(CWW)2023年1月5日,在第二屆數(shù)據(jù)安全治理峰會上,《數(shù)據(jù)安全治理實踐指南(2.0)》正式發(fā)布,由中國信息通信研究院云計算與大數(shù)據(jù)研究所副所長魏凱進行解讀。
《數(shù)據(jù)安全治理實踐指南》是數(shù)據(jù)安全推進計劃在數(shù)據(jù)安全治理領(lǐng)域的系列研究報告,旨在梳理數(shù)據(jù)安全治理的概念內(nèi)涵,探討企業(yè)數(shù)據(jù)安全建設(shè)路線,并于2021年7月發(fā)布《數(shù)據(jù)安全治理實踐指南(1.0)》版本。
經(jīng)過一年多的發(fā)展,企業(yè)數(shù)據(jù)安全治理取得了有效進展,同時也面臨新的挑戰(zhàn)。比如當(dāng)前大部分企業(yè)的數(shù)據(jù)安全管理制度聚焦在原則、管理規(guī)定等較粗顆粒度的層面,對數(shù)據(jù)業(yè)務(wù)的下沉指導(dǎo)不充分,導(dǎo)致具體業(yè)務(wù)場景下的技術(shù)落地仍然缺乏實踐指引,容易與管理要求脫節(jié)等。
(相關(guān)資料圖)
《指南(2.0)》依據(jù)大量行業(yè)調(diào)研和企業(yè)實踐,在《指南(1.0)》的基礎(chǔ)上優(yōu)化了數(shù)據(jù)安全治理總體視圖,并針對數(shù)據(jù)分類分級難落地、管理與技術(shù)易脫鉤等焦點問題的建設(shè)方案進行了初步探索,進一步細化了數(shù)據(jù)安全治理實踐路線。
以下為現(xiàn)場PPT分享實錄
我國高度重視數(shù)據(jù)安全,2021年以來,國家、行業(yè)、地方相繼頒布了大量數(shù)據(jù)安全政策文件。作為數(shù)字經(jīng)濟健康發(fā)展的重要基石,數(shù)據(jù)安全的重要性愈發(fā)突出,數(shù)據(jù)安全治理需求愈加明顯。在這個大背景下,我們持續(xù)研究數(shù)據(jù)安全治理實踐方法論,幫助各行業(yè)提升數(shù)據(jù)安全治理能力。
相比1.0版本,《指南(2.0)》在三方面進行了優(yōu)化升級。一是提出3344數(shù)據(jù)安全治理總體視圖,即3項治理目標、3層治理體系、4項治理維度、4步實踐路線。二是提出全新數(shù)據(jù)安全治理理念,優(yōu)化規(guī)劃-建設(shè)-運營-優(yōu)化的數(shù)據(jù)安全治理實踐路線;三是提出數(shù)據(jù)分類分級7步建設(shè)路線。更加切合企業(yè)數(shù)據(jù)安全治理建設(shè)實際需要,同時也分析了企業(yè)數(shù)據(jù)安全治理最為關(guān)注的熱點問題。
《指南2.0》延續(xù)了對數(shù)據(jù)安全治理概念的理解,從組織內(nèi)部來看,數(shù)據(jù)安全治理是指在組織數(shù)據(jù)安全戰(zhàn)略的指導(dǎo)下,為確保組織數(shù)據(jù)處于有效保護和合法利用的狀態(tài),以及具備保障持續(xù)安全狀態(tài)的能力,內(nèi)外部相關(guān)方協(xié)作實施的一系列活動集合。由此,梳理出數(shù)據(jù)安全治理的三個要點:一是“以數(shù)據(jù)為中心”,二是“多元化主體共同參與”,三是“兼顧發(fā)展與安全”。
《指南2.0》依據(jù)《數(shù)據(jù)安全治理能力評估方法》和大量的數(shù)據(jù)安全治理能力評估實踐工作,提煉出3344數(shù)據(jù)安全治理總體視圖:即3項治理目標、3層治理體系、4項治理維度、4步實踐路線,用以描繪數(shù)據(jù)安全治理的建設(shè)藍圖和實踐路線。
數(shù)據(jù)安全治理目標是組織數(shù)據(jù)安全治理工作開展的前進方向。數(shù)據(jù)安全治理工作有三大目標:滿足合規(guī)要求是底線,管理數(shù)據(jù)安全風(fēng)險是需要解決的重要問題,促進數(shù)據(jù)開發(fā)利用則是確保數(shù)據(jù)安全與業(yè)務(wù)發(fā)展的雙向促進。
數(shù)據(jù)安全治理體系是組織達成數(shù)據(jù)安全治理目標需要具備的能力框架,組織應(yīng)圍繞該體系進行建設(shè)。本指南中的數(shù)據(jù)安全治理體系是一個三層架構(gòu),分別包括數(shù)據(jù)安全戰(zhàn)略層、數(shù)據(jù)全生命周期安全層和基礎(chǔ)安全層。
數(shù)據(jù)安全治理維度包括組織架構(gòu)、制度體系、技術(shù)工具和人員能力四個方面,,以解決“誰來干”、“怎么干”、“干的如何”、“有沒有能力干”等關(guān)鍵問題。
在數(shù)據(jù)安全治理實踐路線上,本指南從大量企業(yè)數(shù)據(jù)安全治理實踐經(jīng)驗中提煉出“全局體系規(guī)劃,場景有序落地,運營持續(xù)加強,評估助力優(yōu)化”的數(shù)據(jù)安全治理實踐理念,并進一步豐富形成“規(guī)劃—建設(shè)—運營—優(yōu)化”的閉環(huán)路線。
數(shù)據(jù)安全治理實踐的第一步是全局體系規(guī)劃,在該階段主要確定組織數(shù)據(jù)安全治理工作的總體定位和愿景,根據(jù)組織整體發(fā)展戰(zhàn)略內(nèi)容,結(jié)合實際情況進行現(xiàn)狀分析,制定數(shù)據(jù)安全規(guī)劃,并對規(guī)劃進行充分論證。
第二步是場景落地建設(shè)。為了快速響應(yīng)不同業(yè)務(wù)場景下不同的數(shù)據(jù)安全策略要求,本指南提出場景化的建設(shè)思路。一般來說,可以從數(shù)據(jù)全生命周期和業(yè)務(wù)運行環(huán)境兩個角度對場景進行劃分。企業(yè)通過逐個場景的數(shù)據(jù)安全建設(shè),最終推動數(shù)據(jù)安全治理體系在組織內(nèi)的全面落地。
數(shù)據(jù)分類分級作為最為關(guān)鍵的場景,是數(shù)據(jù)安全工作的橋頭堡和必選題。針對這一特定場景,本指南結(jié)合行業(yè)實踐,進一步細化了分類分級建設(shè)過程,提出了分類分級7步走的建設(shè)思路。
完成數(shù)據(jù)安全治理體系建設(shè)之后,還需要進行數(shù)據(jù)安全治理的持續(xù)運營,打通各環(huán)節(jié)的建設(shè)內(nèi)容,促進整個體系的良性發(fā)展。運營工作覆蓋事前-事中-事后,包括風(fēng)險防范、監(jiān)控預(yù)警和應(yīng)急處理三方面。
如何評價數(shù)據(jù)安全治理成效,并實現(xiàn)治理體系的優(yōu)化改進是組織在數(shù)據(jù)安全治理能力建設(shè)過程中面臨的重要問題。一般來說,可以從內(nèi)部評估和第三方評估兩個維度入手。第三方評估方面,中國信通院推出了國內(nèi)首個數(shù)據(jù)安全治理能力評估服務(wù),經(jīng)過兩年的積累,已經(jīng)完成4批43家企業(yè)的數(shù)據(jù)評估,幫助企業(yè)實現(xiàn)了數(shù)據(jù)安全治理體系的優(yōu)化。
展望數(shù)據(jù)安全治理的發(fā)展,我們認為有以下幾大趨勢:一是政策引領(lǐng)與戰(zhàn)略自驅(qū)齊頭并進,推進數(shù)據(jù)安全治理不斷深入;二是數(shù)據(jù)驅(qū)動的業(yè)務(wù)發(fā)展,激勵數(shù)據(jù)安全治理組織從“有型”到“有效”;三是數(shù)據(jù)安全風(fēng)險治理能力的建設(shè)與提升,將成為數(shù)據(jù)安全治理的重要組成;四是第三方數(shù)據(jù)安全評估認證作為提升數(shù)據(jù)安全治理能力的主要抓手,將被更多行業(yè)組織引入。
《指南2.0》在編寫過程中,得到了各行業(yè)組織的廣泛支持和幫助,再次感謝!
關(guān)鍵詞: 數(shù)據(jù)安全治理 數(shù)據(jù)安全