日前,由中国计算机学会计算机安全专业委员会、中关村网络安全与信息化产业联盟、工业信息安全产业发展联盟、北京工业互联网技术创新与产业发展联盟、中国电子商会自主创新与安全技术委员会、中国信息产业商会信息安全产业分会、中国网络安全产业联盟数据安全工作委员会、中国电力发展促进会网络安全专业委员会指导,中关村网络安全与信息化产业联盟数据安全治理专业委员会、北京安华金和科技有限公司主编出品,94家产学研机构共同编撰的《数据安全治理白皮书5.0》于第六届中国数据安全治理高峰座谈会上正式发布。
一、数据安全新形势背景
近年来,我国数字经济持续快速发展,其产值占国内生产总值比重逐年高速增长,已成为推动经济增长的重要引擎。国家高度重视数据要素化市场配置改革进程,自 2022 年以来,党中央、国务院陆续印发了《“十四五”数字经济发展战略》《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》《数字中国建设整体布局规划》等一系列数字经济发展的战略性文件,我国在加快数据要素市场流通,创新数据要素开发利用机制。
但是,数据在广泛流动释放价值的同时,也面临着被窃取、泄露、篡改、破坏、滥用的巨大威胁。新形势下的数据安全风险形态也呈现多样化、复杂化特点,造成对个人、组织、社会公共利益甚至国家安全的严重威胁和损害。为规范数据处理活动,保障数据依法有序自由流动,近年来,我国数据安全相关法律法规、部门规章持续密集发布,数据安全标准化研究制定工作加速推进,相关审查、评估、认证、审计等制度陆续推出,为各行各业落实数据安全治理、增强数据安全保障能力提供了具体指引和实施参考,持续推动了数据安全的有法可依、有章可循、有标可落。
二、5.0版白皮书编写目标和导读
在上述形势背景下,组织在数据收集、存储、使用、加工、传输、提供、公开等数据处理活动过程中,针对数据安全威胁与监管合规要求,无可避免地需要面对越来越多严峻和紧迫的数据安全挑战。大家都在思考如何在数据资产的开发利用、价值实现与安全保护、履行合规义务之间进行恰当平衡?如何在数据安全方面编制合理的制度策略和选取适宜的技术措施?如何在不断创新的数据应用场景中持续保护数据安全?
为了帮助有关单位解决在开展数据安全治理时面对的众多困惑和难题,实现数据开发利用与安全防护一体两翼、平衡发展的目标,本白皮书在《数据安全治理白皮书 4.0》的基础上,根据最新进展分析当前我国数字经济战略发展与数据安全新形势新动态,厘清数据安全治理概念并诠释数据安全治理内涵,完善数据安全治理需求与框架,解读最新法律法规及标准等监管要求与技术规范,全面、系统介绍围绕数据生命周期的相关安全技术需求、安全技术工具与技术发展趋势,归纳 2022 年以来典型的数据安全事件与相关法律案件并进行分析,提出了数据安全治理的未来展望和建议。
《数据安全治理白皮书 5.0》力图尽可能体系化、完整地梳理和总结当前与数据安全治理有关的各种资料和最新进展,持续深入探索“让数据使用有序而安全”的数据安全治理方案,以实现在数据要素释放价值的同时,坚守安全底线的目标。我们希望能为数据安全运营者、建设者提供指引,为服务支持者(安全服务机构、咨询机构、律师、法务等法律工作者)提供参考,期望为进一步推广、普及和完善数据安全治理的理念、方法、体系与实践添砖加瓦、贡献力量。
整个白皮书由主册和典型行业数据安全治理实践篇构成,其中: 主册共分为五个正文章节和一个附录章节。
- 第一章 数据安全治理概念及内涵:对当前数据安全形势进行整体分析、梳理,厘清数据安全治理概念及内涵,诠释数据安全治理与相似概念的关系,梳理数据安全治理需求, 进一步完善治理愿景、目标及理念。
- 第二章 数据安全整体框架:依据数据安全治理理念,围绕以数据为中心的治理体系不断演进、深化,组织在整体安全战略指导下,形成以数据分类分级为治理基石,数据安全管理体系、技术体系与运营体系为治理核心,监督评价体系为效能促进,形成更为完善、合理、全面的治理框架,并给出治理规划建设实施路径。
- 第三章 数据安全相关法律法规解读:在数据安全治理过程中,满足监管合规要求是重要驱动力之一,重点解读数据安全相关上位法及 2022 年以来新颁布的法律法规及技术标准等监管合规要求。
- 第四章 数据安全技术需求与主流工具:安全技术措施是数据安全治理的重要支撑,通过从需求和供给两侧对数据安全技术需求和安全技术工具进行全面性、系统化梳理与介绍,并对数据安全技术的发展趋势进行简述。
- 第五章 未来展望与倡议:面对数据安全治理实践涉及的管理、技术与运营过程中的问题,短期内尚无法有效解决的,以展望与倡议的形式予以表述,供行业内人士进行探讨。
- 附录:作为本白皮书惯例,结合技术创新进一步对主流数据安全技术工具进行详述,对数据安全相关标准、国际数据安全政策法规进行介绍,并对近年以来重大数据安全事件与法律案件进行分析,为业内人士提供借鉴和参考。
三、数据安全治理理念框架
在《数据安全治理白皮书 4.0》中,基于 Gartner 的数据安全治理架构(DSG),提出并诠释了数据安全治理的愿景、目标及核心理念。伴随数据安全治理的深入,围绕“让数据使用有序而安全” 的治理愿景与“满足数据安全保护、合规性、敏感数据管理”的治理目标,面对数据安全治理的新形势、新挑战,进一步完善“个人信息保护与合理利用”的需求覆盖,突出“全员协同治理”的重要性,强调面向行业特点的“场景化安全”,健全从评估、建设、运营到监督评价的闭环治理体系。旨在持续推动数据开发利用与安全防护的一体两翼发展,并在我国易于落地的数据安全治理的体系化方法论。
(1) 满足安全合规(Compliance)、数据发展与安全(Development and Security)、个人信息合理利用与保护(Privacy)三个需求目标;
(2) 核心内容包括:数据分类分级(Classifying)、敏感个人信息识别(Identify)、风险评估(Risk Assessment)、场景化安全(Scene);
(3) 数据安全治理的建设步骤包括:组织构建、资产梳理、策略制定、过程控制、行为稽核和持续改善;
(4) 核心安全框架为数据安全人员组织(Person)、数据安全使用的策略和流程(Policy&Process)、数据安全技术支撑(Technology)。
图 1-2 数据安全治理理念
1. 数据安全治理愿景
《网络安全法》“第三十三条 建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用”,为关基信息系统安全技术措施落地应贯穿信息系统全生命周期提供依据。
《数据安全法》对数据的安全和发展在国家层面给出明确指示,“第十三条 国家统筹发展和安全,坚持以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展。”
《个人信息保护法》:“第一条 为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定本法。”
根据以上三部法律相关条款,将治理愿景更加清晰地表述为以满足数据安全和个人信息保护的合规要求为基础,尽可能发挥数据价值,促进数据安全有序流动,提高全员安全意识,更好地为建设数字中国服务,不断提高数据安全治理水平。
2. 数据安全治理目标
(1)安全合规
国家层面对数据安全和个人信息保护更加重视,国家及行业涉及数据安全相关法律法规标准持续推出与完善,安全合规要求持续增加,监管力度不断加大,监管内容不断细化,面对众多的法律法规标准条文,需要围绕管理和技术要求进行解析,寻找合规途径,落实合规措施。
法律法规是指引数据安全建设的重要依据,应对解读的安全标准和规范的合规项进行落实,形成合规库,收录并拆解各类与数据安全相关的规范、标准,为数据安全管理提供参考及评估标准, 并根据合规库中的合规项制定各类安全策略规则。
(2)数据发展与安全
数据作为新型生产要素,其强流动性是产生和释放数据价值的前提,针对数据广泛流动过程中可能产生的数据泄露、篡改、破坏、非法利用等风险,如何采取有效的防护手段,保障开发利用与安全防护的一体两翼、双轮驱动发展,促进数据有序流动是数据安全治理的关键目标。
(3)个人信息合理利用与保护
随着个人信息价值的凸显,个人信息收集乱象突出,个人信息泄露事件频发,个人信息滥用程度严重,极大地威胁了公民财产以及个人身份信息的安全,甚至危及国家安全。国家高度重视个人隐私保护,密集颁布系列法律、法规、标准保障个人信息安全。对个人信息进行有效治理,促进个人信息合理利用与保护个人隐私并重,成为又一关键目标。
3. 能力支撑框架设计
数据安全治理绝非是平地起高楼,与网络安全和数据治理既有紧密的关联性,又有面向数据的独特性,整体框架需要多体系间融合展开治理。
图 1-3 能力支撑推动数据安全治理框架设计
数据安全治理是以数据为中心,其核心思想是面向业务数据流转的动态、按需防护。
- 在防护技术上,仍需依托网络安全中面向网络、设备、应用等数据载体的静态防护能力,扩展面向数据流动的分类分级动态防护能力。
- 在安全管理上,在网络安全管理体系的基础上,补充、完善面向数据安全管理制度、策略和运营规范,形成围绕数据本身和数据载体的整体数据安全防护能力。
在与数据治理的关系方面,数据分类分级是基础,通过对数据资产的识别与梳理,与数据治理中的元数据管理进行集成打通,直接获取统一的数据标准,作为数据分类分级的资产标识,提高数据梳理准确性,避免重复工作,形成面向数据应用的数据治理体系与面向数据安全的场景化安全治理体系的融合与统一。
数据安全治理能力划分为“人员组织、策略流程、技术支撑”三个核心能力领域。
- 人员组织:建立数据安全治理团队,并明确团队中各成员的管理职责,团队组成依组织的具体情况,可以是实际存在的也可以是各部门成员组成的虚拟团队,是数据安全治理工作开展的基础资源保障。
- 策略流程:设定相关的管理制度、标准规范、管理策略及流程,并围绕策略流程,构建运营管控机制,以运营思路开展数据安全治理工作,充分考虑与网络安全管理的融合,实现“可持续化的数据安全治理能力”。
- 技术支撑:落实策略流程贯彻所涉及的数据全生命周期的数据安全防护技术建设,并融合数据治理和网络安全相关技术,形成完整的技术支撑体系。
组织内部通过专业的数据安全治理团队、明确的数据安全治理策略和流程、全面的数据安全运营机制、覆盖数据全生命周期的技术手段为支撑,围绕数据使用的业务场景活动,分析安全需求, 同时加强数据安全宣传、培训、教育,提升数据资产的体系化保障能力。
组织一方面应遵守法律法规、国家和行业标准、借鉴行业数据安全最佳实践,另一方面要积极配合国家、行业主管单位和集团的数据安全检查,健全数据安全监督评价体系,这是多元治理的重要一环。
本文摘编自中关村网络安全与信息化产业联盟数据安全治理专业委会编著《数据安全治理白皮书 5.0》,全文下载:
数据安全治理白皮书 5.0
更多标准、白皮书、报告等高质量纯净资料下载,在文末扫码关注官方微信公众号“idtzed”,进入公众号菜单“治库”,或按自动回复发送引号内关键词。
相关内容推荐和下载:
Zed案例 | 国信证券数据安全治理体系建设与实践解析
为落实数据安全保护和个人信息保护义务,国信证券开展了数据安全治理项目,以个人客户数据为切入点,建设数据安全治理体系,对数据资产开展分类分级管理、风险评估以及落地整改。
数治实践:场景化五步走路线 带你手把手落地数据安全治理
本指南优化了数据安全治理总体视图,并针对数据分类分级难落地、管理与技术易脱钩等焦点问题的建设方案进行了初步探索,进一步细化了数据安全治理实践路线。
数治长文:数据安全治理从概念到落实?策略、模型、管理及运营四面全要
本文从典型技术架构、治理平台逐步展开,论述了其设计思路和理念,再从标准安全产品延伸、创新安全场景驱动分别切入,探索易落地的数据安全治理模型和体系。