数据安全治理实践指南（1.0）

日前，在2021中国互联网大会——数据治理高峰论坛上，中国信通院发布了《数据安全治理实践指南（1.0）》（以下简称“指南”）。

 

由于数据本身具有流动性、多样性、可复制性等不同于传统生产要素的特性，数据安全风险在数字经济时代被不断放大，因此对数据安全治理的要求也越来越高。如何协调政府、行业、企业、个人等多元主体，形成协同共治机制？如何平衡数据开发利用和数据安全保护，实现发展与安全的齐头并进？如何构建覆盖数据全生命周期安全的治理框架？如何在各组织中落实数据安全治理的具体要求？这些都是当前数据安全治理面临的重要问题。

 

本指南参考数据安全领域的相关标准，重点以中国互联网协会T/ISC-0011-2021《数据安全治理能力评估方法》为基础，阐述了数据安全治理的内涵；从组织如何落实数据安全治理要求的角度出发，提出数据安全治理总体视图；按照数据安全治理目标、治理框架、治理实践路径分别提出落地建议，并对未来发展进行展望。此外，指南还收录了部分企业开展数据安全治理的实践经验。

 

数据安全治理目标：合规保障是组织数据安全治理的底线要求，风险管理是数据安全治理需要解决的重要问题。数字经济时代，数据的流通交易才能最大限度释放数据价值。因此，数据安全治理的目标是在合规保障及风险管理的前提下，实现数据的开发利用，保障业务的持续健康发展，确保数据安全与业务发展的双向促进。

 

 

数据安全治理参考框架：数据安全是数据安全治理的目标对象，参考框架是数据安全治理的参照对象。组织可以通过持续构建参照对象，实现对目标对象的有效管理。

 

 

数据安全治理实践路线：围绕上述数据安全治理参考框架，按照治理规划、建设、运营、成效评估的实践路线，结合业务发展需要，从现状分析入手，结合组织架构、制度流程、技术工具、人员能力体系建设，构建相适应的数据安全治理能力，并针对风险防范、监控预警、应急处理等内容形成一套持续化运营机制，再根据成效评估进行改进，以保障整个实践过程的持续性建设。

 

 

 

数据应用场景和参与主体的日益多样化，使得数据安全的外延不断扩展。对国家而言，数据是国家基础性战略资源，加强数据安全治理已成为维护国家安全的战略需要，对组织而言，数据是重要的商业资源，加强数据安全治理已成为其重构竞争力的必要手段。

 

未来一段时间内，数据安全治理将围绕以下两个核心展开：一是促进数据安全治理实践的“行业化”和“场景化”。由于不同行业、不同场景面临的数据安全风险与潜在威胁不尽相同，因此需要有针对性的开展数据安全治理；二是探索数据安全治理从“离散”到“体系”的演进路线。数据安全问题由来已久，且愈演愈烈，“离散”的补丁式解决方法已经不能完全适应企业当前的发展需要。

 

具体内容如下 
 

 

 

来源：数字时代工作室