其他
什么是数据安全治理?这份指南请收好!
发展数字经济、加快培育发展数据要素市场,必须把保障数据安全放在突出位置。这就要求我们着力解决数据安全领域的突出问题,有效提升数据安全治理能力。随着数据安全监管要求逐渐落地,组织数据安全治理动力明显攀升,数据安全技术及服务供给不断释放。整体来看,数据安全治理进入快速发展阶段。本章将解析数据安全治理概念内涵,分析数据安全治理要点。
1
数据安全治理概念内涵
为指导行业数据安全治理能力建设,促进行业数据安全治理能力发展,依据中国通信标准化协会大数据技术标准推进委员会BDC 91-2022《数据安全治理能力评估方法》,梳理数据安全治理概念内涵,本指南认为应该从广义和狭义两个角度进行理解。
2
数据安全治理要点
3
数据安全治理总体视图
本指南结合前期大量调研和数据安全治理能力评估实践,依据中国通信标准化协会大数据技术标准推进委员会BDC 91-2022《数据安全治理能力评估方法》,提炼出一套行之有效的数据安全治理总体视图,用以描绘数据安全治理的建设蓝图和实践路线,如图1所示。
数据安全治理目标
数据安全治理目标是组织数据安全治理工作开展的前进方向。本指南认为其主要包括满足合规要求、管理数据安全风险、促进数据开发利用三方面。
数据安全治理体系
数据安全规划要求根据国家政策、组织业务发展需要以及数据安全需求等多方面因素明确组织整体数据安全规划。 机构人员管理要求建立负责组织内部数据安全工作的部门、岗位和人员,并与人力资源管理部门进行联动,防范机构人员管理过程中存在的数据安全风险。
数据采集安全是指根据组织对数据采集的安全要求,建立数据采集安全管理措施和安全防护措施,规范数据采集相关的流程,从而保证数据采集的合法、合规、正当和诚信。 数据传输安全是指根据组织对内和对外的数据传输需求,建立不同的数据加密保护策略和安全防护措施,防止传输过程中的数据泄露等风险。 数据存储安全是指根据组织内部数据存储安全要求,提供有效的技术和管理手段,防止对存储介质的不当使用而可能引发的数据泄露风险,并规范数据存储的冗余管理流程,保障数据可用性,实现对数据存储安全有效安全控制。 数据使用安全是指根据数据使用过程面临的安全风险,建立有效的数据使用安全管控措施和数据处理环境的安全保护机制,防止数据处理过程的数据泄露等风险。 数据共享安全是指根据组织对外提供或交换数据的需求,建立有效的数据交换的安全防护措施,以降低数据共享场景下的安全风险。 数据销毁安全是指通过制定数据销毁机制,实现有效的数据销毁管控,防止因对存储介质中的数据进行恢复而导致的数据泄露风险。
数据分类分级是指根据法律法规以及业务需求,明确组织内部的数据分类分级原则及方法,并对数据进行分类分级标识,以实现差异化的数据安全管理。 合规管理是指根据组织内部的业务需求和业务开展场景,明确相关法律法规要求,通过制定管理措施降低组织面临的合规风险。 合作方管理是指通过建立组织的合作方管理机制,防范组织对外合作中的数据安全风险。 监控审计是指通过建立监控及审计的工作机制,有效防范不正当的数据访问和操作行为,降低数据全生命周期未授权访问、数据滥用、数据泄露等安全风险。 身份认证与访问控制是指根据组织的安全合规要求,建立用户身份认证和访问控制管理机制,防止对数据的未授权访问风险。 安全风险分析是指根据组织的业务场景建立数据安全风险分析体系,有效应对组织内数据和业务的安全风险,将风险控制在可接受的水平,最大限度的保障数据安全。 安全事件应急是指通过建立数据安全应急响应体系,确保在发生数据安全事件后能够及时止损,保障业务的安全和稳定运行,最大程度降低数据安全事件带来的影响。
数据安全治理体系给出了组织数据安全治理的建设框架,如何将整套框架切实应用于建设过程,离不开实践路线的绘制。本指南基于行业发展现状,提炼出“全局体系规划,场景有序落地,运营持续加强,评估助力优化”的数据安全治理实践理念,并进一步丰富形成“规划—建设—运营—优化”的闭环路线,用以指导各行业组织数据安全治理工作的落地推进。该实践路线将在接下来的文章中展开论述。
往期推荐
1
2
3
4
5