數據安全治理的參考框架

中國信息通信研究院

2021年6月《中華人民共和國數據安全法》（以下簡稱“《數據安全法》”）正式頒布，標志著我國數據安全進入有法可依、依法建設的新發(fā)展階段?！稊祿踩ā访鞔_提出在堅持總體國家安全觀基礎上，建立健全數據安全治理體系，提高數據安全保障能力。

由于數據本身具有流動性、多樣性、可復制性等不同于傳統(tǒng)生產要素的特性，數據安全風險在數字經濟時代被不斷放大，因此，對數據安全治理的要求也越來越高。如何協(xié)調政府、行業(yè)、企業(yè)、個人等多元主體，形成協(xié)同共治機制？如何平衡數據開發(fā)利用和數據安全保護，實現(xiàn)發(fā)展與安全的齊頭并進？這些都是當前數據安全治理面臨的重要問題。

數據安全治理概念內涵

隨著數據作為生產要素的重要性凸顯，數據安全的地位不斷提升，尤其隨著《數據安全法》的正式頒布，數據安全在國家安全體系中的重要地位得到了進一步明確。發(fā)展數字經濟、加快培育發(fā)展數據要素市場，必須把保障數據安全放在突出位置。這就要求我們著力解決數據安全領域的突出問題，有效提升數據安全治理能力。

為指導行業(yè)數據安全治理能力建設，促進行業(yè)數據安全治理能力發(fā)展，中國互聯(lián)網協(xié)會發(fā)布團體標準T/ISC-0011-2021《數據安全治理能力評估方法》，為不斷提升數據安全治理能力提供標準依據。以上述標準為基礎，梳理數據安全治理概念內涵，應該從廣義和狹義兩個角度進行理解。

廣義地說，數據安全治理是在國家數據安全戰(zhàn)略的指導下，為形成全社會共同維護數據安全和促進發(fā)展的良好環(huán)境，國家有關部門、行業(yè)組織、科研機構、企業(yè)、個人共同參與和實施的一系列活動集合。包括完善相關政策法規(guī)，推動政策法規(guī)落地，建設與實施標準體系，研發(fā)并應用關鍵技術，培養(yǎng)專業(yè)人才等。

狹義地說，數據安全治理是指在組織數據安全戰(zhàn)略的指導下，為確保數據處于有效保護和合法利用的狀態(tài)，多個部門協(xié)作實施的一系列活動集合。包括建立組織數據安全治理團隊，制定數據安全相關制度規(guī)范，構建數據安全技術體系，建設數據安全人才梯隊等。它以保障數據安全、促進開發(fā)利用為原則，圍繞數據全生命周期構建相應安全體系，需要組織內部多利益相關方統(tǒng)一共識，協(xié)同工作，平衡數據安全與發(fā)展。

無論是廣義還是狹義的數據安全治理，都可以從三個方面進行闡釋。首先，以數據為中心。數據的高效開發(fā)和利用，涵蓋了數據的采集、傳輸、存儲、使用、共享、銷毀等全生命周期的各個環(huán)節(jié)，由于不同環(huán)節(jié)的特性不同，面臨的數據安全威脅與風險也大相徑庭。因此，必須構建以數據為中心的數據安全治理體系，根據具體的業(yè)務場景和各生命周期環(huán)節(jié)，有針對性地識別并解決其中存在的數據安全問題，防范數據安全風險。

其次，多元化主體共同參與。無論是從廣義還是狹義的角度出發(fā)，數據安全治理不是僅僅依靠一方力量可以開展的工作。對國家和社會而言，面對數據安全領域的諸多挑戰(zhàn)，政府、企業(yè)、行業(yè)組織甚至個人都需要發(fā)揮各自優(yōu)勢，緊密配合，承擔數據安全治理主體責任，共同營造適應數字經濟時代要求的協(xié)同治理模式。這也與《數據安全法》中強調建立各方共同參與的工作機制相一致。對組織機構而言，數據安全治理需要從組織戰(zhàn)略層面出發(fā)，協(xié)調管理層、執(zhí)行層等各相關方，打通不同部門之間的溝通障礙，統(tǒng)一內部數據安全共識，實現(xiàn)數據安全防護建設一盤棋。因此，數據安全治理必然是涉及多元化主體共同參與的工作。

最后，兼顧發(fā)展與安全。隨著國內數字化建設的快速推進，無論是政府部門，還是其他組織均沉淀了大量的數據。數字經濟時代的應用場景下，數據只有在流動中才能充分發(fā)揮其價值，而數據流動又必須以保障數據安全為前提，因此，必須要辯證的看待數據安全治理。正如《數據安全法》提出的“堅持以數據開發(fā)利用和產業(yè)發(fā)展促進數據安全，同時也要以數據安全保障數據開發(fā)利用和產業(yè)發(fā)展?！睌祿踩卫聿皇菑娬{數據的絕對安全，而是需要兼顧發(fā)展與安全的平衡。

數據安全治理參考框架?

參考框架是組織數據安全治理所需的體系化結構，依據團體標準T/ISC-0011-2021《數據安全治理能力評估方法》，其包括數據安全戰(zhàn)略、數據全生命周期安全、基礎安全三部分。

數據安全戰(zhàn)略。在組織啟動數據安全治理工作前，必須制定相應的戰(zhàn)略規(guī)劃，明確治理目標和具體任務，匹配對應的資源，使得治理工作能夠有條不紊地展開。數據安全戰(zhàn)略可以從數據安全規(guī)劃、機構人員管理兩方面入手，前者確立目標任務，后者組建治理團隊。數據安全規(guī)劃是指結合組織業(yè)務發(fā)展需要，對當前面臨的數據安全風險現(xiàn)狀進行梳理，并制定組織整體的發(fā)展規(guī)劃。機構人員管理是指建立負責組織數據安全治理的團隊及人員，并通過在人員入職、轉崗、離職等環(huán)節(jié)設置安全控制措施，防范由人員本身帶來的數據安全風險。

數據全生命周期安全。數據安全治理應圍繞數據全生命周期展開，以采集、傳輸、存儲、使用、共享、銷毀各個環(huán)節(jié)為切入點，設置相應的管控點和管理流程，以便于在不同的業(yè)務場景中進行組合復用。數據全生命周期安全包括數據采集安全、數據傳輸安全等九項內容。數據采集安全是指為確保在組織系統(tǒng)中生成新數據，或者從外部收集數據過程的合法、合規(guī)及安全性，而采取的一系列措施。數據傳輸安全是指為防止傳輸過程中的數據泄漏，而采取的一系列數據加密保護策略和安全防護措施。存儲安全是指為確保存儲介質上的數據安全性，而采取的一系列措施。數據備份與恢復是指通過規(guī)范數據存儲的冗余管理工作機制，保障數據的高可用性。使用安全是指為保障在組織內部對數據進行計算、分析、可視化等操作過程的安全性，而采取的一些列措施。數據處理環(huán)境安全是指為確保組織的數據處理系統(tǒng)、終端、平臺等環(huán)境的安全性，而采取的一系列措施。數據內部共享安全是指為確保組織內部之間的數據交互過程安全，而采取的一系列措施。數據外部共享安全是指為確保不同組織之間的數據交互過程安全，而采取的一系列措施。數據銷毀安全是指通過對數據及其存儲介質實施相應的操作手段，使得數據徹底消除且無法通過任何手段恢復。

基礎安全?；A安全能力作為數據全生命周期安全能力建設的基本支撐，可以在多個生命周期環(huán)節(jié)內復用，是整個數據安全治理體系建設的通用要求，能夠實現(xiàn)建設資源的有效整合?；A安全能力包括數據分類分級在內的七項內容。數據分類分級是指根據法律法規(guī)以及業(yè)務需求，明確組織內部的數據分類分級原則及方法，并對數據進行分類分級標識，以實現(xiàn)差異化的數據安全管理。合規(guī)管理是指根據組織內部的業(yè)務需求和業(yè)務開展場景，明確相關法律法規(guī)要求，通過制定管理措施降低組織面臨的合規(guī)風險。合作方管理是指通過建立組織的合作方管理機制，防范組織對外合作中的數據安全風險。監(jiān)控審計是指通過建立監(jiān)控及審計的工作機制，有效防范不正當的數據訪問和操作行為，降低數據全生命周期未授權訪問、數據濫用、數據泄漏等安全風險。鑒別與訪問，顧名思義，即用戶身份鑒別與訪問控制管理，是組織實現(xiàn)數據安全保障的關鍵環(huán)節(jié)。

數據安全治理未來展望

數據應用場景和參與主體的日益多樣化，使得數據安全的外延不斷擴展。未來數據安全治理將走向何方？

國家層面，《數據安全法》作為數據安全領域的上位法，將數據安全上升到了國家安全層面。作為綱領性法律，《數據安全法》明確了數據、數據權力、數據安全的范疇，厘清了數據安全防護主體責任，規(guī)范了國家行政主管部門、企業(yè)、個人的職責與權力。后續(xù)各部門、各行業(yè)、各領域將推進《數據安全法》配套制度、措施、規(guī)范和標準的構建，推動《數據安全法》的全面落地。行業(yè)層面，通過持續(xù)跟進技術及行業(yè)應用研究，加速構建更加完善的數據安全治理標準體系;并依據相關標準，面向企業(yè)推出權威、專業(yè)的第三方咨詢及評估評測服務，大力推廣數據安全治理最佳實踐，提升行業(yè)數據安全治理水平。同時，推動建立健全數據安全人才培養(yǎng)機制，儲備人才資源。企業(yè)層面，積極探索數據溯源、隱私計算等技術的發(fā)展動態(tài)，夯實數據安全治理能力底座，推動數據安全治理落地實踐。同時，積極參與標準編寫，貢獻優(yōu)秀實踐，并結合第三方咨詢與評估評測工作，完善企業(yè)內部數據安全治理體系建設。

考慮到數據安全治理在以上三個層面的發(fā)展，未來一段時間內，數據安全治理將圍繞以下兩個核心展開。一是促進數據安全治理實踐的“行業(yè)化”和“場景化”。二是探索數據安全治理從“離散”到“體系”的演進路線。

編輯：張程? 3567672799@qq.com