评估启动|数据安全治理能力评估工作方案
2020年12月18日,由中国信息通信研究院、中国通信标准化协会、中国互联网协会联合举办的“2020数据资产管理大会”在京召开。在数据安全治理与隐私计算分论坛上,中国信通院云大所大数据与区块链部工程师李雪妮做了题为“数据安全治理能力评估工作方案”的演讲。
近年来,我国有关大数据的各项国家政策文件不断涌现,都对大数据的发展提出了要求和期望。尤其是数据跃升为新型生产要素后,在推动数据经济的高质量发展方面责无旁贷。在这种新形势下,数据安全已上升到国家安全层面,关乎国家安全和经济社会发展。
针对有别于传统信息安全的数据安全,我国在立法保护方面首先强势发力,《中华人民共和国数据安全法(草案)》《中华人民共和国个人信息保护法(草案)》等国家法律法规的公布,都表明我国对数据安全的监管要求日益严格。
然而,当前我国各企业数据安全治理能力水平参差不齐,由于缺少以标准为基础的度量方法以及贴近产业现状的实施指南,企业无法衡量自身的数据安全治理能力建设情况与监管要求和公众期待的差距,进而无法明确自身的提升需求和目标。
针对这些问题,中国信息通信研究院以“准确度量企业的数据安全治理能力现状,合理规划数据安全治理能力提升路径”为目标,推出了“数据安全治理能力评估”(以下简称DSG评估)。
DSG评估作为一套方法论体系,可以用于企业的数据安全治理体系建设参考,也是一套度量准则,用于考察企业的数据安全治理能力现状,同时还是一套改进指南,用于指导企业从组织、制度、技术、人员等方面有目标、有路径、分阶段的能力提升。
DSG评估框架共包括数据安全战略、数据全生命周期安全、基础安全三部分。
数据安全战略包括数据安全规划和机构人员管理两个能力项,主要考虑从企业的顶层规划方面提出要求,为数据安全治理能力的建设搭框架、配人手。
数据全生命周期安全包括数据采集安全、数据传输安全、存储安全、数据备份与恢复、使用安全、数据处理环境安全、数据内部共享安全、数据外部共享安全、数据销毁安全在内的九个能力项,通过对数据全流转过程进行规范和约束以有效降低数据安全风险。
基础安全包括数据分类分级、合规管理、合作方管理、监控审计、鉴别与访问、风险和需求分析、安全事件应急等七个能力项,主要从数据安全的保障措施上进行定义和要求。
针对每个能力项,DSG评估明确从组织架构、制度流程、技术工具、人员能力四个维度规定每个能力等级应具备的安全能力,并同步明确了与各等级要求对应的评估方法,包括查文档、看日志、验平台等方式。
DSG评估等级包括基础级、优秀级、先进级三个级别。基础级关注核心业务的安全治理能力及技术支撑情况,优秀级关注全业务流程的安全治理能力及技术手段的实施,先进级要求具备量化评估及优化改进机制。
综合来说,DSG评估具有更加聚焦、容易操作、与时俱进、市场机制几个特点。DSG评估专注于数据安全的相关内容,提供明确的评估方法,实操性强,并且紧跟立法要求和技术趋势,通过市场化的DSG评估,可以促进行业自下而上的向好发展。
一方面,通过DSG评估可以详细了解行业数据安全治理能力发展现状,另一方面,可以帮助企业总结现状问题,发现差距,并根据企业特点,推荐最佳行业实践,给出针对性的优化建议。同时还能参与数据安全治理相关的研讨交流,对外输出自身实践,对内吸收业内优秀案例,实现治理经验的提升。
2021年上半年,首批DSG评估即将开始。欢迎企业参与中国信通院云大所开展的DSG评估,共同推动行业的数据安全治理能力发展。
评估咨询及报名:中国信通院云大所 李雪妮
lixueni@caict.ac.cn
“聚焦数据要素 释放数据价值”2020数据资产管理大会在京召开
中国通信标准化协会大数据技术标准推进委员会(CCSA TC601,简称:数标委/BDC),旨在凝聚产业链各个环节,识别和解决大数据发展面临的重大问题,开展大数据技术、数据资产管理、数据共享与流通、数据安全等共性基础标准研究,以标准推进工作为纽带,推动大数据与实体经济深度融合。欢迎加入我们的行列!
入会咨询:张德民 15313961683
zhangdemin@caictyds.cn