数据安全推进计划

其他

吉利汽车数据安全治理实践

数据作为新型生产要素,已成为国家重要资产和我国数字经济发展的基础战略资源。2021年以来,国家、行业、地方相继颁布了大量数据安全政策文件。作为数字经济健康发展的重要基石,数据安全的重要性愈发突出,数据安全治理需求愈加明显。吉利汽车数据安全治理建设思路吉利汽车对企业内部数据进行了全面划分,以经营数据、业务数据、个人数据、汽车数据等基础分类,对结构化数据、非结构化数据等进行了类型定义,制定以数据为中心的全生命周期的管控策略,企业数据安全治理的框架。以业务风险场景为导向,将吉利汽车的数据安全现状进行了细致梳理,从组织人员、制度流程、文化意识、安全管理活动、技术管控措施6个方面进行全局规划,制定了
2023年6月1日
其他

数安智库 |《个人信息出境标准合同备案指南(第一版)》快评

个人信息安全影响评估指南(GB/T
2023年5月31日
其他

四步法实现数据安全治理体系建设!

基于前文(什么是数据安全治理?这份指南请收好!)提到的数据安全治理实践理念,可以按照自顶向下和自底向上相结合的思路推进实践过程。一方面,组织自顶向下,以数据安全战略规划为指导,以规划、建设、运营、优化为主线,围绕构建数据安全治理体系这一核心,从组织架构、制度流程、技术工具和人员能力四个维度构建全局建设思路。另一方面,组织自底向上,针对各业务场景敏捷落地相关数据安全能力点,以快速满足业务场景的数据安全需求,降低数据安全治理的长期性对业务开展的影响。通过各个场景的建设与完善,最终全面覆盖组织的所有数据处理活动。以上的实践过程可以有效避免管理和技术的“两张皮”问题。1
2023年5月29日
其他

兴业证券数据安全治理体系建设与实践

数字化转型时代数据已成为与土地、劳动力、资本、技术等传统要素同等重要的生产要素,数据不仅是信息资产,更是需要流转并产生价值的生产资料。在价值的驱动下数据使用场景日益复杂,数据流转路径呈多样化,随之而来的数据泄漏风险也与日俱增,如何有效开展数据安全建设已成为各行各业共同焦点。本文简要分析当前兴业证券数据安全建设面临的风险挑战,简述数据安全建设整体思路,解析数据安全两类常见的具体实践场景,目标是让数据能够安全、有序流通,保障数据在流通中创造的价值。兴业证券数据安全场景化建设总体思路为应对数据安全风险挑战,需在数据流通产生价值的前提下,基于数据分类分级,从数据全生命周期为出发点,构建数据安全治理体系,制定数据安全实施路径。(1)
2023年5月22日
其他

数据安全推进计划征文开启,等你来投!

为大力推动各方在数据安全领域的研究探讨,搭建多方位的研究交流平台,促进数据安全产业的健康有序发展。DSI现开展2023年度数据安全主题征文,本次征文活动由“数据安全推进计划”公众号发起,文章在通过审核后均将在该公众号进行发布。2022年下半年DSI共收到专家投稿25篇,其中19篇通过审核公开发布,并在2023年DSI第一次全体会议上对优秀创作者进行表彰。01
2023年5月10日
其他

华泰证券数据安全治理实践

证券行业是产生和积累数据量最大、数据类型最丰富的领域之一,随着证券行业数字化转型、深化,证券业数据有着更加广泛的应用场景、应用范围,有着更高的应用价值。随着证券业数据的价值日益凸显,数据非法采集、数据贩卖、数据篡改、数据攻击、数据权限滥用等安全问题也层出不穷。如何更加安全地保障企业的数字化转型,降低数据安全风险,释放数据价值,成为了诸多转型企业中的重点工作。华泰证券数据安全治理建设思路(1)
2023年5月8日
其他

四大维度,推动数据安全治理体系建设

以数据安全治理目标为指引,围绕数据安全治理体系框架,可以从组织架构、制度体系、技术工具和人员能力四个维度开展治理能力建设工作,以解决“谁来干”、“怎么干”、“干的如何”、“有没有能力干”等关键问题。1
2023年5月4日
其他

什么是数据安全治理?这份指南请收好!

发展数字经济、加快培育发展数据要素市场,必须把保障数据安全放在突出位置。这就要求我们着力解决数据安全领域的突出问题,有效提升数据安全治理能力。随着数据安全监管要求逐渐落地,组织数据安全治理动力明显攀升,数据安全技术及服务供给不断释放。整体来看,数据安全治理进入快速发展阶段。本章将解析数据安全治理概念内涵,分析数据安全治理要点。1
2023年4月24日
其他

《数据安全产品与服务观察报告》正式发布,附下载链接~

为深化调研我国数据安全产品与服务市场现状,2022年数据安全推进计划面向116家数据安全产品、服务的供应商,开展两轮调研,共计覆盖了488项产品与服务。2023年,数据安全推进计划依托图谱调研工作与五十家厂商企业专家进行了积极探索与研讨,形成《数据安全产品与服务观察报告》,并提炼了十项观察。►►►以下为现场PPT分享实录数据安全作为发展数字经济的能力底座,数据安全产品、服务备受关注。从数字经济到数字中国,政策加速推进。技术与数字中国息息相关,今年中共中央、国务院印发《数字中国建设整体布局规划》强调强化数字技术创新体系和数字安全屏障“两大能力”。工信部等十六部门发布《关于促进数据安全产业发展的指导意见》,我国数据安全产业发展迈向了新的阶段。这要求供给侧企业加强核心技术攻关,构建数据安全产品体系,推动我国数据安全产业与技术创新及能力提升。组织的数据安全建设理念转变带来产品、服务的变化创新。相较于传统网络安全基于系统的安全防护,数据安全从业务需求出发,强调覆盖数据全生命周期的技术、产品与能力布局,重点关注何种数据、分布何处、如何流转、谁在使用、如何防护。在产品方面,以数据为中心的主动安全体系逐步建立。数据安全产品的应用贯穿数据的全生命周期:无论是数据采集阶段的识别、标记、分类分级,还是存储、使用阶段的加密、脱敏、审计,以及共享流通阶段的隐私计算、数据水印等产品工具,均为保障数据的保密性、完整性、可用性,以及数据处理活动的合规性、可控性提供了技术支撑。但我们同样观察到,在产品数量的分布上,防护类产品占产品总数的43%,呈现出目前以“防”为主的安全理念。数据安全服务种类增加,服务内容持续完善。相对于传统网络安全服务往往仅作网络安全技术产品的“附属品”,由于数据具备与业务耦合度深、流转范围广的特点,数据安全服务种类更加多样,也更重视服务内容多样性与服务的品质。在市场方面,数据安全厂商百舸争流。目前服务机构的分布仍呈现碎片化的特点,在地域、行业等维度的集中度不高。通过对厂商的采访调研,并参考参与图谱调研的百家机构近三年内的经营信息、营收表现、产品及服务数量、行业用户客户案例、第三方评测等方面信息,将数据安全厂商分为综合型、专业型、新兴型。观点1
2023年4月19日
其他

数安talks预告 | 如何让企业关键数据资产更安全?

往期推荐1一图读懂“可信数安”评估评测2交通银行数据安全治理体系建设与实践3一图读懂“数据安全风险治理成熟度”评估42022年度数据安全行业十大观察5《数据安全治理实践指南(2.0)》发布
2023年4月18日
其他

交通银行数据安全治理体系建设与实践

金融银行业目前在实际应用中有以下痛点:一是数据使用是否含敏感信息的选项依靠各环节人工判定,主观性较大;二是数据文件下发前缺少相关技术工具进行内容扫描,无法管控实际流出生产系统的数据文件;三是数据治理工作虽已为行内数据标准完成定级,为数据出口管理工作提供了重要依据,但两者缺乏便捷的对接渠道;四是数据安全管理办法发布后,暂时未有有效的系统载体承接和落实相关管控规定。交通银行数据安全管理系统建设背景随着外部数据安全管理的要求逐渐增多,各大银行已加紧数据安全管控体系的建设。工行、农行、中行、招行等银行,皆加大自身资源投入、通过自研开发或与第三方合作,契合当前数字经济大浪潮下的安全管控变革的需求,建立数据安全管理系统以达到法律法规与外部监管要求。根据前期调研,相关同业为提升自身数据安全管理能力,均对核心和重要系统加紧安全技术防控,在数据分级管理、敏感数据识别、安全检查审计和技防能力提升等方面,逐步将数据安全体系建设向精细化、自动化和成熟化推进。综上,为进一步加强数据出口的安全扎口管理,推动我行在数据安全治理、数据安全保障、数据安全体系建设能力不断增强,拟设计规划数据安全管控全方位升级的系统建设规划。交通银行数据安全管理系统建设目标交通银行建设数据安全管控系统升级项目,旨在以数据安全交换平台为基础,以整体数据安全运营为目标,建设全方位的安全管控系统功能。项目建成后拟达成以下效果:一是提升敏感数据认定识别的技术能力,通过人工和技术手段相结合,实现敏感数据的精准定位;二是应用数据分类分级和敏感数据定位,在数据出口、分析等重点数据场景中实现数据安全管控的精细化、便利化,提升数据出口流程与数据出口安全管控质效;三是建立数据安全评估、安全监督等管理功能,实现数据安全管理工作的系统化运行,实现对重点场景数据安全情况的整体管控。交通银行数据安全管理系统核心功能本规划项目可细分为五大模块,以安全管控引擎模块为技术支撑,拟建设安全监督、安全评估、成熟度评估管理、安全传输四部分内容。项目规划如图1所示。来源:交通银行图1
2023年4月17日
其他

汇集50家知名厂商,10项观察观点 |《数据安全产品与服务观察报告》发布会成功召开

2023年4月11日,由数据安全推进计划联合中国通信标准化协会大数据技术标准推进委员会举办的《数据安全产品与服务观察报告》发布会在北京成功召开。本次发布会由中国信通院云计算与大数据研究所高级业务主管龚诗然主持,中国信通院云计算与大数据研究所副所长魏凯出席发布会并发表致辞,报告参编单位专家出席。会上参编单位专家分享数据安全产品与服务发展现状与前沿趋势,数据安全推进计划介绍《数据安全产品与服务观察报告》编写情况与报告主要内容,加强数据安全生态交流,探讨未来数据安全产品与服务发展的新风向,推动数据安全产业发展。中国信通院云计算与大数据研究所副所长
2023年4月12日
其他

汽车数据安全合规⑥—如何开展数据安全风险评估?

《汽车数据安全若干问题合规实践指南》(以下简称《指南》)是数据安全推进计划汽车工作组在2022年产出的成果之一。本指南依据国家法律法规和标准,同时参考行业最佳实践,针对汽车数据安全的重要合规内容,结合汽车行业特有场景,为汽车企业提供数据安全合规实践指引。本系列将持续探讨汽车数据安全合规实践,希望增强汽车企业数据安全合规保障能力,提高汽车行业数据安全保护水平。本文将聚焦“数据安全风险评估”,解析合规要点,总结汽车行业典型场景,进而提出合规实践建议。数据安全风险评估01合规要点依据《数据安全法》、《汽车数据安全管理若干规定(试行)》要求,汽车数据处理者开展重要数据处理活动,应当按照规定开展风险评估并报送。汽车企业无论是通过自评估还是第三方评估,都应尽快建立数据安全风险管理的全流程机制,尽早识别风险,发生事件及时补救与报告,承担数据安全保护义务。02典型场景汽车智能化、网联化程度逐步提高,汽车数据量激增,车辆开放连接增多,相关设备系统间数据交互紧密,汽车数据处理场景复杂,汽车企业需要数据安全风险评估的场景包括但不限于:基于移动互联网的汽车用户数据应用;车联网服务平台重要数据记录系统;车辆大数据平台。03合规实践建议数据安全风险是指任何威胁数据及其安全需求的行为或机制。数据安全风险评估旨在帮助汽车企业明确数据安全风险点,为汽车数据安全管理建设和数据安全风险处置指明方向。本文建议的风险评估要求主要以汽车企业的数据资产为评估对象,数据处理活动中所面临的风险为评估内容,进行数据安全风险评估工作。工作流程包括:评估准备—风险要素识别—风险分析—风险评价—报告编写—风险处置。如图1所示。图1
自由知乎 自由微博
其他

建设银行:数据访问控制安全平台建设实践

▏摘要中国建设银行是中国领先的大型国有商业银行,高度重视数据安全保护问题,已构建较为完备的数据安全防护体系。为实现更细粒度的数据安全访问控制和动态脱敏能力,建设银行搭建数据访问控制平台,以快速应对业务变化和监管合规、快速落地访问控制需求,以企业级平台的方式,为应用提供基于业务逻辑的细颗粒度隐私数据保护能力。▏关键发现•
2023年3月29日
其他

数安智库 | 浅析开放银行数据安全挑战与对策

周武宁:专注安全领域多年,持续关注数据安全、网络安全新趋势、新技术,并具备丰富的安全技术应用落地实战经验,具备国家注册信息安全管理人员、数据安全专家认证、零信任专家认证等行业专业资格认证,在网络安全、数据安全、零信任等领域有较深入研究。01开放银行数据安全现状1.1新业态引发新的安全风险近年来,数字化转型的浪潮滚滚而来,席卷千行百业。银行业作为数字化转型的排头兵,在数字化转型的道路上积极探索,开拓创新,正全面迈入“积厚成势”的新阶段。“开放银行”无疑是银行数字化转型的主要方向和着力点,自2018年以来,开放银行多点开花,股份行与国有大行加快了开放银行转型步伐。从狭义角度看,开放银行是指通过应用程序编程接口,把特定服务用API的形式开放,将银行内部的信息系统与合作方的信息系统对接。API只是开放的技术手段,而开放银行的本质是数据共享,将银行原来不愿、不想、不敢共享的核心数据进行共享、交易、融合,充分释放数据要素潜能,赋能金融服务。在开放银行这种新业态下,使得银行与合作方紧密相连,增加了数据暴露面,带来了新的数据安全风险。1.2
2023年3月28日
其他

江西联通 X 保旺达:数据安全分级分类平台建设实践

▏摘要江西联通是中国联通驻江西分支机构,为解决数据梳理工作中合规要求多、数据变化快、协同工作难等问题,江西联通与保旺达合作,建设合规和安全双驱动的数据安全分级分类平台,全方位梳理数据特性、持续监视敏感数据变动、动静结合展示数据梳理结果,增加了规范落地覆盖度、简化了数据梳理过程、提升了数据安全性。▏关键发现•
2023年3月24日
其他

汽车数据安全合规⑤—如何处理敏感个人信息?

《汽车数据安全若干问题合规实践指南》(以下简称《指南》)是数据安全推进计划汽车工作组在2022年产出的成果之一。本指南依据国家法律法规和标准,同时参考行业最佳实践,针对汽车数据安全的重要合规内容,结合汽车行业特有场景,为汽车企业提供数据安全合规实践指引。本系列将持续探讨汽车数据安全合规实践,希望增强汽车企业数据安全合规保障能力,提高汽车行业数据安全保护水平。本文将聚焦“敏感个人信息”,解析合规要点,总结汽车行业典型场景,进而提出合规实践建议。汽车数据安全合规①—如何坚持车内处理原则?汽车数据安全合规②—如何落实脱敏处理原则?汽车数据安全合规③—如何加强数据安全防护?汽车数据安全合规④—如何实施“告知-同意”?“敏感个人信息”01合规要点汽车行业中,敏感个人信息指一旦泄露或者非法使用,可能导致车主、驾驶人、乘车人、车外人员等受到歧视或者人身、财产安全受到严重危害的个人信息[1]。在GB/T
2023年3月23日
其他

【重磅公布】数据安全推进计划2022年度表彰名单公示

面向个人客户信息保护的数据安全治理体系建设3一图读懂“数据安全风险治理成熟度”评估4相约杭州-数据安全推进计划邀您共谋数安发展5《数据安全治理实践指南(2.0)》发布
2023年3月22日
其他

中国移动:个人信息保护体系建设实践

▏摘要由于业务场景复杂、涉及角色众多,中国移动的个人信息保护工作在组织、制度、技术、运营等方面存在诸多痛点。因此,中国移动从建立个人信息保护体系,保证对于各项业务活动中个人信息保护的全面性、规范性和适宜性,保障大数据安全、合规、有序地为中国移动转型发展注智赋能,同时推动数据要素市场化,将中国移动大数据服务能力赋能各行各业。▏关键发现•
2023年3月20日
其他

汽车数据安全合规④—如何实施“告知-同意”?

《汽车数据安全若干问题合规实践指南》(以下简称《指南》)是数据安全推进计划汽车工作组在2022年产出的成果之一。本指南依据国家法律法规和标准,同时参考行业最佳实践,针对汽车数据安全的重要合规内容,结合汽车行业特有场景,为汽车企业提供数据安全合规实践指引。本系列将持续探讨汽车数据安全合规实践,希望增强汽车企业数据安全合规保障能力,提高汽车行业数据安全保护水平。本文将聚焦“告知-同意”个人信息保护核心规则,解析合规要点,总结汽车行业典型场景,进而提出合规实践建议。汽车数据安全合规①—如何坚持车内处理原则?汽车数据安全合规②—如何落实脱敏处理原则?汽车数据安全合规③—如何加强数据安全防护?“告知-同意”01合规要点《个人信息保护法》、《汽车数据安全管理若干规定(试行)》、《信息安全技术
2023年3月16日
其他

国信证券 | 面向个人客户信息保护的数据安全治理体系建设

随着数据成为数字经济发展的核心生产要素,数据安全成为事关国家安全与经济社会发展的重大问题。在国家顶层战略引导下,数据安全相关法律法规相继发布实施。企业如何在生产经营中落实数据安全成为一个重要课题,国信证券做出了自己的探索,并已收录于《金融数据安全治理案例汇编》。01
2023年3月15日
其他

汽车数据安全合规③—如何加强数据安全防护?

《汽车数据安全若干问题合规实践指南》(以下简称《指南》)是数据安全推进计划汽车工作组在2022年产出的成果之一。本指南依据国家法律法规和标准,同时参考行业最佳实践,针对汽车数据安全的重要合规内容,结合汽车行业特有场景,为汽车企业提供数据安全合规实践指引。本系列将持续探讨汽车数据安全合规实践,希望增强汽车企业数据安全合规保障能力,提高汽车行业数据安全保护水平。本文将聚焦“汽车数据安全防护”,解析合规要点,总结汽车行业典型场景,进而提出合规实践建议。汽车数据安全合规①—如何坚持车内处理原则?汽车数据安全合规②—如何落实脱敏处理原则?数据安全防护01合规要点《汽车数据安全管理若干规定(试行)》要求协同汽车数据处理者加强智能(网联)汽车网络和汽车数据安全防护。工业和信息化部《关于加强车联网网络安全和数据安全工作的通知》要求汽车企业全面加强安全保护,提升数据安全技术保障能力。YD/T
其他

【相约杭州】数据安全推进计划邀您共谋数安发展

DSI第一次全体会议数据安全推进计划(DSI)计划于2023年3月30日召开数据安全推进计划2023年第一次全体工作会议。会上将进行数据安全推进计划总体及各工作组2022年工作总结以及2023年工作计划介绍。同时将对2022年优秀成员单位、优秀工作组、优秀智库专家进行表彰。现将会议信息通知如下:01会议时间2023年3月30日02会议地点浙江省杭州市东航云逸酒店(详细地址:浙江省杭州市西湖区九溪路13号)03
其他

汽车数据安全合规②—如何落实脱敏处理原则?

《汽车数据安全若干问题合规实践指南》(以下简称《指南》)是数据安全推进计划汽车工作组在2022年产出的成果之一。本指南依据国家法律法规和标准,同时参考行业最佳实践,针对汽车数据安全的重要合规内容,结合汽车行业特有场景,为汽车企业提供数据安全合规实践指引。本系列将持续探讨汽车数据安全合规实践,希望增强汽车企业数据安全合规保障能力,提高汽车行业数据安全保护水平。本文将聚焦“脱敏处理”原则,解析合规要点,总结汽车行业典型场景,进而提出合规实践建议。汽车数据安全合规①—如何坚持车内处理原则?脱敏处理原则01合规要点《汽车数据安全管理若干规定(试行)》中明确,国家鼓励汽车数据依法合理有效利用,倡导汽车数据处理者在开展汽车数据处理活动中坚持脱敏处理原则,尽可能进行匿名化、去标识化等处理。根据数据处理的不同阶段,可将数据脱敏分为“车端数据脱敏”和“车外数据脱敏”。其中,车端数据脱敏指通过一定方法在车端数据处理设备上消除原始环境数据中的敏感信息,使得信息主体无法被识别或者关联,且处理后的信息不能被复原,同时保留目标环境业务所需的数据特征或内容的数据处理过程[1]。车外数据脱敏指上述脱敏处理行为发生在云端服务器或任何位于车外的物理服务器。汽车企业为贯彻落实“车内处理”原则,需要对向车端以外的第三方传输的数据进行脱敏处理;同时,车端内相关数据和个人信息达到法律或行业规定需要进行脱敏处理的标准时,也需要进行数据脱敏处理。车端内外数据脱敏需要遵循不同精度与颗粒度要求。其中,车外数据未完成匿名化处理前不应向车外提供,且相关的过程数据应立即删除[2]。02典型场景根据法律规定和相关国家及行业标准,汽车企业适用“脱敏处理”原则的典型场景包括但不限于:汽车数据向车外系统传输;汽车数据向第三方传输、共享等;汽车数据向境外传输;汽车数据中含道路车辆信息的内容;汽车数据中含敏感个人信息的内容。从汽车行业场景和行业实践出发,汽车数据的全生命周期脱敏处理的典型应用场景包括但不限于:汽车产品开发测试阶段;汽车数据挖掘分析阶段;汽车产品运维、售后阶段。03合规实践建议汽车企业应遵循法律及国家和行业标准对于数据脱敏处理的具体要求。数据脱敏可源于《个人信息保护法》中对去标识化、匿名化的定义,其中,匿名化是指个人信息经过处理无法识别特定自然人且不能复原的过程;而去标识化是指个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程。同时参考《汽车数据安全管理若干规定(试行)》对脱敏处理原则的规定,因此,汽车数据的脱敏同样需要满足经脱敏处理后无法准确识别特定自然人的标准。汽车数据可采取的匿名化具体措施包括:删除包含个人信息的图像或帧;局部轮廓化处理,擦除区域或替换为其他无法关联个人信息主体且不可复原的其他图像。在处理数字字段信息时,可采取结构化处理方法,如将原数字字段为888897变成模型字段88****。另外,汽车在传输人脸和车牌相关的视频及图像时应满足相应的数据格式要求、样本质量要求,以及脱敏功能要求、性能要求、测试方法和脱敏结果评估等[3]。图1是人脸的脱敏处理示意图(来源:T/CAAMTB
其他

2022年度数据安全行业十大观察

根据《工业和信息化部等十六部门关于促进数据安全产业发展的指导意见》,到2025年,数据安全产业规模预计将超过1500亿元。为更好地观察数据安全需求侧数据安全建设现状与面临的挑战,了解供应侧数据安全业务布局与产品服务技术形态,数据安全推进计划(DSI)联合中国通信标准化协会大数据技术标准推进委员会(CCSA
2023年2月28日
其他

一图读懂“数据安全风险治理成熟度”评估

2023年度专家征集入库正式启动3《数据安全产品与服务图谱(2.0)》发布4汽车数据安全合规①—如何坚持车内处理原则?5《数据安全治理实践指南(2.0)》发布
2023年2月27日
其他

汽车数据安全合规①—如何坚持车内处理原则?

《汽车数据安全若干问题合规实践指南》(以下简称《指南》)是数据安全推进计划汽车工作组在2022年产出的成果之一。本指南依据国家法律法规和标准,同时参考行业最佳实践,针对汽车数据安全的重要合规内容,结合汽车行业特有场景,为汽车企业提供数据安全合规实践指引。本系列将持续探讨汽车数据安全合规实践,希望增强汽车企业数据安全合规保障能力,提高汽车行业数据安全保护水平。本文将聚焦“车内处理”原则,解析合规要点,总结汽车行业典型场景,进而提出合规实践建议。车内处理原则01合规要点《汽车数据安全管理若干规定(试行)》中明确,国家鼓励汽车数据依法合理有效利用,倡导汽车数据处理者在开展汽车数据处理活动中坚持车内处理原则,除非确有必要不向车外提供。“车内处理”原则是指,基于汽车本身产生的数据,需要在车内完成处理,除确有必要外,不应传输至车外的设备系统或第三方。“通过网络向外传输”是指通过移动通信网络、无线局域网、充电桩接口等方式,向位于车外的设备、系统传输。同时,因保证行车安全需要,已进行匿名化处理的视频、图像数据除外【1】。“车内处理”是否等同于本地化处理有待行业实践发展观察。落实“车内处理”原则,需要以充分保障个人信息权利和数据安全为衡量尺度,同时兼顾行业与技术创新发展的必要空间。02典型场景①
2023年2月24日
其他

一图读懂“数据安全治理能力”系列评估

2023年度专家征集入库正式启动3《数据安全产品与服务图谱(2.0)》发布4《智能网联汽车数据分类分级实践指南》发布5一图读懂“可信数安”评估评测
2023年2月21日
其他

一图读懂“可信数安”评估评测

2023年度专家征集入库正式启动3《数据安全产品与服务图谱(2.0)》发布4《智能网联汽车数据分类分级实践指南》正式发布5一图读懂数据安全治理能力评估
2023年2月14日
其他

《智能网联汽车数据分类分级实践指南》正式发布,附下载链接!

2023年1月5日,在第二届数据安全治理峰会上,《智能网联汽车数据分类分级实践指南》正式发布,DSI汽车工作组组长单位吉利汽车研究院电子电器中心副主任兼架构部部长韩勇进行了解读。随着汽车的电动化、网联化以及智能化发展,智能网联汽车产业的发展过程中交融了车辆运行安全、数据安全等合规风险。智能网联汽车垂直行业“诞生”了诸多政策法规及各效力位阶的标准,特别是《汽车数据安全管理若干规定(试行)》《关于加强车联网网络安全和数据安全工作的通知》等的各类国家、行业及团体类标准,明确了智能网联汽车数据应当进行分类和分级处理,对数据进行打标或建立数据目录,须区分敏感个人信息、重要数据、车外数据、座舱数据、运行数据、位置轨迹数据等数据类型;并应具备识别技术,并配置不同的
2023年2月13日
其他

数安智库 | 2023年度专家征集入库正式启动

数据是国家新型生产要素和基础战略资源的代表,数据安全已成为保障数字强国建设、护航数字经济发展的安全基石。2021年9月1日,中国信息通信研究院(以下简称“中国信通院”)正式发起“数据安全推进计划”(Data
其他

汽车行业首家!吉利汽车完成DSG汽车专项三级评估

吉利汽车集团参与中国信息通信研究院组织的DSG评估汽车专项,成为首家达到三级(目前开放最高等级)的汽车企业!同时,吉利汽车集团积极参与行业交流,参与了数据安全推进计划《数据安全治理实践指南(2.0)》与《汽车数据安全若干问题合规实践指南》的编写工作,输出自身数据安全治理实践。DSG评估汽车专项2020年,中国信息通信研究院(以下简称:中国信通院)推出了国内首个“数据安全治理能力评估”服务(以下简称:DSG评估),该服务以《数据安全治理能力评估方法》为主要依据,旨在“以评促建”,帮助企业度量企业数据安全治理能力现状、助力企业发现数据安全治理能力不足、指明企业数据安全治理能力提升路径、促进行业数据安全治理能力发展。
2023年2月7日
其他

《金融行业数据安全治理案例汇编》正式发布,附下载链接

2023年1月5日,在第二届数据安全治理峰会上,《金融行业数据安全治理案例汇编》正式发布,数据安全推进计划金融工作组组长单位中国建设银行总行数据管理部数据标准安全处处长车春雷进行了解读。金融作为数据密集型行业,面向个人和组织提供众多金融产品和服务,具有数据规模巨大、数据价值高、数据应用场景复杂等特点,对数据安全有着天然的诉求。同时,《个人金融信息保护技术规范》、《金融数据安全
其他

数安智库 | 隐私工程的中国式路径

数安智库专家简介朱玲凤:DSI数安智库专家,隐私保护及数据合规领域实践专家,《数据合规:入门、实战和进阶》的合著作者之一,“互联网信息新技术新业务安全评估中心评估专家”,国际隐私专家协会隐私专家认证(CIPP/E)以及认证讲师,华东政法大学“公司法务人才高级研习班”授课导师。曾任知名互联网公司隐私数据专家、小米集团安全与隐私委员会隐私副主席,深入了解超过80个国家的隐私数据合规法律,熟悉移动应用、操作系统、智能硬件、物联网、网联汽车、XR等多领域,擅长将隐私合规要求落地于不同行业场景和技术架构,典型的法律和技术的跨界人才。上一篇笔者的《隐私工程:从法律到研发工程》是初步对海外关于隐私工程的理解与探索。隐私工程是Privacy
其他

重磅!《数据安全风险治理成熟度评价模型》发布,征集首批预评估单位

2023年1月5日,在第二届数据安全治理峰会上,《数据安全风险治理成熟度评价模型》标准正式发布,由中国信息通信研究院云计算与大数据研究所大数据与区块链部高级业务主管龚诗然进行介绍。《数据安全风险治理成熟度评价模型》标准立足于数据安全风险层出不穷、危害严重的现状,历经4个月的理论研究与多轮专家研讨论证,于2022年9月由中国信通院牵头中国电信、联通数科、百度、安恒、绿盟等十余家单位专家共同编制,现已进入评估单位征集阶段。►►►以下为现场PPT分享实录数据安全已成为国家安全战略、数字经济发展的重要议题。“十三五”以来,国家持续强调数据安全保护与数据流动安全,强化数据全生命周期安全保护与立法,为数据成为新型生产要素奠定坚实基础,至此数据安全成为我国数字化进程重要一环。然而,企业数字化转型大潮来临,数据泄露、破坏与滥用事件高频发生,已严重威胁国家、社会公众安全,数据安全风险防范刻不容缓:一是数据泄露事件持续增长,全球数据泄露记录近千亿条;二是数据破坏严重影响社会生产,企业数据遭到破坏、勒索的事件同样屡屡发生;三是数据滥用严重威胁个人权益,“大数据杀熟”、“窃听式营销”等乱象频发,以违约、违规收集使用数据、权限为主的数据滥用行为亟需整治。以上问题均表明数据安全风险亟需体系化治理,数据安全风险治理将成为业内又一重要议题。数据安全风险治理离不开基于评估的风险控制措施。数据安全风险评估是数据安全风险管控的第一步,其结果是风险处置、监控的重要输入。但经过对理论与标准的研究、分析,我们发现国内相关理论与标准整体侧重于数据安全风险评估与实施,对如何应用评估开展数据安全风险的管理尚存探索空间。此外,在治理实践上,企业的数据安全风险治理实践侧重于清单式的弱点挖掘来识别、管理风险,这不仅与数据安全风险的动态属性不相适应,且在风险治理的能力建设与提升上同样存在局限性。基于以上研究与分析,我们认为企业的数据安全风险治理需要体系化、层次化的评价模型。依托能力成熟度评价模型及其全面、系统、可量化的特点,一方面为企业数据安全风险治理的开展提供方向指引,另一方面为已开展的数据安全风险治理实践提供能力提升路径。《数据安全风险治理成熟度评价模型》标准在经历4个月的理论研究与论证后,于2022年9月由中国信通院牵头中国电信、联通数科、百度、安恒、绿盟等十余家单位专家共同编制,现已进入评估单位征集阶段。数据安全风险治理一方面是企业数据安全治理的重要一环,另一方面数据安全风险治理发现的问题也是企业数据安全治理的持续性输入。《数据安全风险治理成熟度评价模型》将企业的数据安全风险治理按照风险治理的阶段分为5大能力域:分别是风险准则确立、风险要素识别、风险评估分析、风险处置解决、风险治理改进,并进一步细分成15个能力项。“风险准则确立”能力域主要是指企业通过分析组织数据安全风险需求,识别组织的关键业务及数据处理活动,制定组织的数据安全风险治理准则,明确组织的数据安全风险治理的业务对象和范围。“风险要素识别”能力域主要是指企业通过围绕组织的数据安全风险准则,开展数据安全风险要素识别活动,识别数据资产在组织的业务运行、数据处理活动过程中面临的威胁、缺陷、漏洞等。“风险评估分析”能力域主要是指企业通过关联已识别的数据安全风险要素,对数据安全风险进行定性或定量分析,开展数据安全风险评估活动,判断数据安全风险发生的可能性与影响程度。“风险处置解决”能力域主要是指企业通过建立数据安全风险处置原则、策略、流程等,实施数据安全风险处置策略,并通过监控、提升处置策略有效性、提升处置流程效率等方式,降低数据安全风险发生的可能性或损失的影响程度。“风险治理改进”能力域主要是指企业建立数据安全风险治理改进机制,通过加强相关团队及人员培训与考核、规范风险资源规划与项目管理等方式,提升组织的数据安全风险治理技能,防范数据安全风险治理过程中出现的严重偏差,持续优化组织的数据安全风险治理能力。评价模型的等级设置依据组织数据安全风险治理的覆盖范围、支撑力度进行划分。第一级“初始级”指组织的数据安全风险治理主要依靠突发事件或临时需求驱动,具有明显的滞后性缺乏数据安全风险治理的目标、规划、依据、资源保障。第二级“基础级”指组织的数据安全风险治理主要体现在个别业务活动或项目活动中,能主动识别法律法规与外部监管要求,使个别业务活动或项目活动中可以满足组织的数据安全保护与合规需求。第三级“已定义级”指组织的数据安全风险治理主要体现在组织整体层面,考虑了法律法规和外部监管要求下,兼顾了组织内部发展需求,建立了覆盖数据安全风险识别、评估、处置、监控等标准化管理机制、技术和运营体系,能够保障组织数据安全风险治理工作的有序开展与规范化落地。第四级“量化级”指在第三级的基础上对组织的数据安全风险治理效率、效果能量化分析和监控。第五级“卓越级”指组织的数据安全风险治理成为行业标杆并推广至行业。本标准实现了事前明确数据安全风险关键要素,事中建立全面的风险治理体系,事后健全风险治理的监控与管理改进体系。未来,标准将会从交流分享、企业评估、标准迭代、案例征集四个方面开展工作,广泛听取专家意见进行标准完善、征集优秀企业落地案例,共同完善数据安全风险治理成熟度评价模型。最后,首批数据安全风险治理能力成熟度评估已经启动,欢迎报名!往期推荐1《数据安全治理实践指南(2.0)》发布2《2022年数据安全行业调研报告》发布3《数据安全产品与服务图谱(2.0)》发布4一图读懂“可信数安”评估评测5《汽车数据安全若干问题合规实践指南》发布6一图读懂数据安全治理能力评估
2023年2月1日
其他

《汽车数据安全若干问题合规实践指南》正式发布,附下载链接

2023年1月5日,在第二届数据安全治理峰会上,《汽车数据安全若干问题合规实践指南》正式发布,中国信息通信研究院云计算与大数据研究所工程师张亚兰进行了解读。《汽车数据安全若干问题合规实践指南》旨在进一步提高汽车行业数据安全保护水平,增强汽车企业数据安全合规保障能力,推动汽车数据价值安全使用,保障安全与发展的双向促进。本指南依据国家法律法规和标准,同时参考行业最佳实践,针对汽车数据安全的重要合规内容,结合汽车行业特有场景,提出合规实践建议。►►►以下为现场PPT分享实录在汽车“新四化”的趋势下,汽车涉及数据交互的功能越来越多,各种数据安全问题不容忽视。我们依托数据安全推进计划(DSI)汽车工作组,收集了汽车行业比较关注的数据安全合规问题,并梳理监管政策,划定七大合规议题:车内处理原则、脱敏处理原则、数据安全防护、告知与征得同意义务、处理敏感个人信息、数据安全风险评估、数据出境。落实“车内处理”原则,需要以充分保障个人信息权利和数据安全为衡量尺度,同时兼顾行业与技术创新发展的必要空间。以上七点建议在指南中进行了详细阐述,并提供了参考示例。脱敏处理的合规实践可以考虑从四个方面进行:一是遵循法律及国家和行业标准对于数据脱敏处理的具体要求;二是完善数据脱敏的技术措施与标准化;三是保障用户个人信息权益和消费者知情权;四是建立数据脱敏后的检验机制。汽车企业数据安全防护需要以数据分类分级为基础,从管理制度、防护技术、风险评估三个方面进行整体的数据安全防护建设。其中安全防护技术建设可以从数据安全开发能力嵌入、数据本体保护、数据管控、风险监测四个方向进行。“告知-同意”是法律确立的个人信息保护核心规则,是保障个人对其个人信息处理知情权和决定权的重要手段。车载场景下,汽车企业依法履行“告知-同意”法定义务,可从四个方面入手:一是告知用户的内容应遵循法律和国家标准的规定;二是告知同意可兼顾合规性和用户体验;三是可采取多样性技术方案;四是保障个人信息权利主体撤回同意的权利。汽车企业应在具有增强行车安全的目的和充分的必要性,并采取严格保护措施的情形下,方可处理敏感个人信息。处理敏感个人信息的合规实践可以做好组织架构建设、个人信息保护影响评估、已有敏感个人信息核查、敏感个人信息单独同意的具体技术措施落实、恰当的技术保障手段和安全管理措施、用户的个人信息权利请求及时响应六个方面。数据安全风险评估旨在帮助汽车企业明确数据安全风险点,为汽车数据安全管理建设和数据安全风险处置指明方向。依据监管要求和标准,通过关联已识别的数据安全风险要素,构建数据安全风险矩阵,对业务场景下的数据安全风险进行定性或定量分析,开展数据安全风险评估活动。另外,也要采取风险处置措施,检验风险处置措施的效率和策略的有效性,并持续改进。数据安全领域三部上位法初步确立了以安全评估制度为核心的数据出境基本原则。在此基础上2022年7月7日国家互联网信息办公室发布《数据出境安全评估办法》。汽车企业应尽早梳理企业数据出境活动和场景。根据梳理结果情形,研判本企业适用的数据出境路径。如有数据出境的需求,应尽早着手准备数据出境安全评估工作,我们梳理了数据出境安全评估的流程供参考。《汽车数据安全若干问题合规实践指南》的编写得到了律所、汽车主机厂、汽车供应商和安全厂商的广泛支持和帮助,再次感谢!关注公众号,并在首页输入关键词“汽车合规实践指南”,即可下载《汽车数据安全若干问题合规实践指南》。往期精选1《数据安全治理实践指南(2.0)》发布2《2022年数据安全行业调研报告》发布3《数据安全产品与服务图谱(2.0)》发布4一图读懂“可信数安”评估评测
2023年1月30日
其他

证券业首家!华泰证券完成DSG金融专项三级评估

华泰证券参与中国信息通信研究院组织的首批DSG金融专项评估,成为首家达到三级(目前开放最高等级)的证券企业!同时,华泰证券积极参与行业交流,参与了数据安全推进计划《数据安全治理实践指南(2.0)》与《金融行业数据安全治理案例汇编》的编写工作,输出自身数据安全治理实践。DSG评估金融专项早在2020年,中国信息通信研究院(以下简称:中国信通院)推出了国内首个“数据安全治理能力评估”服务(以下简称:DSG评估),该服务以《数据安全治理能力评估方法》为主要依据,旨在“以评促建”,帮助企业度量企业数据安全治理能力现状、助力企业发现数据安全治理能力不足、指明企业数据安全治理能力提升路径、促进行业数据安全治理能力发展。
2023年1月16日
其他

稳!中移信息完成中国信通院DSG三级评估

2023年1月5日,由中国信息通信研究院、中国通信标准化协会联合主办的“第二届数据安全治理峰会”于线上成功召开,超5万人次在线参会。会上发布了数据安全治理能力评估服务(以下简称:DSG评估)的最新结果,中移信息顺利通过中国信通院DSG评估第三级(全面治理级)。中移信息完成中国信通院DSG三级评估企业简介中移信息技术有限公司(以下简称“中移信息”)作为中国移动通信集团的数据中台,牵头制定大数据发展规划,统筹数据整合与数据安全治理。中移信息负责安全治理体系、安全制度体系、安全能力规划、安全人员培养等体系的建设与落实,从成立以来一直致力于推动大数据环境下数据安全能力的发展。参评情况为不断提高中移信息对用户数据、业务数据等数据的安全保障能力,中移信息引进DSG评估,从15个能力域全面评估中移信息在组织、制度、技术、人员方面的能力情况,并通过DSG评估三级能力要求。在数据安全组织架构建设方面,中移信息设立安全管理中心,负责统筹安全规划、建设安全平台、监督安全工作、考核执行情况。各个业务部门依据安全管理中心的要求,设立专人专岗负责数据安全管理、安全审计、系统管理及应用管理。在制度流程建设方面,中移信息依据法律法规、监管要求、行业要求、业务数据安全需求和数据安全风险控制需求等进行梳理,确定数据安全防护的目标、管理策略及具体的标准、规范、制度等,实现定责到人的管理机制。针对各个领域的安全管控要求,制定了安全制度和流程规范,并建立制度汇编模块展示公司的总体制度建设,全体人员可查阅。在技术防护体系建设方面,中移信息参照数据全生命周期安全管控的理念建设安全能力平台,构建数据安全技术支撑体系。遵循对不同级别的数据进行分级管控的原则,将安全技术体系贯穿数据采集、传输、存储、使用、共享、销毁的全生命周期阶段,实现数据安全保护目标。在人员能力建设方面,中移信息每年制定安全领域的培训计划,针对数据安全各领域的前沿技术、常用产品、安全原理进行培训,对国家法律法规进行解读宣贯,确保安全岗位人员具有合格的职业素养,熟悉各类安全工具,且通过安全专家选拔考试检验队伍建设效果。DSG评估简介DSG评估是2020年中国信通院推出的国内首个评价企业整体数据安全治理能力的评估服务。该评估旨在“以评促建”,帮助企业度量数据安全治理能力现状、助力企业发现数据安全治理能力不足、指明企业数据安全治理能力提升路径、促进行业数据安全治理能力发展。DSG评估截至目前已完成4批次43家企业的DSG评估(含在线评估)工作,参评企业广泛分布于电信运营商、互联网、金融、汽车等行业领域。2023年DSG评估启动目前,2023年上半年DSG评估正式启动,欢迎相关企业积极报名参与!相关业务请咨询:张
2023年1月15日
其他

《数据安全产品与服务图谱(2.0)》正式发布,附下载链接

2023年1月5日,在第二届数据安全治理峰会上,《数据安全产品与服务图谱(2.0)》正式发布,由中国信息通信研究院云计算与大数据研究所大数据与区块链部副主任李雪妮进行解读。《数据安全产品与服务图谱》是数据安全推进计划在数据安全行业研究领域的系列研究成果,历经两轮业内专家研讨。2022年6月大数据产业峰会上发布的《数据安全产品服务图谱(1.0)》,广受业内好评与关注。为深化调研我国数据安全产品与服务市场现状,《数据安全产品与服务图谱2.0》(以下简称“图谱2.0”)征集工作于2022年8月正式启动,在原图谱框架的基础上实现了更具体系化、层次化的升级迭代,旨在进一步打通供需双方对当前主流数据安全产品与服务的认知,洞察数据安全市场的发展趋势。经过三个月的征集统计,图谱2.0合计收录116家企业的488款数据安全产品及服务信息,一方面总结数据安全产品及服务的特点、发展现状,另一方面对企业综合实力进行对照分析。调研我国数据安全产品与服务市场现状的同时,持续帮助需求方遴选优质数据安全产品服务提供方向。►►►以下为现场PPT分享实录图谱2.0工作依托大数据技术标准推进委员会(TC601)、数据安全推进计划(DSI),合计收录116家企业、488款产品服务,旨在深化数据安全产品服务调研,洞察数据安全市场发展趋势。数据安全产品服务图谱框架经过两轮专家研讨,最终面向百余家数据安全厂商开展调研工作,甄选优质数据安全产品与服务,为数据安全供需双方建立优质产品、服务共识,分析数据安全市场发展趋势。通过调研,图谱2.0现已形成全景图。同时我们对当前数据安全产品与服务的发展特点、趋势进行了观察与总结,现与大家分享。图谱2.0将数据安全产品与服务分为数据安全通用类产品、数据安全综合类产品、数据安全服务三大类别。其中,数据安全通用类产品覆盖了数据资产识别、数据风险检测、数据安全防护、数据安全监测、数据共享流通安全五大领域,数据安全综合类产品聚焦态势感知、运营运维、合规服务、大数据安全管控等方向,提供常态化、一体化的数据安全能力,数据安全服务则关注数据安全合规、数据安全能力提升等内容。根据厂商近年的经营发展、产品服务表现、生态建设等方面信息,将本次参与调研的数据安全厂商主要分为三大类型:稳健型、全面型、专精型。稳健型厂商致力于提供全方位、多样化的产品与解决方案;全面型厂商聚焦系统化、一站式的数据安全产品及服务,市场布局相对全面,产品服务分布均衡;专精型厂商成立较晚,普遍深耕数据流通安全领域,持续打造纵深竞争力。数据安全产品百花齐放,致力于构建以数据为中心的安全防御体系。根据数据安全通用类产品分布,可以发现数据安全通用类产品呈现出多层面、全方位的发展趋势,依托加密、脱敏、身份认证、访问控制、监控审计等技术,体现出主动防御的数据安全建设理念。数据安全综合类产品则通过规范化、集中化的数据安全策略,管理多样化的数据安全需求,并提供常态化、一体化的数据安全能力支撑。同时,数据安全服务持续创新,成为广大厂商布局热点。我们发现,相对传统网络安全服务,数据安全服务品类呈现多样化趋势,且更重视服务内容的多样性与质量。在服务的品类上,我们同样发现合规评估与咨询覆盖数据跨境合规、隐私合规、风险监测等重点领域,成为数据安全服务新热门。而数据分类分级逐渐独立成为服务品类,提供“平台+服务”的一体化解决方案。针对数据安全产品工具,在数据资产管理领域,数据分类分级产品的技术创新及配套服务持续升级,未来将与机器学习持续融合,持续提升数据分类分级准确性与效率;在数据风险检测领域,数据安全合规检测工具的需求旺盛,但受监管合规体系庞杂、技术成熟度有待提升等方面影响,目前市场供给不足;在数据安全防护领域,数据防泄露成为重点产品,服务分布范围广,市场竞争激烈,未来产品能力与内涵将持续升级,演变为企业级数据安全解决方案。另外,数据安全网关产品形态多样,未来将持续补齐传统安全设备的能力短板,助力数据可信安全访问。随着数据安全“左移”的概念深入人心,数据安全运营管理平台也成为平台化产品的新热门,打破单点能力边界,支持一体化的数据安全运营。此外,数据有效销毁作为数据安全与合规的“最后一公里”,但国内厂商在数据销毁工具鲜少布局,因此市场也面临更多开发空间。最后,我们将持续开展数据安全产品与服务相关调研工作,继续发挥第三方机构检验与协助监督作用,支持数据安全产品及服务厂商的的技术创新与应用,推动构建公平竞争、开放透明的数据安全市场。关注公众号,并在首页输入关键词“图谱2.0”,即可下载《数据安全产品与服务图谱(2.0)》。往期精选1《数据安全治理实践指南(2.0)》发布2《2022年数据安全行业调研报告》发布3数据安全推进计划简介!4一图读懂“可信数安”评估评测
2023年1月11日
其他

《2022年数据安全行业调研报告》正式发布,附下载链接

2023年1月5日,在第二届数据安全治理峰会上,《2022年数据安全行业调研报告》正式发布,由中国信息通信研究院云计算与大数据研究所副主任(主持工作)姜春宇进行解读。《2022年数据安全行业调研报告》是数据安全推进计划通过问卷的方式分别对数据安全需求侧与供应侧的数据安全发展现状进行调研,并形成的报告,旨在梳理数据安全行业建设现状,形成数据安全行业整体视图。根据本次调研结果,参与调研的需求侧企业均不同程度的开展了数据安全工作并制定了数据安全工作规划,供应侧厂商也认为数据安全市场前景非常广阔,并积极布局数据安全产品及服务。综合来看,我国数据安全已迈入飞速发展的关键时期,需求侧数据安全投入占比持续走高,需求量上升,在给供应侧带来发展机遇的同时,也对数据安全服务质量与产品技术能力提出了更高的要求。►►►以下为现场PPT分享实录数据作为新型的生产要素,已经成为我国数字经济发展的核心资源,也是国家级的重要资产和战略储备。为了更好的推进数据安全产业市场的发展,洞察数据安全产业发展趋势,数据安全推进计划发起了数据安全行业调研,旨在形成一个数据安全行业整体视图。本次调研共覆盖供需双侧225家企业。观察1:“监管”、“内生”并驾齐驱,企业数据安全建设主观能动性提升。89.9%的企业认为“合规需求”是安全建设的主要原因。除此之外,79.8%的企业选择了“防范数据安全风险”,69.7%的企业选择了“企业自身发展需要”。可以看出,企业数据安全的建设驱动力正在由单一合规监管转变为监管与内生的双重驱动。观察2:强化“以数据为中心”的主动防护能力。调研发现51.4%的受访企业认为“内部外环境变化,安全持续状态保障难”是数据安全的建设痛点。面对层出不穷的数据安全风险,超过一半的企业通过部署加密、脱敏等数据安全技术工具对数据本体实施保护,主动出击防范数据安全风险。观察3:加快数据安全组织架构从“有型”到“有效”的升华。数据安全涉及到信息安全、数据、法务、内审等不同的部门,还涉及到各个业务领域,所以48.6%的受访企业认为“数据业务紧耦合,组织内部的协作、拉通困难大”也是痛点问题之一。观察4:以“识别”为中心,多措并举全面布局数据安全纵深防御体系。“数据防泄露”、“统一身份认证及权限管理工具”、“数据分类分级”等以识别为前提的技术工具在受访企业中应用程度较高。同时,调研到有63.3%的受访企业使用了5种及以上的工具落实数据安全的建设和管理。可以看到,数据安全需要进行体系化的建设。观察5:数据安全治理进入高速发展阶段,数据分类分级率先落地。76.1%的受访企业率先落地了数据安全分类分级工作。在分类分级企业里面,74.7%的企业选择了部署工具。同时,超半数以上的受访企业开展了4项以上数据安全工作。由此可见多维度、多元化数据安全治理能力建设正在飞速发展,有力推进。观察6:人才培养、合规管理、重要数据识别、风险评估关注度高。62.4%的受访企业认为“开展数据安全人员能力培训”是首要工作。企业缺乏大量数据安全相关的人才和从业者,企业极需要打造专业化、复合型安全人才梯队。同时,60.6%的受访企业认为在已有数据安全基础上,未来一年应继续“推进数据安全合规管理工作”。在企业落实监管要求的焦点问题方面,63.3%的企业认为“重要数据、核心数据等的识别与保护”是其在监管领域的焦点问题,48.6%的企业关注“数据安全风险评估实践”。观察7:数据安全供应侧企业百舸争流,呈现三大梯队。从数据安全供应侧角度来看,116家数据安全供应厂商中,18.1%的企业是专精型的,深耕数据流通领域。43.1%的企业是全面型的,聚焦系统化、一站式数据安全产品以及服务理念。26.7%的企业归类到稳健型的,致力于提供全方位、多样化产品解决方案。观察8:数据安全供应侧产品与服务蓬勃发展。数据安全产品主要集中于数据资产识别、数据风险检测、数据安全防护、数据安全监测、数据共享流通安全五个大的方向。需求侧可以通过应用、组合一种或多种数据安全技术的方式,实现“以数据为中心”的识别、检测、防护、监测等技术能力。在服务体系方面,受需求侧市场引导,供应侧的主要服务内容集中在“数据安全合规咨询服务”、“数据安全合规评估服务”、“数据安全管理体系建设服务”、“数据分类分级服务”等方面。观察9:数据分类分级产品服务持续升级,数据放泄露成防护类重点产品。在整个体系里面,数据分类分级的产品和配套服务是比较重要的。35.3%的受访厂商研发了数据分类分级工具产品,部分厂商还将数据分类分级产品与机器学习等技术相结合。13.2%的受访厂商提供了独立的数据分类分级服务。另外,数据防泄露成为安全防护领域的重点产品。需求侧67.9%的企业部署了数据防泄露产品,市场需求持续升高。22.%的受访厂商提供了超过30款数据防泄露产品及解决方案,市场竞争激烈。观察10:自动化安全合规检测工具与培训服务市场前景广阔。60.6%的需求侧受访企业将“推进数据安全合规管理工作”作为未来一年工作重点,但只有18.1%的厂商提供了数据安全合规问题检测工具,所以自动化的检测工具会成为供应侧新的领域。同时,数据安全培训服务市场空间很大,62.4%的受访企业将“开展数据安全培训”列为未来一年的重点数据安全工作,其中68.8%的受访企业计划引入第三方数据安全培训。对比供应商,仅有6.9%的受访厂商提供数据安全培训服务,市场存在较大的空白,成长空间较大。未来,建设多方联动的组织架构、建设以数据为中心的数据安全防御体系是多数企业当前工作焦点。另外长期来看,如何培养复合型数据安全人才梯队,如何将安全工作左移业务发展中,是企业未来数据安全工作点。
其他

《数据安全治理实践指南(2.0)》正式发布,附下载链接

2023年1月5日,在第二届数据安全治理峰会上,《数据安全治理实践指南(2.0)》正式发布,由中国信息通信研究院云计算与大数据研究所副所长魏凯进行解读。《数据安全治理实践指南》是数据安全推进计划在数据安全治理领域的系列研究报告,旨在梳理数据安全治理的概念内涵,探讨企业数据安全建设路线,并于2021年7月发布《数据安全治理实践指南(1.0)》版本。经过一年多的发展,企业数据安全治理取得了有效进展,同时也面临新的挑战。比如当前大部分企业的数据安全管理制度聚焦在原则、管理规定等较粗颗粒度的层面,对数据业务的下沉指导不充分,导致具体业务场景下的技术落地仍然缺乏实践指引,容易与管理要求脱节等。《指南(2.0)》依据大量行业调研和企业实践,在《指南(1.0)》的基础上优化了数据安全治理总体视图,并针对数据分类分级难落地、管理与技术易脱钩等焦点问题的建设方案进行了初步探索,进一步细化了数据安全治理实践路线。►►►以下为现场PPT分享实录我国高度重视数据安全,2021年以来,国家、行业、地方相继颁布了大量数据安全政策文件。作为数字经济健康发展的重要基石,数据安全的重要性愈发突出,数据安全治理需求愈加明显。在这个大背景下,我们持续研究数据安全治理实践方法论,帮助各行业提升数据安全治理能力。相比1.0版本,《指南(2.0)》在三方面进行了优化升级。一是提出3344数据安全治理总体视图,即3项治理目标、3层治理体系、4项治理维度、4步实践路线。二是提出全新数据安全治理理念,优化规划-建设-运营-优化的数据安全治理实践路线;三是提出数据分类分级7步建设路线。更加切合企业数据安全治理建设实际需要,同时也分析了企业数据安全治理最为关注的热点问题。《指南2.0》延续了对数据安全治理概念的理解,从组织内部来看,数据安全治理是指在组织数据安全战略的指导下,为确保组织数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力,内外部相关方协作实施的一系列活动集合。由此,梳理出数据安全治理的三个要点:一是“以数据为中心”,二是“多元化主体共同参与”,三是“兼顾发展与安全”。《指南2.0》依据《数据安全治理能力评估方法》和大量的数据安全治理能力评估实践工作,提炼出3344数据安全治理总体视图:即3项治理目标、3层治理体系、4项治理维度、4步实践路线,用以描绘数据安全治理的建设蓝图和实践路线。数据安全治理目标是组织数据安全治理工作开展的前进方向。数据安全治理工作有三大目标:满足合规要求是底线,管理数据安全风险是需要解决的重要问题,促进数据开发利用则是确保数据安全与业务发展的双向促进。数据安全治理体系是组织达成数据安全治理目标需要具备的能力框架,组织应围绕该体系进行建设。本指南中的数据安全治理体系是一个三层架构,分别包括数据安全战略层、数据全生命周期安全层和基础安全层。数据安全治理维度包括组织架构、制度体系、技术工具和人员能力四个方面,,以解决“谁来干”、“怎么干”、“干的如何”、“有没有能力干”等关键问题。在数据安全治理实践路线上,本指南从大量企业数据安全治理实践经验中提炼出“全局体系规划,场景有序落地,运营持续加强,评估助力优化”的数据安全治理实践理念,并进一步丰富形成“规划—建设—运营—优化”的闭环路线。数据安全治理实践的第一步是全局体系规划,在该阶段主要确定组织数据安全治理工作的总体定位和愿景,根据组织整体发展战略内容,结合实际情况进行现状分析,制定数据安全规划,并对规划进行充分论证。第二步是场景落地建设。为了快速响应不同业务场景下不同的数据安全策略要求,本指南提出场景化的建设思路。一般来说,可以从数据全生命周期和业务运行环境两个角度对场景进行划分。企业通过逐个场景的数据安全建设,最终推动数据安全治理体系在组织内的全面落地。数据分类分级作为最为关键的场景,是数据安全工作的桥头堡和必选题。针对这一特定场景,本指南结合行业实践,进一步细化了分类分级建设过程,提出了分类分级7步走的建设思路。完成数据安全治理体系建设之后,还需要进行数据安全治理的持续运营,打通各环节的建设内容,促进整个体系的良性发展。运营工作覆盖事前-事中-事后,包括风险防范、监控预警和应急处理三方面。如何评价数据安全治理成效,并实现治理体系的优化改进是组织在数据安全治理能力建设过程中面临的重要问题。一般来说,可以从内部评估和第三方评估两个维度入手。第三方评估方面,中国信通院推出了国内首个数据安全治理能力评估服务,经过两年的积累,已经完成4批43家企业的数据评估,帮助企业实现了数据安全治理体系的优化。展望数据安全治理的发展,我们认为有以下几大趋势:一是政策引领与战略自驱齐头并进,推进数据安全治理不断深入;二是数据驱动的业务发展,激励数据安全治理组织从“有型”到“有效”;三是数据安全风险治理能力的建设与提升,将成为数据安全治理的重要组成;四是第三方数据安全评估认证作为提升数据安全治理能力的主要抓手,将被更多行业组织引入。《指南2.0》在编写过程中,得到了各行业组织的广泛支持和帮助,再次感谢!关注公众号,并在首页输入关键词“实践指南2.0”,即可下载《数据安全治理实践指南(2.0)》。
其他

超300家 | 数据安全推进计划第七批成员名单公布

2021年9月1日,中国信息通信研究院(以下简称“中国信通院”)正式发起“数据安全推进计划”(Data
2022年11月3日
其他

数安智库 | 隐私工程:从法律到研发工程

27550)在考虑了各国有关机构关于隐私工程的原则、概念以及ISO关于隐私、安全以及系统软件工程的标准后所制定,指导企业在系统工程实践中引入隐私工程。ISO27550是建立在ISO/IEC/IEEE
2022年9月19日
其他

数据安全推进计划第六批成员名单公布!

2021年9月1日,中国信息通信研究院(以下简称“中国信通院”)正式发起“数据安全推进计划”(Data
2022年8月24日
其他

《数据安全产品与服务图谱2.0》申报正式启动

为进一步调研我国数据安全产品与服务市场现状,持续帮助需求方遴选优质数据安全产品服务,不断推动供应方开展数据安全产品服务前瞻预研,标齐供需双方对数据安全产品服务的认知,洞察数据安全市场的未来趋势,数据安全推进计划(DSI)联合中国通信标准化协会大数据技术标准推进委员会(CCSA
2022年8月19日
其他

一图读懂“可信数安”评估评测

第二批“可信数安”评估评测已经启动,欢迎报名参与!报名时间:即日起至2022年9月30日评测周期:2022年7月-10月专家评审:2022年11月中旬证书颁发:2022年12月
2022年7月19日
其他

数据安全推进计划第五批名单正式公布!

2021年9月1日,中国信息通信研究院(以下简称“中国信通院”)正式发起“数据安全推进计划”(Data
其他

重磅!《数据安全产品与服务图谱1.0》正式发布

2022年6月28日上午,中国信息通信研究院(以下简称“中国信通院”)联合中国通信标准化协会在京召开了2022大数据产业峰会。会上中国信息通信研究院云计算与大数据所大数据与区块链部副主任李雪妮正式发布《数据安全产品与服务图谱1.0》,并对基本内容进行了解读。《数据安全产品与服务图谱1.0》(以下简称“图谱1.0”)由数据安全推进计划(DSI)联合中国通信标准化协会大数据技术标准推进委员会(CCSA
2022年6月30日
其他

第四批名单公布!数据安全推进计划成员单位超200家

2021年9月1日,中国信息通信研究院(以下简称“中国信通院”)正式发起“数据安全推进计划”(Data