为指导行业数据安全治理能力建设,促进行业数据安全治理能力发展,依据中国通信标准化协会大数据技术标准推进委员会BDC 91-2022《数据安全治理能力评估方法》,梳理数据安全治理概念内涵,本指南认为应该从广义和狭义两个角度进行理解。
狭义地说,数据安全治理是指在组织数据安全战略的指导下,为确保组织数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力,内外部相关方协作实施的一系列活动集合。包括建立组织数据安全治理组织架构,制定数据安全制度规范,构建数据安全技术体系,建设数据安全人才梯队等。
广义地说,数据安全治理是在国家数据安全战略的指导下,为形成全社会共同维护数据安全保障、促进开发利用和产业发展的良好环境,国家有关部门、行业组织、科研机构、企业、个人共同参与和实施的一系列活动集合。包括完善相关政策法规,推动政策法规落地,建设与实施标准体系,研发并应用关键技术,培养专业人才等。
(1)以数据为中心
数据的高效开发和利用,涵盖了数据的采集、传输、存储、使用、共享、销毁等全生命周期的各个环节,不同环节的特性不同,都面临丰富多样的数据安全威胁与风险。因此,必须构建以数据为中心的数据安全治理体系,以数据管理为基础,根据具体的业务场景和各生命周期环节,有针对性地识别并解决其中存在的数据安全问题,防范数据安全风险。
(2)多元化主体共同参与
无论是从广义还是狭义的角度出发,数据安全治理不是仅仅依靠一方力量可以开展的工作。对国家和社会而言,面对数据安全领域的诸多挑战,政府、企业、行业组织、甚至个人都需要发挥各自优势,紧密配合,承担数据安全治理主体责任,共同营造适应数字经济时代要求的协同治理模式。这也与《中华人民共和国数据安全法》(以下简称《数据安全法》)中强调建立各方共同参与的工作机制相一致。对组织机构而言,数据安全治理需要从组织战略层面出发,协调管理层、执行层等相关方,打通不同部门之间的沟通障碍,统一内部数据安全共识,实现数据安全防护建设一盘棋。因此,数据安全治理必然是涉及多元化主体共同参与的工作。
(3)兼顾发展与安全
随着国内数字化建设的快速推进,无论是政府部门,还是其他组织均沉淀了大量的数据。数字经济时代的应用场景下,数据只有在流动中才能充分发挥其价值,而数据流动又必须以保障数据安全为前提,因此,必须要辩证的看待数据安全治理。正如《数据安全法》提出的“坚持以数据开发利用和产业发展促进数据安全,同时也要以数据安全保障数据开发利用和产业发展。”数据安全治理不是强调数据的绝对安全,而是需要兼顾发展与安全的平衡。
本指南结合前期大量调研和数据安全治理能力评估实践,依据中国通信标准化协会大数据技术标准推进委员会BDC 91-2022《数据安全治理能力评估方法》,提炼出一套行之有效的数据安全治理总体视图,用以描绘数据安全治理的建设蓝图和实践路线,如图1所示。
图 1 数据安全治理总体视图
数据安全治理目标是组织数据安全治理工作开展的前进方向。本指南认为其主要包括满足合规要求、管理数据安全风险、促进数据开发利用三方面。
满足合规要求。逐渐细化的数据安全监管要求,为组织数据安全合规工作的推进提出了更高的要求。及时发现合规差距,协助组织履行数据安全责任义务,为业务的稳定运行和规范化开展筑牢根基是数据安全治理工作的首要目标。
管理数据安全风险。不断产出的海量数据在动态实时流转过程中,面临着较大的风险暴露面,数据安全威胁及带来的影响与日俱增。叠加数据安全边界较为模糊、数据安全基础不够强韧等问题,组织数据安全风险的有效管理必然是数据安全治理的重要使命。
促进数据开发利用。数字经济的高速发展离不开数据价值的充分释放,数据安全则是保障数据价值释放的重要基石。数据安全治理通过体系化的建设,完善组织的合规管理和风险管理工作机制,提升数据安全保护水平,促进数据的开发利用。
数据安全治理体系是组织达成数据安全治理目标需要具备的能力框架,组织应围绕该体系进行建设。本指南提出的数据安全治理体系是一个三层架构,分别包括数据安全战略层、数据全生命周期安全层和基础安全层。
数据安全战略层是推进数据安全治理工作开展的战略保障模块,要求组织在启动各项工作前,应制定相应的战略规划。数据安全战略从数据安全规划、机构人员管理两方面入手,前者确立目标任务,后者组建治理团队。
数据全生命周期安全层是评估组织数据安全合规及风险管理等工作下沉至各业务场景能力水平的重要模块。要求组织以采集、传输、存储、使用、共享、销毁等环节为切入点,设置管控点和管理流程,保障数据安全。具体来说包括:
数据采集安全是指根据组织对数据采集的安全要求,建立数据采集安全管理措施和安全防护措施,规范数据采集相关的流程,从而保证数据采集的合法、合规、正当和诚信。
数据传输安全是指根据组织对内和对外的数据传输需求,建立不同的数据加密保护策略和安全防护措施,防止传输过程中的数据泄露等风险。
数据存储安全是指根据组织内部数据存储安全要求,提供有效的技术和管理手段,防止对存储介质的不当使用而可能引发的数据泄露风险,并规范数据存储的冗余管理流程,保障数据可用性,实现对数据存储安全有效安全控制。
数据使用安全是指根据数据使用过程面临的安全风险,建立有效的数据使用安全管控措施和数据处理环境的安全保护机制,防止数据处理过程的数据泄露等风险。
数据共享安全是指根据组织对外提供或交换数据的需求,建立有效的数据交换的安全防护措施,以降低数据共享场景下的安全风险。
数据销毁安全是指通过制定数据销毁机制,实现有效的数据销毁管控,防止因对存储介质中的数据进行恢复而导致的数据泄露风险。
基础安全层作为数据全生命周期安全能力建设的基本支撑模块,可以在多个生命周期环节内复用,是整个数据安全治理体系建设的通用要求,能够实现建设资源的有效整合。具体来说包括:
数据分类分级是指根据法律法规以及业务需求,明确组织内部的数据分类分级原则及方法,并对数据进行分类分级标识,以实现差异化的数据安全管理。
合规管理是指根据组织内部的业务需求和业务开展场景,明确相关法律法规要求,通过制定管理措施降低组织面临的合规风险。
合作方管理是指通过建立组织的合作方管理机制,防范组织对外合作中的数据安全风险。
监控审计是指通过建立监控及审计的工作机制,有效防范不正当的数据访问和操作行为,降低数据全生命周期未授权访问、数据滥用、数据泄露等安全风险。
身份认证与访问控制是指根据组织的安全合规要求,建立用户身份认证和访问控制管理机制,防止对数据的未授权访问风险。
安全风险分析是指根据组织的业务场景建立数据安全风险分析体系,有效应对组织内数据和业务的安全风险,将风险控制在可接受的水平,最大限度的保障数据安全。
安全事件应急是指通过建立数据安全应急响应体系,确保在发生数据安全事件后能够及时止损,保障业务的安全和稳定运行,最大程度降低数据安全事件带来的影响。
数据安全治理体系给出了组织数据安全治理的建设框架,如何将整套框架切实应用于建设过程,离不开实践路线的绘制。本指南基于行业发展现状,提炼出“全局体系规划,场景有序落地,运营持续加强,评估助力优化”的数据安全治理实践理念,并进一步丰富形成“规划—建设—运营—优化”的闭环路线,用以指导各行业组织数据安全治理工作的落地推进。该实践路线将在接下来的文章中展开论述。
免责申明:
本文系转载,版权归原作者所有,如若侵权请联系我们进行删除!
《数据治理行业实践白皮书》下载地址:https://fs80.cn/4w2atu
《数栈V6.0产品白皮书》下载地址:https://fs80.cn/cw0iw1
想了解或咨询更多有关袋鼠云大数据产品、行业解决方案、客户案例的朋友,浏览袋鼠云官网:https://www.dtstack.com/?src=bbs
同时,欢迎对大数据开源项目有兴趣的同学加入「袋鼠云开源框架钉钉技术群」,交流最新开源技术信息,群号码:30537511,项目地址:https://github.com/DTStack
数据安全治理怎么做,看这篇文章就够了 
181
0
