从框架分析入手开展数据安全的复合治理模式

数据非法贩卖、数据滥用、敏感数据泄露等数据安全风险持续加剧，数据安全形势空前严峻，提高数据安全治理能力迫在眉睫，组织需要新形势下能够有效落地的数据安全治理体系。

在数字产业化和产业数字化浪潮中，数据安全产业作为新兴数字产业为产业数字化提供有力支撑，是数字经济高质量发展的关键保障。目前，我国数据安全产业系列工作正在有序推进，相关政策及配套文件正在加紧制定。数据安全治理作为一项体系化工程是夯实产业基础的重要手段，而高水平的治理能力则是产业高质量发展的重要体现。

近年来，数据非法贩卖、数据滥用、敏感数据泄露等数据安全风险持续加剧，数据安全形势空前严峻，提高数据安全治理能力迫在眉睫，组织需要新形势下能够有效落地的数据安全治理体系。

本白皮书从组织建设数据安全治理体系的视角出发，通过对法律法规、标准规范、数据安全治理发展现状等进行充分调研和分析，并结合有关组织的实践经验，总结提出了帮助组织更好实现数据安全治理有效落地的数据安全复合治理模式。

1. 国内外数据安全治理框架

1.1 微软 DGPC 框架

1.1.1 框架介绍

DGPC 框架（Data Governance for Privacy, Confidentiality and Compliance）由微软于 2010 年提出，该框架由组织的人员、流程和技术三个核心领域组成。

人员领域。首先需要建立由组织内部人员组成的 DGPC 团队，并明确人员角色与职责划分，负责对数据分类、保护、使用和管理过程中的原则、策略和流程步骤等进行定义。
流程领域。组织需要依赖 DGPC 团队对流程进行清晰定义。首先，需要从各类权威文件（如法律、法规、标准、组织政策与战略文件等）梳理分析组织必须满足的各类要求，形成合规要求集合。然后，定义相应的指导原则和策略以满足这些合规要求。最后，识别和分析数据流转中的数据安全、隐私和合规风险，并根据风险控制目标采取必要的安全控制措施。
技术领域。微软围绕 DGPC 框架开发了一套特定的数据流分析方法，围绕数据生命周期、核心技术领域、数据隐私和机密性原则三个核心元素构建。

1.1.2 框架分析

DGPC 框架提供了一种以隐私、机密性和合规为目标的数据安全治理框架，以数据生命周期和核心技术领域为重点关注点，基于威胁建模与风险评估的方法，对组织如何实施数据安全治理进行了概要阐述。DGPC 主要是从方法论层面明确数据安全治理的目标，缺少对在数据生命周期各环节落实数据安全治理措施的详细说明。

1.2 Gartner 数据安全治理框架 DSG

1.2.1 框架介绍

2015 年，Gartner 提出了数据安全治理（DSG, Data Security Governance）概念，并从方法论的角度阐述了数据安全治理的框架。如图 1 所示，DSG 框架从上到下主要包括五个部分，即平衡业务需求与风险、数据梳理和数据生命周期管理、定义数据安全策略、部署安全能力与产品、策略配置与同步。

图 1 Gartner DSG 框架示意

平衡业务需求与风险。综合分析组织的经营策略、治理、合规、IT 策略和风险容忍度，制定符合组织经营发展与风险管控需求的数据安全治理策略。
数据梳理和数据生命周期管理。对数据获取、存储、分析、演变、归档、销毁等全生命周期的数据进行识别、分类与分级，并关注不同环节的安全风险点。
定义数据安全策略。从两个方面定义组织的数据安全策略，一是明确数据保护的对象、所涉及人员与访问行为，二是基于数据分类分级的结果制定针对性的数据安全策略。
部署安全能力与产品。采用和部署多种安全工具以支撑数据安全策略的实施，包括密码系统 Crypto、以数据为中心的审计和保护系统 DCAP、数据防泄露系统 DLP、云访问安全代理系统 CASB、身份识别与访问管理系统 IAM、用户与终端行为分析系统 UEBA。
策略配置与同步。为所有安全能力与产品配置策略并保持策略的一致与同步，策略执行对象包括数据库、大数据系统、文件类数据、云端数据、终端数据等。

1.2.2 框架分析

与 DGPC 框架类似，Gartner 的 DSG 框架也是从宏观层面和方法论的角度阐述了数据安全治理的思路和基本框架，组织在实施 DSG 框架时需要结合实际需求对治理框架和步骤进行细化。此外，DSG 框架中列出的数据安全能力与产品也需要进行更加细化的分类，并由组织根据治理对象和场景的不同采取差异化的部署方式。

1.3 数据安全能力成熟度模型 DSMM

1.3.1 框架介绍

2019 年 8 月，全国信息安全标准化技术委员会发布国家标准《信息安全技术数据安全能力成熟度模型》（GB/T 37988-2019），正式提出数据安全能力成熟度模型（DSMM, Data Security Maturity Model）模型。DSMM 模型参考通用的能力成熟度模型，对数据安全能力成熟度进行了定义和等级划分，从高到低划分了持续优化、量化控制、充分定义、计划跟踪和非正式执行五个等级。

图 2 数据安全能力成熟度模型示意

DSMM 模型根据数据在组织业务场景中的数据生命周期安全要求与通用安全要求，定义了数据安全过程域体系，并在数据安全过程域体系中从组织建设、制度流程、技术工具以及人员能力四个方面构建了规范性的数据安全能力成熟度分级治理要求和评估方法，能够为组织建立和完善数据安全治理体系提供有益参考。

1.3.2 框架分析

DSMM 模型要求组织将关注视角从数据本身扩展到数据生命周期的各个阶段，设计了一套以数据为核心、围绕数据全生命周期构建的安全模型来指导组织建立和持续改进数据安全能力。同时，DSMM 模型也可以作为一种评估方法，组织可以根据 DSMM 模型对数据安全治理能力进行总体评价，更加直观地了解当前数据安全治理水平和需要改进的环节。

2. 数据安全复合治理模式

数据安全复合治理模式强调系统性、落地性，对治理框架搭建中战略、管理和技术进行统筹规划设计，形成基线设定、心智运营、原生设计、安全度量、可证溯源、红蓝对抗、测评认证等丰富的治理环节，强化治理过程的联动，将安全与业务复合、管理与技术复合，发生化学反应，形成有机整体，充分发挥复合协同效能。

图 3 数据安全复合治理模式

数据安全复合治理模式的特点概括为：战略层面要求战略要位，运营管理层面强调实战牵引、全员参与，治理科技层面强化技术破局。

战略层面

战略要位强调从战略高度明确数据安全对于组织生存发展的重要意义，完善数据安全顶层设计，形成组织层面对于数据安全重要性和必要性的一致共识，并明确数据安全第一责任人机制和管理部门对数据安全行为的奖惩权责。制定完备的管理制度和规范体系，实现安全要求清晰明确、安全治理有章可循。同时，应建立由上而下、覆盖全员的数据安全治理组织架构，并通过设立数据安全接口人等创新机制进一步加强各层级、各部门的沟通协调与工作协同。此外，应重视对技术研发进行科学规划、持续投入和资源保障，推动重要技术落地应用。

运营管理层面

实战牵引强调实战化红蓝对抗、头部风险治理和管控效果的精确度量来牵引整体治理工作落地。全员参与强调丰富、活泼的心智运营活动设计，充分调动全员主动参与积极性，实现不同特点人群的精确触达。

治理科技层面

技术破局强调依托系统、算法、数据和产品方面的科技能力创新，实现新形势下无法通过人工、协议达成数据安全治理目标难题的破局，促进数据安全治理工作的提质增效。

3. 数据安全战略

在数据安全复合治理模式中，强化数据安全战略要位是组织开展数据安全治理的首要工作，组织需要从安全方针、制度规范、组织架构和技术保障体系四个方面确定清晰明确的数据安全战略。

3.1 安全方针

组织需要充分明确数据安全的战略要位，建立数据安全治理的安全方针，加强顶层设计，形成组织层面对于数据安全重要性和必要性的一致共识。首先，需要制定数据安全工作的总体目标和基本原则，明确以保护组织数据安全为基本前提，兼顾数据安全与发展，促进数据的依法合规使用。同时，需要在战略层面强化高层对数据安全的重视与引领，设置专门的数据安全决策机构，安排高层人员作为数据安全工作的总体负责人，并形成对组织内外部安全形势、重点安全风险的充分认识，梳理和明确数据安全治理的重点方向与环节，进一步促进

治理资源的有效整合与充分利用。最后，通过战略层面强化业务、应用和数据所有者以及全体员工对于其所管理数据的第一安全责任人义务，同时明确数据安全管理团队作为专业部门的管控保障义务和奖惩权责，形成业务团队与安全管理团队的良性互动、有机协同。

3.2 制度规范

组织需要从数据安全现状与需求出发，对法律法规、标准规范等合规要求进行充分分析，并根据数据安全治理的总体目标，制定完备的管理制度规范体系，实现安全要求清晰明确、安全治理有章可循。图 4 给出了一种数据安全管理制度体系的建议，从上到下共划分为四级文档，组织可以根据实际需要进行针对性的增删和调整。

图 4 一套可参考的数据安全管理制度规范体系

一级文档。由决策层认可、面向组织的数据安全方针，通常应包括组织数据安全工作的总体目标、基本原则、数据安全决策机构设置与职责划分等。
二级文档。根据数据安全方针的要求，对组织数据安全工作各关键领域的管理要求做出具体规定，可包括基础类管理制度、人员类管理制度以及场景类管理制度等。
三级文档。与二级文档中各类管理制度要求相呼应，针对具体环节落地实施的操作规范、指南，包括基础类规范、人员类规范和场景类规范等。
四级文档。管理制度具体执行过程中产生和使用的过程性文档，通常包括模板类文档、清单类文档、记录类文档等。

3.3 组织架构

数据安全治理的有效开展离不开组织全员的主动参与和责任义务的严格履行。组织需要建立由上而下、覆盖全员的数据安全治理组织架构，并明确架构层级、职责划分以及人员的具体分工，确保数据安全职责清晰、权责对等、赏罚分明、落实有力，为推动全员主动参与提供坚实的组织保障。数据安全治理组织架构通常包括决策层、安全工作组和监督审计部门，并通过建立数据安全接口人机制，进一步加强各层级、各部门的沟通协调与工作协同。

决策层负责对组织的数据安全顶层设计、组织架构、发展规划、关键事项等进行规划、制定与决策。为确保数据安全工作能够得到充分支持，可设置专门的由组织高层人员组成的数据安全委员会。

管理工作组负责数据安全的全面管理，通常包括数据安全部门，以及业务、研发、法务等协同部门的数据安全接口人。为加强组织与协调，管理工作组负责人由决策层直接指派和任命，通常由数据安全部门负责人担任；协同部门的数据安全接口人可以由协同部门负责人担任。此外，为支撑管理工作组更加有效地履行工作职责，应由决策层赋予管理工作组必要的管理和奖惩权限，实现权责对等、赏罚分明，保证安全管理工作能够有条不紊地持续开展。数据安全部门的主要工作职责是在数据安全部门负责人的指导下，制定安全管理制度体系，开展数据安全培训，并负责数据管理、安全防护、监测审计与应急响应等数据安全运营工作，有条件的组织还可以结合自身需要建立数据安全技术与产品研发等团队。

协同部门的数据安全接口人的主要工作职责是与数据安全部门协同工作，实现本部门数据安全责任的落实。一方面在部门内推动数据安全工作的实施与开展，尤其是安全要求的有效理解与业务流程的有机融合；另一方面便于收集部门内的安全需求与意见，反馈数据安全部门，共同促进整体数据安全工作提升。

此外，从广义层面看，每一名员工都是其所管理数据的第一安全责任人，需要积极参加数据安全心智教育，提升数据安全意识与能力，在工作中切实履行数据安全义务。

监督审计部门通常由组织的内部控制、内部审计等部门联合组成，形成面向整个组织的数据安全监督小组，负责对组织的数据安全工作开展情况进行审核与监督，并将发现的违规问题和薄弱环节及时反馈给决策层，在决策层的统一领导下对相关问题进行纠正。

3.4 保障体系

数据安全治理对于数据安全技术具有较强的依赖性，由于数据安全技术的快速发展和持续更新，需要组织在战略层面高度重视数据安全技术的破局能力，将数据安全技术作为支撑数据安全战略实施的关键环节，对技术研发进行科学规划、持续投入和资源保障，推动重要技术的落地应用。建议从以下方面加强对技术研发与应用的支持与保障：

从组织层面明确对数据安全技术研究和应用的资源保障，包括研发资源的持续投入、人才队伍的建设完善等。
制定技术研究与应用路线的科学规划，包括短期规划与长期规划，其中短期规划重点覆盖预期可实现落地应用和产品化的技术，长期规划重点关注对前沿关键技术的跟踪研究与能力储备。
可以根据数据安全技术对组织的重要程度，对数据安全研发资金投入、技术人员占比等关键评价指标进行量化，进一步明确组织层面的技术资源保障与支持力度。

本文摘编自《数据安全复合治理与实践白皮书》。欢迎平台、工具、应用及案例入库、发布和召募推广，立即订阅数字推广DigiPacks 套餐，我们的目标是潜在客户，扫码添加老邪企业微信：