術工具和人員能力四個維度構建全局建設藍圖。另一方面,場景化思路,針對各業(yè)務場景敏捷落地相關數(shù)據安全能力點,通過實際業(yè)務場景中數(shù)據安全的建設落地強化管理對業(yè)務的下沉指導。以上實踐過程可以有效避免管理和技術數(shù)據安全規(guī)劃階段主要確定組織數(shù)據安全治理工作的總體定位和愿景,根據組織整體發(fā)展戰(zhàn)略內容,結合實際情況進行現(xiàn)狀分析,制定數(shù)據安全規(guī)劃,并對規(guī)劃進行充分論證。組織應通過現(xiàn)狀分析找到數(shù)據安全治理的核心訴求及差距項,以此作為規(guī)劃設計的依據?？梢詮陌踩弦?guī)對標、風險現(xiàn)狀分析、行業(yè)最佳實踐對比入手。一是數(shù)據安全合規(guī)對標。數(shù)據安全合規(guī)是組織履行數(shù)據安全相關責任義務的底線要求。不同組織應對組織適用的外部法律法規(guī)、監(jiān)管20要求、標準規(guī)范等進行梳理,將重要條款與現(xiàn)有情況進行對比,分析其差距,確定合規(guī)需求。二是數(shù)據安全風險現(xiàn)狀分析。有效的數(shù)據安全風險管理是組織推進業(yè)務發(fā)展的重要保障。不同組織需結合其業(yè)務場景,基于數(shù)據全生命周期安全防護要求,通過數(shù)據安全風險評估等專項工作的開展,識別數(shù)據面臨的安全威脅及所在環(huán)境的脆弱性,形成風險問題清單,提煉數(shù)據安全建設需求點。三是行業(yè)最佳實踐對比。行業(yè)對比是組織經營決策的主要參考。通過分析同行業(yè)的數(shù)據安全建設先進案例,并與組織現(xiàn)狀進行橫向對比,有助于提煉出更加適宜的數(shù)據安全建設方向和建設思路。組織應根據現(xiàn)狀分析結果,結合數(shù)據安全治理目標,給出可落地實施的數(shù)據安全治理規(guī)劃方案,并提煉重點目標和任務,分階段落實到工程實施中。方案規(guī)劃可以從前文所述的四個數(shù)據安全治理維度入手,通過對組織架構、制度流程、技術工具、人員能力的不斷建設與為保障規(guī)劃方案在建設過程的順利實施,需從三方面論證分析:一是可行性分析,對比投入與效益,協(xié)調數(shù)據安全管理機制與業(yè)務系統(tǒng),實現(xiàn)業(yè)務發(fā)展與安全保障的平衡;二是安全性分析,詳細論證方案,確保業(yè)務穩(wěn)定運行,避免未知風險;三是可持續(xù)性分析,方案需21據安全與持續(xù)發(fā)展。(二)數(shù)據安全場景有序建設數(shù)據安全建設階段主要對數(shù)據安全規(guī)劃進行落地實施,建成與組織相適應的數(shù)據安全治理能力。然而,數(shù)據安全治理的建設是一項需要長期開展和持續(xù)投入的工作,無法一蹴而就。為了快速響應不同數(shù)據安全場景下不同的數(shù)據安全要求,促進數(shù)據價值安全有序釋放,組織需全面評估數(shù)據安全場景面臨的安全風險,基于數(shù)據安全風險及場景特點,規(guī)劃具有差異化和針對性數(shù)據安全管控方案,有效的平衡數(shù)據使用便捷性和安全防護關系,逐步推動數(shù)據安全治理體系在組織內的全面落地。本指南梳理了場景化數(shù)據安全治理建設的總體思路,如圖6所示。來源:數(shù)據安全推進計劃圖6場景化數(shù)據安全建設五步走1.全面梳理數(shù)據安全場景梳理數(shù)據安全場景是組織進行場景化數(shù)據安全治理建設的前提,可以幫助組織了解數(shù)據安全治理對象全貌,為組織場景化數(shù)據安全治22理提供行動地圖。目前,對數(shù)據安全場景的劃分尚未有統(tǒng)一的標準,本指南根據對數(shù)據安全供應側及需求側的調研,將場景劃分方法歸類為基于數(shù)據安全合規(guī)義務的場景劃分和基于業(yè)務運行環(huán)境的場景劃分兩種?；跀?shù)據安全合規(guī)義務的場景劃分,是指組織根據國家法律法規(guī)要求進行數(shù)據安全合規(guī)義務場景的識別,如《數(shù)據安全法》中提到的數(shù)據分類分級場景、數(shù)據安全風險評估場景、數(shù)據安全事件應急場景要求進行行業(yè)領域特色場景的梳理和建設,如金融領域相關發(fā)文中提到的外部數(shù)據引入場景、數(shù)據對外提供場景、人工智能使用場景等。組織可以識別數(shù)據安全合規(guī)義務,并將其作為數(shù)據安全建設的重點場景,按照監(jiān)管緊迫度和合規(guī)優(yōu)先級,有序進行落地?；跇I(yè)務運行環(huán)境的場景劃分,是指根據業(yè)務運行所處的具體環(huán)境和條件,對數(shù)據安全場景進行分類和歸納。各組織的業(yè)務雖然各有不同,但是其業(yè)務運行環(huán)境的劃分基本類似。例如,可以根據典型的業(yè)務運行環(huán)境,結合不同數(shù)據應用主體,將數(shù)據安全場景劃分為辦公場景、生產場景、研發(fā)場景、運維場景和外部共享場景等。全面評估數(shù)據安全場景的數(shù)據安全風險是指針對具體場景,綜合考慮合規(guī)要求、業(yè)務重要性、數(shù)據資源重要程度,通過繪制數(shù)據流圖明確業(yè)務場景所涵蓋的系統(tǒng)資源、數(shù)據資源及上下游合作方,充分分析數(shù)據處理活動過程中是否存在合規(guī)、泄漏、篡改、仿冒等數(shù)據安全23風險,按照威脅程度明確數(shù)據安全風險等級,形成數(shù)據安全風險全景視圖,并將其作為數(shù)據安全治理建設需求的輸入,為制定場景化數(shù)據安全解決方案提供依據。3.確定數(shù)據安全場景治理優(yōu)先級依據數(shù)據安全場景風險評估結果,結合組織業(yè)務特點和安全資源投入情況明確數(shù)據安全場景治理的優(yōu)先級。數(shù)據安全治理是一項與業(yè)務深度融合的工作,必須要獲得組織高層支持平衡公司資源,協(xié)調安全、業(yè)務、合規(guī)等多個團隊共同參與推動,因此數(shù)據安全場景治理優(yōu)先級可按照"合規(guī)、高風險場景優(yōu)先,同步推進基礎業(yè)務場景治理"的原則,首先確保業(yè)務安全合規(guī),避免由于不合規(guī)或嚴重數(shù)據安全事件影響業(yè)務正常運行,其次要優(yōu)先落實基礎性數(shù)據安全工作為數(shù)據安全治理后續(xù)工作的做好基礎支撐。4.進行數(shù)據安全場景治理建設依據數(shù)據安全場景的風險評估結果,結合業(yè)務自身特點,從制度面,明確具體場景的管控機制,并建設技術工具支撐管控機制的落地實施。另一方面,根據需要形成制度文件,并對相關操作人員進行培全防護尋找平衡點,實現(xiàn)數(shù)據安全建設投入資源效益最大化。各場景的數(shù)據安全治理需要不斷的迭代、優(yōu)化、擴展才能適應外部數(shù)據安全發(fā)展態(tài)勢、政策法規(guī)變化、組織發(fā)展。為此,組織要面向24不斷發(fā)現(xiàn)其各場景建立常態(tài)化運營機制動態(tài)跟蹤數(shù)據安全管控效果不斷發(fā)現(xiàn)其各場景建立常態(tài)化運營機制動態(tài)跟蹤數(shù)據安全管控效果實現(xiàn)數(shù)據安全管控措施持續(xù)完善和優(yōu)中安全管控措施的缺失和不足實現(xiàn)數(shù)據安全管控措施持續(xù)完善和優(yōu)中安全管控措施的缺失和不足更適合組織業(yè)務特性讓數(shù)據安全管控措化使得管控措施更貼近更適合組織業(yè)務特性讓數(shù)據安全管控措化使得管控措施更貼近施發(fā)揮最大價值促進整體數(shù)據安全治理水平提升施發(fā)揮最大價值促進整體數(shù)據安全治理水平提升數(shù)據安全運營階段通過不斷適配業(yè)務環(huán)境和風險管理需求數(shù)據安全運營階段通過不斷適配業(yè)務環(huán)境和風險管理需求優(yōu)化安全策略措施運營體強化整個數(shù)據安全治理體系的有效運轉優(yōu)化安全策略措施運營體強化整個數(shù)據安全治理體系的有效運轉系的構建可以從運營對象管控流程兩個方向進行切入建設系的構建可以從運營對象管控流程兩個方向進行切入建設又又必然是數(shù)據安全運營的關鍵數(shù)據作為數(shù)據安全的主要管理對象必然是數(shù)據安全運營的關鍵數(shù)據作為數(shù)據安全的主要管理對象通過對數(shù)據的運營可以全面掌握數(shù)據的分布及流轉情況通過對數(shù)據的運營可以全面掌握數(shù)據的分布及流轉情況般來說數(shù)據運數(shù)據安全的策略制定風險排查等提供有效輸入般來說數(shù)據運數(shù)據安全的策略制定風險排查等提供有效輸入營可以從數(shù)據資源數(shù)據流轉視圖等幾個方面開錄數(shù)據分布地圖營可以從數(shù)據資源數(shù)據流轉視圖等幾個方面開錄數(shù)據分布地圖展工作展工作將梳理的數(shù)據資源情況進行統(tǒng)將梳理的數(shù)據資源情況進行統(tǒng)據來源數(shù)據屬主數(shù)據類型等情況形成數(shù)據資源的統(tǒng)據來源數(shù)據屬主數(shù)據類型等情況形成數(shù)據資源的統(tǒng)錄視圖錄視圖致等數(shù)據質量問題不方面有助于解決數(shù)據重復致等數(shù)據質量問題不方面有助于解決數(shù)據重復作為數(shù)據分類分級工作的范圍參照和數(shù)據輸入作為數(shù)據分類分級工作的范圍參照和數(shù)據輸入。存在于組織的不同部門刀數(shù)據作為業(yè)務的共生體存在于組織的不同部門刀數(shù)據作為業(yè)務的共生體當發(fā)生數(shù)據泄露不同系統(tǒng)篡改等安全事件時當發(fā)生數(shù)據泄露不同系統(tǒng)篡改等安全事件時25提高數(shù)據清晰的數(shù)據分布地圖有助于快速定位受影響的系統(tǒng)和數(shù)據提高數(shù)據清晰的數(shù)據分布地圖有助于快速定位受影響的系統(tǒng)和數(shù)據安全措施的針對性同安全措施的針對性同時也能夠快速為業(yè)提升事件的應急響應效率務指明標數(shù)據資源所在加快數(shù)據協(xié)同務指明標數(shù)據資源所在加快數(shù)據協(xié)同也是數(shù)據安全流動是發(fā)揮數(shù)據價值的重要環(huán)節(jié)也是數(shù)據安全流動是發(fā)揮數(shù)據價值的重要環(huán)節(jié)方面呈現(xiàn)了業(yè)務流過程有助于業(yè)風險的源頭之數(shù)據流轉視圖方面呈現(xiàn)了業(yè)務流過程有助于業(yè)風險的源頭之數(shù)據流轉視圖務流程優(yōu)化為數(shù)據流動過程的方面有助于呈現(xiàn)數(shù)據使用情況務流程優(yōu)化為數(shù)據流動過程的方面有助于呈現(xiàn)數(shù)據使用情況風險防范提供視角風險防范提供視角如何將法律條文監(jiān)合規(guī)工作是組織數(shù)據安全治理的底線要求如何將法律條文監(jiān)合規(guī)工作是組織數(shù)據安全治理的底線要求,,并定期開展檢查及整改工作是管要求內化為組織可落地的管理指標可以從合規(guī)庫管理合規(guī)檢查合規(guī)監(jiān)合規(guī)運營的主要內容可以從合規(guī)庫管理合規(guī)檢查合規(guī)監(jiān)合規(guī)運營的主要內容。,方面開展工作方面開展工作是合規(guī)實踐明確的合規(guī)要求以及清晰的合規(guī)理解是合規(guī)實踐明確的合規(guī)要求以及清晰的合規(guī)理解王王因此各機構需要依據國家法律法規(guī)行業(yè)監(jiān)管要求工作的重要前提因此各機構需要依據國家法律法規(guī)行業(yè)監(jiān)管要求工作的重要前提并動態(tài)更新管理并動態(tài)更新管理等建立合規(guī)知識庫為數(shù)據安規(guī)部門等需要將以上要求分解為業(yè)務可用為數(shù)據安規(guī)部門等需要將以上要求分解為業(yè)務可用的數(shù)據安全指標,全運營活動提供輸入與參照全運營活動提供輸入與參照合規(guī)檢查主要基于合規(guī)庫,面向組織數(shù)據處理活動的合規(guī)檢查主要基于合規(guī)庫,面向組織數(shù)據處理活動的包括對數(shù)據脫敏訪問控制數(shù)據收集安全合規(guī)情況進行定期檢查包括對數(shù)據脫敏訪問控制數(shù)據收集安全合規(guī)情況進行定期檢查,等活動的合規(guī)性檢查判斷數(shù)據安全合規(guī)現(xiàn)狀與檢查指標的符合程度等活動的合規(guī)性檢查判斷數(shù)據安全合規(guī)現(xiàn)狀與檢查指標的符合程度主要實現(xiàn)對合處置。環(huán)合規(guī)整改是合規(guī)運營的重要主要實現(xiàn)對合處置。環(huán)合規(guī)整改是合規(guī)運營的重要規(guī)檢查結果的公布與處理也可兼顧給上級監(jiān)管機構的合規(guī)數(shù)據報送規(guī)檢查結果的公布與處理也可兼顧給上級監(jiān)管機構的合規(guī)數(shù)據報送26等工作。才能促進業(yè)務更健康的持續(xù)發(fā)展。通過分析產業(yè)界數(shù)據安全運營相關工作,安全策略運營、安全能力管理、協(xié)同管理關聯(lián)分析都是安全運營的重要工作。安全策略運營。風險的防范離不開相應策略的制定與實施,因此構建一套安全策略的運營機制是實現(xiàn)風險治理的前提。針對不同的數(shù)據安全風險,需要具備成熟的安全管理策略,同時能從數(shù)據安全事件中吸取經驗教訓,反哺安全策略的升級。不同產品之間的壁壘也為安全作用的發(fā)揮帶來了阻礙。因此針對多個數(shù)據安全產品的接入與集成管理成為運營工作的關鍵。集成的安全能力管理有助于實現(xiàn)不同安全策略的編排、下發(fā),實現(xiàn)聯(lián)動防御。協(xié)同關聯(lián)分析。安全運營通過采集各安全設備和第三方廠商安全事件信息進行關聯(lián)分析,建立資產畫像、身份畫像等威脅模塊,提升風險感知效率,加快風險處置進程。2.從管控流程的角度(1)事前風險防范數(shù)據安全治理的目標之一是降低數(shù)據安全風險,因此建立有效的風險防范手段,對于預防數(shù)據安全事件發(fā)生有重要作用,可以從數(shù)據安全策略制定、數(shù)據安全基線掃描、數(shù)據安全風險評估三方面入手。27數(shù)據安全策略制定。一方面,根據數(shù)據全生命周期各項管理要求,制定通用安全策略,另一方面,結合各業(yè)務場景安全需要,制定針對性的安全策略。通過將通用策略和針對性策略結合部署,實現(xiàn)對數(shù)據流轉過程的安全防護。數(shù)據安全基線掃描?；诿媾R的風險形勢,定期梳理、更新相關安全規(guī)范及安全策略,并轉化為安全基線,同時直接落實到監(jiān)控審計平臺進行定期掃描。安全基線是組織數(shù)據安全防護的最低要求,各業(yè)務的開展必須滿足。數(shù)據安全風險評估。通過將日常化定期開展的數(shù)據安全風險評估結果與安全基線進行對標,發(fā)現(xiàn)不滿足基線要求的評估項,再通過改進業(yè)務方案或強化安全技術手段的方式實現(xiàn)風險防范。(2)事中監(jiān)控處置數(shù)據安全保護以知曉數(shù)據在組織內的安全狀態(tài)為前提,需要組織在數(shù)據全生命周期各階段開展安全監(jiān)控和審計,以實現(xiàn)對數(shù)據安全風險的防控。可以通過態(tài)勢監(jiān)控、應急處置、安全審計等方式對相關風險點進行防控,從而降低數(shù)據安全風險。態(tài)勢監(jiān)控。根據數(shù)據全生命周期的各項安全管理要求,建立組織內部統(tǒng)一的數(shù)據安全監(jiān)控審計平臺,對風險點的安全態(tài)勢進行實時監(jiān)測。一旦出現(xiàn)安全威脅,能夠實現(xiàn)及時告警及初步阻斷。應急處置。根據數(shù)據安全事件應急預案對正在發(fā)生的各類數(shù)據安數(shù)據安全威脅。28數(shù)據授權使用數(shù)據脫敏權限分配針對賬號使用數(shù)據授權使用數(shù)據脫敏權限分配結合監(jiān)控審計平臺開展審計工作常安全策略與安全管理要求結合監(jiān)控審計平臺開展審計工作從而發(fā)現(xiàn)問題并及時處置正事正導致發(fā)生數(shù)據安全事件之后旦風險防范及監(jiān)控預警措施失效導致發(fā)生數(shù)據安全事件之后并在內部進行宣貫宣導組織應開展數(shù)據安全事件復盤整改并在內部進行宣貫宣導全事件的再次發(fā)生正應盡快在業(yè)務側組織應急處置完成后盤事正應盡快在業(yè)務側組織應急處置完成后盤做好應急總結復盤分析沉淀應急手段明確事件發(fā)生的根本原因做好應急總結復盤分析沉淀應急手段跟進落實整改并完善相應應急預案跟進落實整改根據數(shù)據安全事件的類別和級別根據數(shù)據安全事件的類別和級別在相關業(yè)務部門或全線業(yè)務部門定期開展應急預案的宣貫宣導定期開展數(shù)據安全應急演練確保應發(fā)生類似數(shù)據安全事件的風險定期開展數(shù)據安全應急演練確保應急處置措施的效率和效果力方評估相結數(shù)據安全評估優(yōu)化階段主要是通過內部評估與第方評估相結合的方式對組織的數(shù)據安全治理能力進行評估分析合的方式實現(xiàn)數(shù)據安全治理的持續(xù)優(yōu)化及閉環(huán)工作機制的建立內部評估應由管理層牽組織應形成周期性的內部評估工作機制內部評估應由管理層牽執(zhí)行層和監(jiān)督層配合執(zhí)行并應將評確保評估工作的有效執(zhí)行執(zhí)行層和監(jiān)督層配合執(zhí)行并應將評29避免評估流于形式常見的內部評估估結果與組織的績效考核掛鉤避免評估流于形式常見的內部評估估結果與組織的績效考核掛鉤對抗模擬等應急演練手段包括評估自查對抗模擬等應急演練手段包括評估自查通過設計評估問卷調研表定期執(zhí)行檢查工具等形式通過設計評估問卷調研表定期執(zhí)行檢查工具等形式在組織內部開展專項評估,在組織內部開展專項評估,主要評估內容至少應包括數(shù)據全生命周期應急處置措施的安全控制策略、風險需求分析監(jiān)控審計執(zhí)行應急處置措施的安全控制策略、風險需求分析監(jiān)控審計執(zhí)行全合規(guī)要求等內容全合規(guī)要求等內容外部黑客攻擊等場景,驗證組外部黑客攻擊等場景,驗證組通過構建內部人員泄露并通過在應急演練織數(shù)據安全治理措施的有效性和及時止損的能力并通過在應急演練織數(shù)據安全治理措施的有效性和及時止損的能力,不斷改進應急預案及數(shù)據安全防護能力應急演練后開展復盤總結不斷改進應急預案及數(shù)據安全防護能力應急演練后開展復盤總結桌面推演等方式,旨在驗證數(shù)據安全事件應急的流程機桌面推演等方式,旨在驗證數(shù)據安全事件應急的流程機 、可采用實戰(zhàn)步完善安全處置是否及時等技術工具是否實用進制是否順暢步完善安全處置是否及時等技術工具是否實用進制是否順暢、補足能力短板應急預案補足能力短板應急預案通過搭建仿真環(huán)境開展紅藍對抗或模擬黑產對抗通過搭建仿真環(huán)境開展紅藍對抗或模擬黑產對抗幾幾助組織面對內外部數(shù)據安全風險時實現(xiàn)以攻促防,助組織面對內外部數(shù)據安全風險時實現(xiàn)以攻促防,,沉著應對并在這個過程中不斷挖掘組織數(shù)據安全可能存在的攻擊面和滲透點,尤其是尤其是面對組織內部數(shù)據泄露風險,面對組織內部數(shù)據泄露風險,可以有針對性的完善數(shù)據安全治理工作機制和技術能力機制和技術能力。方評估以法律方評估以法律方評估組織還應引入第能客觀真實地反法規(guī)公正標準文件等為執(zhí)行準則能客觀真實地反法規(guī)公正標準文件等為執(zhí)行準則實現(xiàn)對標差距分析如中國信息通信研究映組織數(shù)據安全治理水平實現(xiàn)對標差距分析如中國信息通信研究映組織數(shù)據安全治理水平結合業(yè)務場2年推出的國結合業(yè)務場2年推出的國內首個數(shù)據安全治理能力評估服務30四、數(shù)據安全治理專項開展思路(一)數(shù)據分類分級專項數(shù)據分類分級是數(shù)據安全管理和治理實踐過程中的關鍵環(huán)節(jié),也是實現(xiàn)數(shù)據安全與合規(guī)使用的重要基礎,更是數(shù)據安全工作的核心任務和必經之路。通過科學合理的數(shù)據分類分級,企業(yè)不僅可以提升數(shù)的共享與開放。這不僅幫助企業(yè)在安全與效率之間取得平衡,還能在提升數(shù)據價值的同時有效應對復雜的數(shù)據安全挑戰(zhàn)。本指南結合行業(yè)實踐,提出如圖7所示的實踐思路,供組織參考。來源:數(shù)據安全推進計劃圖7數(shù)據分類分級實踐思路1.建立組織和制度數(shù)據分類分級工作是一項復雜且長期的系統(tǒng)性工作,需要業(yè)務部32和資源協(xié)調,確保工作的有序推進。在實際工作中,有三種常見的分工模式:協(xié)同分工模式中,數(shù)據安全管理部門牽頭并制定標準,業(yè)務及職能部門執(zhí)行;技術主導模式則由數(shù)據安全管理部門主導,業(yè)務及職能部門配合;集中管理模式下,數(shù)據安全管理部門負責全面管理,業(yè)務及職能部門識別并同步數(shù)據,落實安全措施。各組織可以根據實際情況,如現(xiàn)有的組織架構、數(shù)據使用特點、責任主體劃分、技術平臺搭建程度等,靈活選擇最適合的數(shù)據安全保護管理模式,確保數(shù)據分類分級工作的高效開展。2.進行數(shù)據資源梳理在進行數(shù)據分類分級之前,首先需要對組織內部的所有數(shù)據資源流轉形式、訪問控制方式、數(shù)據所有權和控制權以及數(shù)據價值等信息,并形成完整的數(shù)據資源清單。3.明確分類分級方法數(shù)據分類分級方法是開展數(shù)據分類分級工作的基礎和指南。組織需要根據國家及行業(yè)的相關規(guī)范,結合自身的業(yè)務特性與管理需求,明確數(shù)據分類分級的原則、方法和具體規(guī)范。在分類方法上,組織可根據數(shù)據資源清單總結出數(shù)據大類,并細分子類,或在參考行業(yè)標準的基礎上,進行適用性調整。無論采取何種方法,都應保證數(shù)據分類結果的完整性、邏輯性和可操作性,做到分類無矛盾、無遺漏、無重33律法規(guī)文件及國家行業(yè)標準,根據數(shù)據的影響對象和影響程度,將數(shù)據劃分為核心數(shù)據、重要數(shù)據和一般數(shù)據,并依據組織管理需要進一步細分數(shù)據安全等級。4.完成數(shù)據分類數(shù)據分類應以業(yè)務需求和數(shù)據管理目標為導向,從行業(yè)領域、業(yè)務屬性等維度,將具有相同屬性或特征的數(shù)據歸類。依據既定的數(shù)據分類方法,組織需構建多層級的數(shù)據分類框架,并對數(shù)據資源清單中的各項數(shù)據進行逐一分類。不同行業(yè)領域因業(yè)務的差異性,數(shù)據分類也存在較大不同。對于已形成分類模版的行業(yè),如電信、金融、證券期貨、工業(yè)等,可以參照行業(yè)分類模版,并結合企業(yè)業(yè)務方向,開展數(shù)據分類工作。對于暫未形成分類模板的行業(yè),組織可采取"業(yè)務條線關鍵業(yè)務業(yè)務屬性分類"的方式給出數(shù)據分類規(guī)則',進行歸類分析。數(shù)據分級工作的重點在于基于數(shù)據安全保護需求,明確分級對象,綜合確定數(shù)據級別。數(shù)據級別應至少識別核心數(shù)據、重要數(shù)據和一般數(shù)據,并可進一步細分。目前對于數(shù)據分級,不同行業(yè)領域制定了不同的行業(yè)標準,各組織需根據實際情況,在滿足合規(guī)要求的基礎上,參考行業(yè)標準完成定級工作。6.形成分類分級目錄1GB/T43697-2024《數(shù)據安全技術數(shù)據分類分級規(guī)則》34完成數(shù)據分類分級工作后,組織需形成全面的數(shù)據分類分級清單,級工作、實現(xiàn)數(shù)據安全保護提供依據。來源:JR/TO197-2020《金融數(shù)據安全數(shù)據安全分級指南》圖8金融業(yè)機構典型數(shù)據定級規(guī)則示例的數(shù)據安全保護要求,制定數(shù)據分類分級保護策略,合理分配數(shù)據保護資源,明確數(shù)據安全保護措施,對數(shù)據實施全生命周期的保護,確保數(shù)據管理規(guī)范、安全合規(guī),促進數(shù)據開發(fā)利用。因數(shù)據的持續(xù)產生和動態(tài)變化等特性,在數(shù)據分類分級建設完整后,還需要持續(xù)開展分類分級運營工作,包括持續(xù)開展增量數(shù)據的分類分級工作和對數(shù)據分類分級的動態(tài)更新管理。35隨著業(yè)務發(fā)展和組織管理變化,一些數(shù)據的重要性及可能的風險影響也會隨之變化,從而導致這些數(shù)據的安全定級不再適用。因此,組織需建立動態(tài)更新機制,定期審查和修訂數(shù)據分類分級規(guī)則、重要數(shù)據和核心數(shù)據目錄、數(shù)據分類分級清單,或在發(fā)生數(shù)據重大變化時作出相應調整,確保分類分級工作與業(yè)務現(xiàn)狀和管理需求匹配。(二)數(shù)據安全風險評估及治理專項數(shù)據安全風險形勢持續(xù)嚴峻,傳統(tǒng)業(yè)務的數(shù)字化轉型推進以及數(shù)據價值化加速推進,數(shù)據安全風險的識別、評估與綜合治理已成為廣大數(shù)據處理者面臨的最緊迫、也同樣是最根本的問題?，F(xiàn)已形成一套完整、清晰的實施流程。組織內部在評估準備階段首先需要明確數(shù)據安全風險評估的目標,與相關方建立基本共識。基于自身需求和已制定的評估目標,組織能夠進一步確定數(shù)據安全風險評估的對象、范圍和邊界,評估范圍可以覆蓋組織全部的數(shù)據和數(shù)據處理活動,也可以僅針對某個單獨的業(yè)務、信息系統(tǒng)涉及的數(shù)據和數(shù)據處理活動。針對已選定的評估對象險評估工作,確定風險評估依據。36組織在實施數(shù)據安全風險評估的過程中,主要圍繞數(shù)據處理者、重點識別組織在數(shù)據安全管理、數(shù)據安全技術、個人信息保護、數(shù)據處理活動安全等方面是否存在潛在的風險問題,結合風險的影響程度與發(fā)生的可能性,定性或定量判斷具體風險的等級,結合組織資源分在完成數(shù)據安全風險問題的識別、評估分析后,組織需要總結在評估實施過程中獲取的信息以及發(fā)現(xiàn)的風險問題,提出風險處置建議,形成數(shù)據安全風險評估報告。至此,數(shù)據安全風險評估工作已基本完成,但組織的相關方還需要制定整改計劃,限期完成整改,無法及時完成整改的,應采取臨時安全措施,防止數(shù)據安全事件發(fā)生。風險整改結束后,組織可以開展數(shù)據安全風險復評工作,重點分析風險處置后的殘余風險或者衍生風險。2.數(shù)據安全風險治理數(shù)據在流動中體現(xiàn)并創(chuàng)造價值,而流動必然伴隨風險。業(yè)內相關研究多次提到數(shù)據安全風險的治理應與組織風險戰(zhàn)略保持一致,不應是點對點的撲救與應對。這意味著組織不僅要在風險評估,更要在風險治理上緊密結合業(yè)務及數(shù)據處理活動,以實現(xiàn)風險可控的安全防護總體目標。然而,大量組織將注意力集中在對風險的評估與分析,整體上缺乏全局視角與調優(yōu)參考,對風險評估的結果應用也不甚充分,37未能形成一條可聯(lián)動、可協(xié)同的治理鏈條。針對這一問題,2022年,中國信通院云大所數(shù)據安全團隊牽頭開展《數(shù)據安全風險治理成熟度評價模型》預研,提出了數(shù)據安全風險治理的基本框架,并于2023年完成行業(yè)標準立項,形成《電信互聯(lián)網數(shù)據風險治理成熟度評估模型》草案。數(shù)據安全風險治理以風險為核心,強調了面向風險的控制與治理,關注對風險的識別、評估、處置以及監(jiān)控改進的全生命周期管理,從"以建設防范風險"走向"主動認知風險"。數(shù)據安全風險治理體系在面對協(xié)同管控及復雜數(shù)據生態(tài)上具有解決、風險治理改進五個能力領域明確了治理工作要求與對應的能力考慮了組織內部的多方多維協(xié)同、技術與管理措施配合,在推動組織的數(shù)據安全風險評估與后續(xù)風險處置、監(jiān)控、改進的有效串聯(lián)上具有重大的價值。我國數(shù)據要素市場正處于蓬勃發(fā)展階段,在政策、業(yè)務、技術等多方因素的驅動下,數(shù)據合作需求激增,數(shù)據合作場景愈發(fā)多樣化。然而數(shù)據合作方的安全保護能力參差不齊,數(shù)據合作過程中,數(shù)據泄家戰(zhàn)略要求統(tǒng)籌好安全和發(fā)展,保障數(shù)據合作安全已成為重要議題。38落實數(shù)據合作方安全管理要求的首要任務是識別數(shù)據合作方,需要明確數(shù)據合作的形式、觸發(fā)條件、對象。數(shù)據合作形式多可以概括為業(yè)務合作、技術支撐、數(shù)據服務和監(jiān)管要求四大類。參照上位法和行業(yè)標準,可以明確將"參與組織的數(shù)據處理活動過程"作為數(shù)據合作的觸發(fā)條件。數(shù)據合作的對象包括外包服務機構和外部合作機構。綜上,數(shù)據合作方定義為因業(yè)務合作、技術支撐、數(shù)據監(jiān)管要求等參與本組織數(shù)據處理活動的外包服務機構與外部合作機數(shù)據合作安全事件頻發(fā),落實數(shù)據安全保護和個人信息保護義務,組織需要建立數(shù)據合作安全保護機制,開展數(shù)據合作方的數(shù)據安全保障能力動態(tài)評估,對數(shù)據合作方的安全保護能力進行核驗,采取必要的安全保護措施。本指南結合前期大量調研和數(shù)據安全評估實踐,依據BDC163-2023《數(shù)據合作方安全評估要求》,提出數(shù)據合作方安全評估框架,從背景資質、數(shù)據安全管理、數(shù)據處理活動安全、安全監(jiān)測響應四方面評價合作方的數(shù)據安全保護能力,如圖9所示。39數(shù)據合作業(yè)務場景復雜,可以按照數(shù)據合作