2021数据安全治理论坛暨《数据安全治理能力评估方法》团体标准发布会5月20日在北京举行。会议由中国互联网协会和中国信息通信研究院（以下简称“中国信通院”）联合主办，工业和信息化部网络安全管理局信息安全处四级调研员张洪、中国互联网协会副秘书长宋茂恩出席并致辞。会议由中国信通院云计算与大数据研究所副所长、中国互联网协会数据治理工作委员会秘书长魏凯主持。

会上，由标准起草单位代表、中国信通院云计算与大数据研究所大数据与区块链部副主任闫树就《数据安全治理能力评估方法》团体标准进行了解读。

以下为部分演讲内容：

与信息层面的安全相比，大数据时代的数据安全面临着更多的问题。既包括数据泄露、隐私收集、多方数据使用等已知风险，也包括很多未知的挑战。然而，当前全行业数据安全治理还处于发展初期，这些问题需要企业逐渐去解决、去跨越。

这个标准我们从2020年7月份着手准备，并依托中国互联网协会在10月份成立了标准起草小组，与来自20多家企业的数据安全专家共同编写了《数据安全治理能力评估方法》团体标准。经过起草、立项、公开征求意见、送审、报批等阶段的审批，于2021年4月27日正式发布，并获得了标准号。

标准的整个编制过程，起草组主要参考了三方面的依据，一是现行国家法律法规和行业监管要求；二是对标国际、国内相关数据安全标准，形成了该标准本身的一套框架体系，突出数据安全这个中心，具有较强的可操作性；三是借鉴企业的实践经验，通过开展线上+线下的企业调研，为标准的编写提供实践依据。

标准的框架以数据全生命周期为切入点，包括数据安全战略、数据全生命周期安全、基础安全三部分内容，一共涉及18个能力项。每个能力项都包含组织建设、制度流程、技术工具、人员能力四个评估维度。同时，给出可操作的评估方法，依据标准可以直接开展评估工作，并根据能力要求，确定最终等级。

下面将对标准的各能力项进行详细解读。首先是数据安全战略，包括数据安全规划和机构人员管理两个能力项。数据安全规划主要关注企业的顶层组织架构建设情况，谁来管、谁来执行、谁来审计。机构人员管理考察企业在人员安全意识培养、安全能力培训、安全能力考核方面的建设情况。

其次是数据全生命周期安全，这是标准中体量最大的部分。

数据采集安全主要关注的是直接和间接采集过程中的各项安全保护措施，以及是否开展了相应的合规性评估工作。数据传输安全主要关注数据从采集端到存储端之间的传输过程是否安全，是否对传输通道两端的身份进行过验证，是否对传输内容进行过加密等。存储安全一方面关注存储平台等载体的安全建设，另一方面关注数据的备份与恢复情况，确保数据的可用性建设。数据使用安全一是关注数据使用审批流程及数据使用方的操作安全，二是关注不同场景下的数据使用安全策略。数据共享分为内部共享安全和外部共享安全，两者都关注共享过程的加密、审核、评估、监控等安全要求，相较于内部共享，外部共享的安全性要求更高，同时会关注共享接收方的数据安全能力建设及评估情况。数据销毁是全生命周期的最后一环，关注数据本身及其介质的销毁和验证。

最后是基础安全部分，这部分的内容在数据全生命周期的多个阶段都可能涉及到。

数据分类分级，作为企业制定数据流转过程不同安全策略的基本依据，是实现精细化安全管控的有效途径，需要从企业层面形成统一的原则、方法、清单。合规管理主要关注企业数据安全建设是否符合国家法律法规、行业监管指引等的要求，确保这些要求能及时体现在业务流程中。合作方管理关注企业对合作伙伴、合作驻场人员的各项安全管理要求。监控审计一方面关注数据本身在全生命周期的流动行为，另一方面关注人员对数据的操作行为。鉴别与访问主要关注企业人员的账号管理、访问权限控制的建设情况，是否形成了用户、数据、权限三者之间的安全管理规范。风险和需求分析要求企业能根据业务场景，适时开展需求分析和风险评估工作。安全事件应急主要关注数据安全事件的定义、分级、响应处置、上报等工作的开展。要求企业建立相应应急预案、定期开展应急演练，形成应急知识库。

这里以数据分类分级基础级的定义为例，展示一下标准的内容。可以看出，每个能力项的描述结构都分为概述、等级要求、评估方法三部分，其中等级要求和评估方法是按照基础级、优秀级、先进级进行的分级定义。

整个团标有这样几个特点，一是专注于数据安全，标准本身没有关注网络或者硬件环境等方面的安全；二是形成了一套评估框架，为企业构建、度量、改进自身的数据安全能力提供了方法论；三是可操作性强，我们在给出各等级能力要求的同时，也明确了可操作的评估细则，提供可落地的参考；四是紧跟立法趋势，我们每年都会对标准内容进行迭代，迭代需求一方面源于法律法规和监管要求的更新，另一方面源于贯标期间收到的专家意见。

下一步我们将在标准宣贯、标准内容完善、标准体系建设等层面继续推进数据安全治理相关工作的开展，也欢迎大家积极参与。

校  审 | 陈  力、 珊  珊

编  辑 | 凌  霄

推荐阅读