(CWW)2023年1月5日,在第二届数据安全治理峰会上,《数据安全治理实践指南(2.0)》正式发布,由中国信息通信研究院云计算与大数据研究所副所长魏凯进行解读。
(资料图)
《数据安全治理实践指南》是数据安全推进计划在数据安全治理领域的系列研究报告,旨在梳理数据安全治理的概念内涵,探讨企业数据安全建设路线,并于2021年7月发布《数据安全治理实践指南(1.0)》版本。
经过一年多的发展,企业数据安全治理取得了有效进展,同时也面临新的挑战。比如当前大部分企业的数据安全管理制度聚焦在原则、管理规定等较粗颗粒度的层面,对数据业务的下沉指导不充分,导致具体业务场景下的技术落地仍然缺乏实践指引,容易与管理要求脱节等。
《指南(2.0)》依据大量行业调研和企业实践,在《指南(1.0)》的基础上优化了数据安全治理总体视图,并针对数据分类分级难落地、管理与技术易脱钩等焦点问题的建设方案进行了初步探索,进一步细化了数据安全治理实践路线。
以下为现场PPT分享实录
我国高度重视数据安全,2021年以来,国家、行业、地方相继颁布了大量数据安全政策文件。作为数字经济健康发展的重要基石,数据安全的重要性愈发突出,数据安全治理需求愈加明显。在这个大背景下,我们持续研究数据安全治理实践方法论,帮助各行业提升数据安全治理能力。
相比1.0版本,《指南(2.0)》在三方面进行了优化升级。一是提出3344数据安全治理总体视图,即3项治理目标、3层治理体系、4项治理维度、4步实践路线。二是提出全新数据安全治理理念,优化规划-建设-运营-优化的数据安全治理实践路线;三是提出数据分类分级7步建设路线。更加切合企业数据安全治理建设实际需要,同时也分析了企业数据安全治理最为关注的热点问题。
《指南2.0》延续了对数据安全治理概念的理解,从组织内部来看,数据安全治理是指在组织数据安全战略的指导下,为确保组织数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力,内外部相关方协作实施的一系列活动集合。由此,梳理出数据安全治理的三个要点:一是“以数据为中心”,二是“多元化主体共同参与”,三是“兼顾发展与安全”。
《指南2.0》依据《数据安全治理能力评估方法》和大量的数据安全治理能力评估实践工作,提炼出3344数据安全治理总体视图:即3项治理目标、3层治理体系、4项治理维度、4步实践路线,用以描绘数据安全治理的建设蓝图和实践路线。
数据安全治理目标是组织数据安全治理工作开展的前进方向。数据安全治理工作有三大目标:满足合规要求是底线,管理数据安全风险是需要解决的重要问题,促进数据开发利用则是确保数据安全与业务发展的双向促进。
数据安全治理体系是组织达成数据安全治理目标需要具备的能力框架,组织应围绕该体系进行建设。本指南中的数据安全治理体系是一个三层架构,分别包括数据安全战略层、数据全生命周期安全层和基础安全层。
数据安全治理维度包括组织架构、制度体系、技术工具和人员能力四个方面,,以解决“谁来干”、“怎么干”、“干的如何”、“有没有能力干”等关键问题。
在数据安全治理实践路线上,本指南从大量企业数据安全治理实践经验中提炼出“全局体系规划,场景有序落地,运营持续加强,评估助力优化”的数据安全治理实践理念,并进一步丰富形成“规划—建设—运营—优化”的闭环路线。
数据安全治理实践的第一步是全局体系规划,在该阶段主要确定组织数据安全治理工作的总体定位和愿景,根据组织整体发展战略内容,结合实际情况进行现状分析,制定数据安全规划,并对规划进行充分论证。
第二步是场景落地建设。为了快速响应不同业务场景下不同的数据安全策略要求,本指南提出场景化的建设思路。一般来说,可以从数据全生命周期和业务运行环境两个角度对场景进行划分。企业通过逐个场景的数据安全建设,最终推动数据安全治理体系在组织内的全面落地。
数据分类分级作为最为关键的场景,是数据安全工作的桥头堡和必选题。针对这一特定场景,本指南结合行业实践,进一步细化了分类分级建设过程,提出了分类分级7步走的建设思路。
完成数据安全治理体系建设之后,还需要进行数据安全治理的持续运营,打通各环节的建设内容,促进整个体系的良性发展。运营工作覆盖事前-事中-事后,包括风险防范、监控预警和应急处理三方面。
如何评价数据安全治理成效,并实现治理体系的优化改进是组织在数据安全治理能力建设过程中面临的重要问题。一般来说,可以从内部评估和第三方评估两个维度入手。第三方评估方面,中国信通院推出了国内首个数据安全治理能力评估服务,经过两年的积累,已经完成4批43家企业的数据评估,帮助企业实现了数据安全治理体系的优化。
展望数据安全治理的发展,我们认为有以下几大趋势:一是政策引领与战略自驱齐头并进,推进数据安全治理不断深入;二是数据驱动的业务发展,激励数据安全治理组织从“有型”到“有效”;三是数据安全风险治理能力的建设与提升,将成为数据安全治理的重要组成;四是第三方数据安全评估认证作为提升数据安全治理能力的主要抓手,将被更多行业组织引入。
《指南2.0》在编写过程中,得到了各行业组织的广泛支持和帮助,再次感谢!