中国信通院发布数据安全治理能力评估工作方案
随着大数据技术和产业的不断发展壮大,党中央国务院首次提出将数据作为新型生产要素,以推动数字经济的高质量发展。近期《中华人民共和国数据安全法(草案)》《中华人民共和国个人信息保护法(草案)》等国家法律法规的公开,一方面标志着数据安全上升到国家安全层面,事关国家安全与经济社会发展,另一方面也表明我国对数据安全的监管要求日益严格。
2020年12月18日下午,“2020数据资产管理大会—数据安全治理与隐私计算论坛”在北京成功召开。会上,中国信息通信研究院(以下简称“中国信通院”)云计算与大数据研究所代表分享了“数据安全治理能力评估工作方案”,就即将在2021年开展的数据安全治理能力评估工作进行介绍。以下为部分演讲内容。
有别于信息安全,大数据环境下的数据安全面临着诸多挑战。然而,当前我国各企业数据安全治理能力水平参差不齐,由于缺少以标准为基础的度量方法以及贴近产业现状的实施指南,企业无法准确衡量自身的数据安全治理能力建设情况与监管要求及公众期待的差距,进而无法明确自身的提升需求和目标。
针对这些问题,中国信通院以“准确度量企业的数据安全治理能力现状,合理规划数据安全治理能力提升路径”为目标,推出了“数据安全治理能力评估”(以下简称“DSG评估”)。DSG评估作为一套方法论体系,可以用于企业的数据安全治理体系建设参考,作为一套度量准则,可以用于考察企业的数据安全治理能力现状,作为一套改进指南,可以用于指导企业从组织、制度、技术、人员等方面有目标、有路径、分阶段的能力提升。
DSG评估框架共包括数据安全战略、数据全生命周期安全、基础安全三部分。
数据安全战略包括数据安全规划和机构人员管理两个能力项,主要考虑从企业的顶层规划方面提出要求,为数据安全治理能力的建设搭框架、配人手。
数据全生命周期安全包括数据采集安全、数据传输安全、存储安全、数据备份与恢复、使用安全、数据处理环境安全、数据内部共享安全、数据外部共享安全、数据销毁安全在内的九个能力项,通过对数据全流转过程进行规范和约束以有效降低数据安全风险。
基础安全包括数据分类分级、合规管理、合作方管理、监控审计、鉴别与访问、风险和需求分析、安全事件应急等七个能力项,主要从数据安全的保障措施上进行定义和要求。
DSG评估等级包括基础级、优秀级、先进级三个级别。基础级关注核心业务的安全治理能力及技术支撑情况,优秀级关注全业务流程的安全治理能力及技术手段的实施,先进级要求具备量化评估及优化改进机制。
综合来说,DSG评估具有更加聚焦、容易操作、与时俱进、市场机制几个特点。DSG评估专注于数据安全的相关内容,提供明确的评估方法,实操性强,并且紧跟立法要求和技术趋势,通过市场化的DSG评估,可以促进行业自下而上的向好发展。
从行业的角度,通过DSG评估可以详细了解行业数据安全治理能力发展现状,从企业的角度,DSG评估可以帮助企业总结现状问题并发现差距,同时能够根据企业特点,推荐最佳行业实践,给出针对性的优化建议。此外,还可以通过参与数据安全治理相关的研讨交流,对外输出自身实践,对内吸收业内优秀案例,实现治理经验的提升。
2021年1月,首批DSG评估即将开始。欢迎企业参与中国信通院云计算与大数据研究所开展的DSG评估,共同推动行业的数据安全治理能力发展。
评估咨询及报名
李雪妮
中国信通院云计算与大数据研究所
lixueni@caict.ac.cn
校 审 | 陈 力、 珊 珊
编 辑 | 凌 霄
推荐阅读