数据安全治理实践指南(3.0).docx
《数据安全治理实践指南(3.0).docx》由会员分享,可在线阅读,更多相关《数据安全治理实践指南(3.0).docx(52页珍藏版)》请在课桌文档上搜索。
1、目录一、数据安全治理概述1(一)数据安全治理概念内涵1(二)数据安全治理原则21 .以数据为中心22 .多元化主体共同参与23 .兼顾发展与安全3二、数据安全治理总体视图4(一)数据安全治理目标4(二)数据安全治理体系51 .基于数据全生命周期视角52 .基于工作内容分工视角8(三)数据安全治理维度91.组织架构92制度流程123 .技术工具154 .人员能力17(四)数据安全治理专项19(五)数据安全治理实践19三、数据安全治理实践路线20(一)全局数据安全体系规划201.现状分析202 .方案规划213 .方案论证23(二)数据安全场景有序建设231 .全面梳理业务场景242 .确定业务场
2、景治理优先级273 .评估业务场景数据安全风险284 .制定并实施业务场景解决方案285 .完善业务场景操作规范28(三)数据安全运营持续加强281 .从运营对象的角度292 .从管控流程的角度31(四)数据安全评估助力优化341 .内部雨古342 .第三方由古35四、数据安全治理专项开展思路36(一)数据分类分级专项361 .建立组织保障362 .进行数据资源梳理373 .明确分类分级方法、策略384 .完成数据分类385 .逐类完成定级406 .形成分类分级目录417 .制定数据安全策略41(二)数据安全风险评估及治理专项421 .数据安全风险评估422 .数据安全风险治理44(三)个人信
3、息保护专项451 .个人信息采集风险452 .个人信息存储风险463 .个人信息使用风险464 .组织管理风险46(四)合作方数据安全管理专项461 .数据合作方识别472 .数据合作方安全评估47(五)数据出境安全评估专项481 .判断是否适用数据出境安全评估492 .明确需要数据出境安全评估的场景493 .准备各项申报材料50五、数据安全治理总结与展望51一、数据安全治理概述发展数字经济、加快培育发展数据要素市场,必须把保障数据安全放在突出位置。这就要求我们着力解决数据安全领域的突出问题,有效提升数据安全治理能力。随着数据安全监管要求逐渐落地,组织数据安全治理动力明显攀升,数据安全技术及服
4、务供给不断释放。整体来看,数据安全治理进入快速发展阶段。本章将解析数据安全治理概念内涵,分析数据安全治理原则。(一)数据安全治理概念内涵为指导行业数据安全治理能力建设,促进行业数据安全治理能力发展,依据中国通信标准化协会大数据技术标准推进委员会BDC91-2022数据安全治理能力评估方法,梳理数据安全治理概念内涵,本指南认为应该从广义和狭义两个角度进行理解。狭义地说,数据安全治理是指在组织数据安全战略的指导下,为确保组织数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力,内外部相关方协作实施的一系列活动集合。包括建立数据安全治理组织架构,制定数据安全制度规范,构建数据安全技术体系
5、,建设数据安全人才梯队等。广义地说,数据安全治理是在国家数据安全战略的指导下,为形成全社会共同维护数据安全、促进开发利用和产业发展的良好环境,国家有关部门、行业组织、科研机构、企业、个人共同参与和实施的一系列活动集合。包括完善相关政策法规,推动政策法规落地,建设实施标准体系,研发应用关键技术,培养专业人才等。(二)数据安全治理原则1 .以数据为中心数据的高效开发和利用,涵盖了数据的采集、传输、存储、使用、共享、销毁等全生命周期的各个环节,不同环节的特性不同,都面临丰富多样的数据安全威胁与风险。因此,必须构建以数据为中心的数据安全治理体系,根据具体的业务场景和各生命周期环节,有针对性地识别并解决
6、其中存在的数据安全问题,防范数据安全风险。2 .多元化主体共同参与无论是从广义还是狭义的角度出发,数据安全治理不是仅仅依靠一方力量可以开展的工作。对国家和社会而言,面对数据安全领域的诸多挑战,政府、企业、行业组织、甚至个人都需要发挥各自优势,紧密配合,承担数据安全治理主体责任,共同营造适应数字经济时代要求的协同治理模式。这也与中华人民共和国数据安全法(以下简称数据安全法)中强调建立各方共同参与的工作机制相一致。对组织机构而言,数据安全治理需要从组织战略层面出发,协调管理层、执行层等相关方,打通不同部门之间的沟通障碍,统一内部数据安全共识,实现数据安全防护建设一盘棋。因此,数据安全治理必然是涉及
7、多元化主体共同参与的工作。3 .兼顾发展与安全随着国内数字化建设的快速推进,无论是政府部门,还是其他组织均沉淀了大量的数据。数字经济时代的应用场景下,数据只有在流动中才能充分发挥其价值,而数据流动又必须以保障数据安全为前提,因此,必须要辩证看待数据安全治理。正如数据安全法提出的“坚持以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展。”数据安全治理不是强调数据的绝对安全,而是需要兼顾发展与安全的平衡。二、数据安全治理总体视图本指南结合前期大量调研和数据安全治理能力评估实践,依据中国通信标准化协会大数据技术标准推进委员会BDC91-2022数据安全治理能力评估方法,提炼出
8、一套行之有效的数据安全治理总体视图,用以描绘数据安全治理的建设蓝图和实践路线,如图1所示。图1数据安全治理总体视图(一)数据安全治理目标数据安全治理目标是组织数据安全治理工作开展的前进方向。本指南认为其主要包括满足合规要求、治理数据安全风险、促进数据开发利用三方面。满足合规要求。逐渐细化的数据安全监管要求,为组织数据安全合规工作的推进提出了更高的要求。及时发现合规差距,协助组织履行数据安全责任义务,为业务的稳定运行和规范化开展筑牢根基是数据安全治理工作的首要目标。治理数据安全风险。不断产出的海量数据在动态实时流转过程中,面临着较大的风险暴露面,数据安全威胁及带来的影响与日俱增。叠加数据安全边界
9、较为模糊、数据安全基础不够强韧等问题,组织数据安全风险的有效治理必然是数据安全治理的重要使命。促进数据开发利用。数字经济的高速发展离不开数据价值的充分释放,数据安全则是保障数据价值释放的重要基石。数据安全治理通过体系化的建设,完善组织的合规管理和风险管理工作机制,提升数据安全保护水平,促进数据的开发利用。(二)数据安全治理体系数据安全治理体系是组织达成数据安全治理目标需要具备的能力框架,组织应该围绕该体系进行建设。本指南依据BDC91-2022数据安全治理能力评估方法,基于数据全生命周期视角提出了一个三层架构,同时基于该三层架构在实践中的工作分工,演化出管理、技术、运营三类工作内容。1.基于数
10、据全生命周期视角数据安全治理体系的三层框架包括数据安全战略层、数据全生命周期安全层和基础安全层,其中:数据安全战略层是推进数据安全治理工作开展的战略保障模块,要求组织在启动各项工作前,应制定相应的战略规划。数据安全战略从数据安全规划、机构人员管理两方面入手,前者确立目标任务,后者组建治理团队。 数据安全规划要求根据国家政策、组织业务发展需要以及数据安全需求等多方面因素明确组织整体数据安全规划。 机构人员管理要求建立负责组织内部数据安全工作的部门、岗位和人员,并与人力资源管理部门进行联动,防范机构人员管理过程中存在的数据安全风险。数据全生命周期安全层是评估组织数据安全合规及风险管理等工作下沉至各
11、业务场景能力水平的重要模块。要求组织以采集、传输、存储、使用、共享、销毁等环节为切入点,设置管控点和管理流程,保障数据安全。具体来说包括: 数据采集安全是指根据组织对数据采集的安全要求,建立数据采集安全管理措施和安全防护措施,规范数据采集相关流程,从而保证数据采集的合法、合规、正当和诚信。 数据传输安全是指根据组织对内和对外的数据传输需求,建立不同的数据加密保护策略和安全防护措施,防止传输过程中的数据泄露等风险。 数据存储安全是指根据组织内部数据存储安全要求,提供有效的技术和管理手段,防止对存储介质的不当使用而可能引发的数据泄露风险,并规范数据存储的冗余管理流程,保障数据可用性,实现数据存储安
12、全。 数据使用安全是指根据数据使用过程面临的安全风险,建立有效的数据使用安全管控措施和数据处理环境的安全保护机制,防止数据处理过程的风险。 数据共享安全是指根据组织对外提供或交换数据的需求,建立有效的数据交换安全防护措施,降低数据共享场景下的安全风险。 数据销毁安全是指通过制定数据销毁机制,实现有效的数据销毁管控,防止因对存储介质中的数据进行恢复而导致的数据泄露风险。基础安全层作为数据全生命周期安全能力建设的基本支撑模块,可以在多个生命周期环节内复用,是整个数据安全治理体系建设的通用要求,能够实现建设资源的有效整合。具体来说包括: 数据分类分级是指根据法律法规以及业务需求,明确组织内部的数据分
13、类分级原则及方法,并对数据进行分类分级标识,以实现差异化的数据安全管理。 合规管理是指根据组织内部的业务需求和业务开展场景,明确相关法律法规要求,通过制定管理措施降低组织面临的合规风险。 合作方管理是指通过建立组织的合作方管理机制,防范组织对外合作中的数据安全风险。 监控审计是指通过建立监控及审计的工作机制,有效防范不正当的数据访问和操作行为,降低数据全生命周期未授权访问、数据滥用、数据泄露等安全风险。 身份认证与访问控制是指根据组织的安全合规要求,建立用户身份认证和访问控制管理机制,防止对数据的未授权访问。 安全风险分析是指根据组织的业务场景建立数据安全风险分析体系,将风险控制在可接受的水平
14、,最大限度的保障数据安全。 安全事件应急是指通过建立数据安全应急响应体系,确保在发生数据安全事件后能够及时止损,保障业务的安全和稳定运行,最大程度降低数据安全事件带来的影响。2.基于工作内容分工视角上述三层框架在组织内部落地实践过程,涉及到多方面的工作,根据组织内常见的工作划分,我们按照管理、技术、运营三类的工作内容进行演化,生成基于工作内容的数据安全治理体系视角,其中:管理类工作涉及组织架构、制度流程、人员管理等三方面工作,是数据安全治理体系在组织内运作的基石,主要负责协调、整合及优化各种资源,最终实现数据安全治理目标。更详细的内容可以参考“(三)数据安全治理维度”。技术类工作涉及基础通用类
15、、生命周期类、平台类技术的策略配置、技术实现等,主要为管理类工作的落地提供技术支撑,是数据安全的直接保障。具体的技术工作将在“(三)数据安全治理维度”进行描述。运营类工作可以从运营对象、管控流程两个维度切入实现,主要承担优化数据安全工作流程,及时持续的为数据安全决策提供有价值的信息和洞察。更详细的内容将在第三章进行阐述。(三)数据安全治理维度以数据安全治理目标为指引,围绕数据安全治理体系框架,可以从组织架构、制度体系、技术工具和人员能力四个维度开展治理能力建设工作,以解决雌来干“、怎么干”、干的如何、“有没有能力干,等关键问题。1.组织架构数据安全组织架构是数据安全治理体系建设的前提条件。通过
16、建立专门的数据安全组织,落实数据安全管理责任,确保数据安全相关工作能够持续稳定的贯彻执行。同时,因数据安全治理是一项多元化主体共同参与的复杂工作,明确的组织架构有助于划分各参与主体的数据安全权责边界,促进协同机制的建立,实现组织数据安全治理一盘棋。在一个组织内部,安全部门、合规部门、风控部门、内审部门、业务部门、人力部门等都需要参与到数据安全治理的具体工作中,相互协同,共同保障组织的数据安全。一种较为典型的数据安全治理组织架构一般由决策层、管理层、执行层与监督层构成,如图2所示,各层之间通过定期会议沟通等工作机制实现紧密合作、相互协同。决策层指导管理层工作的开展,并听取管理层关于工作情况和重大
17、事项等的汇报,一般以虚拟组织的形式存在,如数据安全领导小组,该小组通常由组织的高层领导及相关部门负责人共同构成,主要负责对数据安全的重大事项进行统筹决策,主要职责包括:来源:数据安全推进计划图2数据安全治理组织架构示例 制定数据安全整体目标和发展规划; 发布数据安全管理制度及规范; 提供数据安全规划、设计、建设、实施、运营等全过程的资源保障; 重大数据安全事件协调与决策。管理层则对执行层提出数据安全管理要求,并听取执行层关于数据安全执行情况和重大事项的汇报,形成管理闭环,一般由安全部门或数据部门牵头,负责数据安全的管理、建设、宣贯等工作,主要职责包括: 制定数据安全管理制度及规范; 制定数据安
18、全工作在各层级的运行机制,保障数据安全工作的顺利运营; 推进数据安全风险评估、数据出境安全评估等专项工作的开展; 推进数据安全意识培训、安全技能提升、安全技术考核等工作; 负责与国家数据安全相关监管部门及行业组织的协调沟通。执行层一般由业务部门、技术部门等构成,负责执行或支撑各项数据安全管理要求的贯彻落实,主要职责包括: 负责依据国家法律法规、政策文件、标准规范及企业相关数据安全管理要求,合理开展工作; 负责制定本部门相关业务场景下的数据安全实施细则; 负责按照要求构建数据安全建设的技术支撑能力,助力管理要求落地; 负责反馈合理的数据安全需求,促进数据安全防护工作的改进; 积极参与数据安全意识
19、培训I、能力培养及考核工作。监督层负责对管理层和执行层各自职责范围内的数据安全工作情况进行监督,并听取各方汇报,形成最终监督结论后同步汇报至决策层,一般涉及合规、风控、内审等部门,主要职责包括: 对数据安全制度及规范的执行情况进行监督; 对数据安全技术工具的落地情况进行监督; 对数据安全风险评估过程进行监督审计。各层的主要分工和构成如表1所示。因不同组织的部门设置都有较大不同,涉及到实际组织体系建设时,不同机构还需结合现有组织架构,进行适度的调整和补充。表1数据安全组织职责分工表决策层管理层执行层监督层数据安全责任组织高层领导及相关部门负责人安全部门/数据部门业务部门俵术部门/人力部门合规部门
20、/风控部门/内审部门整体建设规划牵头负责遵照执行遵照执行执行并监督组织架构调整牵头负责遵照执行遵照执行执行并监督制度流程建设意见审批牵头负责遵照执行执行并监督技术体系建设意见审批日常管理牵头负责日常监督安全要求落实意见审批日常管理牵头负责日常监督安全专项检查意见审批牵头负责遵照执行日常监督安全教育培训意见审批牵头负责遵照执行日常监督来源:数据安全推进计划2.制度流程数据安全制度流程一般会从业务数据安全需求、数据安全风险控制需要,以及法律法规合规性要求等几个方面进行梳理,最终确定数据安全防护的目标、管理策略及具体的标准、规范、程序等。数据安全管理制度文件可分为四个层面,一、二级文件作为上层的管理
21、要求,应具备科学性、合理性、完备性及普适性。三、四级文件则是对上层管理要求的细化解读,用于指导具体业务场景的具体工作。常见的制度体系如图3所示。TR文件Im安全管理的方针政策方针政策管理规定二殿文件详细的性事咯三级文件:完成工作所需的Ml各类表单、记录四级文件先成工作所I攥作手册、指南来源:数据安全推进计划图3数据安全治理制度体系示例一级文件是由决策层明确的面向组织的数据安全管理方针、政策、目标及基本原则。二级文件是由管理层根据一级文件制定的通用管理办法、制度及标准。三级文件一般由管理层、执行层根据二级管理办法确定各业务、各环节的具体操作指南、规范。四级文件属于辅助文件,是各项具体制度执行时产
22、生的过程性文档,一般包括工作计划、申请表单、审核记录、日志文件、清单列表等内容。根据图3所示的常见制度体系,围绕数据全生命周期安全要求,可以参考图4完善组织各级制度文件内容。S81居安呈堆道计外DATASECURITYINlTIATfVEtsssaM*ws*xs4Ml S3.技术工具数据安全治理体系的技术并非单一产品或平台的构建,而是结合组织自身使用场景,围绕数据全生命周期各阶段的安全要求,建立起来的与制度流程相配套的技术和工具。一种典型的数据安全治理技术体系如图5所示,由基础通用类技术、生命周期类技术、平台类技术构成。来源:数据安全推进计划图5数据安全治理技术体系基础通用类技术工具为数据全生
23、命周期的安全提供支撑: 数据分类分级相关工具平台主要实现数据资产扫描梳理、数据分类分级打标和数据分类分级管理等功能。 身份认证及访问控制相关工具平台,主要实现在数据全生命周期各环节中涉及的所有业务系统和管理平台的身份认证和权限管理。 监控审计相关工具平台接入业务系统和管理平台,实现对数据安全风险的实时监控,并能进行统一审计。 日志管理平台收集并分析所有业务系统和管理平台的日志,并统一日志规范以支持后续的风险分析和审计等工作。 安全及合规评估相关工具平台主要用于综合评估数据安全现状和合规风险。数据全生命周期安全类技术为生命周期中特定环节面临的风险提供管控技术保障。整个数据全生命周期可以通过组合或
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 数据 安全 治理 实践 指南 3.0
链接地址:https://www.desk33.com/p-1027544.html