数据安全治理现状研究与分析.docx

1、数据平安治理现状研究与分析通过对2021年开展的企业数据平安治理能力评估现状进行整理，总结企业数据 平安治理工作在组织建设、人才培养、技术工具等方面的现状与趋势，提供能力提升 思路，以供业界参考。摘要：近年来，国内外数据泄露事件频发，大量企业的商业利益、声誉受损。数据平安 法律法规相继公布，监管力度不断升级，企业逐渐意识到数据平安治理的重要性与紧迫 性。通过对2021年开展的企业数据平安治理能力评估现状进行整理，总结企业数据平安 治理工作在组织建设、人才培养、技术工具等方面的现状与趋势，提供能力提升思路， 以供业界参考。关键词：数据平安；数据平安治理；数据平安实践；数据分类分级；数据共享0引言

2、2021年中华人民共和国数据平安法（简称数据平安法）公布,提出建立 健全数据平安治理体系，提高数据平安保障能力，倡导全社会共同维护数据平安。企业 作为开展数据处理活动的主要组织，应积极履行数据平安保护义务，遵守国家、各行 业、各地监管要求，开展数据平安治理工作，提升数据平安治理能力。有效识别企业的数据平安问题，客观评价其数据平安治理水平离不开检测与评估。2020年，中国信息通信研究院牵头制定团体标准T/ISC-001-2021数据平安治理能力 评估方法，该标准提出的数据平安治理能力评估框架创造性地提出，企业或第三 方评估机构可从组织架构、制度流程、技术工具、人员能力四大维度入手，进行数据安 全

3、治理能力评估。如图1所示，数据平安治理能力评估框架将数据平安治理分为三大层次，即数据安 全战略、数据全生命周期平安和基础平安。数据平安战略指组织的数据平安顶层规划, 起到为数据平安治理搭框架 配人手的作用；数据全生命周期平安指组织在数据 全生命周期的平安管控措施；基础平安指组织在数据基础平安方面的保障能力，起到支撑与保障作用。本文根据2021年参与企业数据平安治理能力评估的33家企业情况，进基础平安数据分类分级合规管理合作方管理监控与审计鉴别与访问风险与需平安事件求分析应急图1数据平安治理能力评估框架1数据平安治理建设现状数据平安治理组织架构初具雏形企业的数据平安治理是企业综合考虑业务当前与未

4、来开展需要，为保障数据平安所开展 的一项系统工程。作为这一系统工程的相关方，各部门需要围绕企业的数据平安方针，就如 何开展配合与协作、完善制度规范文件、部署平安技术产品、提升人员平安意识与能力。因 此，为确保内部对数据平安治理的方针达成共识、合理配置数据平安工作任务与资源，需要 建立企业层面的高层级决策、管理机构，使各部门、岗位人员明确其具体职责与分工。此外，该组织应能够对数据平安治理工作进行监督与评价，以保障企业数据平安治理的持续性改 进。根据大数据白皮书2021,企业的数据平安治理组织架构初具雏形。77.5%的企 业已建立有效的数据平安管理机构与运行机制，基本明确了决策者、管理者、执行者的

5、角色 与职责。数据平安治理的机构组织形式主要分为数据平安治理委员会与网络与信息平安领导 小组。如图2所示，相较于网络与信息平安领导小组，数据平安治理委员会的组织形式更具先 进性：数据平安治理委员会可围绕数据的全生命周期平安，以专项工作组为单位，灵活地响 应最新的法律法规、监管要求，协同开展各类专项工作。此外，数据平安治理委员会的成员 不局限于平安、运维等部门人员。数据平安治理委员会可根据成员的实体岗位职责，从编制 数据平安规范文件、引进数据平安技术产品等方面，建设企业数据平安治理体系。而。布丽布市 数裾芟至血肉：薮布芬奚施： 工柞组：评估工作组;：工作组;应取藻港顼， ：驳堀菊集安至： ：二:

6、二 ：行开工作组I ：工作组 ;：数据平安治理委员会平安测试平安开发产品运营技术研发IT 运 维法务合规人力资源政府事务公共关系图2数据平安管理机构形式比照图1.1 数据平安人才培训体系逐步建立企业数据平安治理工作的效果很大程度上取决于相关岗位人员的执行情况。为进一步落 实数据平安战略下的具体工作，企业需要通过盘点岗位职责、评估人员能力，将工作任务与 具体的岗位、人员进行匹配。也需通过梳理当前的数据平安人才需求，分析当前人员的能力 水平差距，不断完善数据平安培训机制。数据平安行业调研报告统计显示，企业逐渐重视数据平安人员的能力培养:58.8%的企业认为数据平安治理面临的最大挑战是专业人才缺失。

7、为落实数据平安战略，企业开始 关注数据平安培训体系的建设：68.9%的企业已初步建立内部数据平安人才培训体系，培训内容覆盖了法律法规解读、保密意识教育、数据平安技术培训等多个方向。如图3所示，虽然数据平安人才培训体系逐步完善，但由于局部课题（如数据平安风险 分析、数据平安审计等）仍处于探索阶段，企业对专业培训服务产生一定的采购需求。同时， 平安服务供应商紧密布局培训服务业务：平安服务供应商计划完善数据平安培训服务方案,开拓数据平安培训业务。这有望助推企业的数据平安人才培训内容逐步完善。数据存储应急响应100%风险需求分析数据采集数据传输数据使用合作方管理合规管理数据共享鉴别与访问监控审计数据销

8、毁分类分级图3数据平安培训课题分布图1.2 数据平安技术规划布局由“点向面完善的数据平安技术框架能够为数据平安治理提供可行性保障，企业在技术工具的布局与应用方面加强数据平安技术规划，防护布局由点向面趋势渐显。根据调研实践,企业基于数据资产管理与分类分级，围绕数据采集、传输、存储、使用、共享、销毁等全生 命周期，建立了广范围、细颗粒度、一体化、自动化的技术体系，对平安风险进行动态评估 并采取差异化的管控措施。此外，企业通过应用多种数据平安产品（如数据分类分级、数据网关、数据防泄露、数 据脱敏、数据审计等工具），由单点技术布局走向数据平安防护面建设，实现数据生命周期 全流程覆盖、多层次防护，为数据

9、平安治理提供可行性保障。1.3 数据分类分级工作率先落地数据分类分级工作在数据平安战略中具有极其重要的地位。在国家立法层面，数据平安法提出，国家建立数据分类分级保护制度，各地区、部 门以及相关行业、领域应根据数据的重要程度与被利用时的危害程度，对数据实行分类分级 保护。重要数据应进入重要数据目录，进行重点保护。在分级标准层面，多个国家标准、行业标准（如金融数据平安数据平安分级指南基 础电信企业数据分类分级方法（报批稿），为企业的数据分类分级工作提供了基本理 论。在落地层面，工业和信息化领域数据平安管理方法（试行）提出工业和电信数据分 类分级的相关定义与管理工作要求，为涉及重要数据和核心数据的工

10、业和电信企业提供了 “分级防护备案管理”等工作思路。企业普遍将数据分类分级作为内部管理制度建设、技术体系搭建的基础工程。90.3%的 企业结合国家法律法规与自身业务特点，制定了企业内部数据分类分级管理方法，并通过相 关产品、工具对策略进行具体落实。企业数据分类分级制度、技术的落地程度相对高于其 他基础平安建设工作，为不同类别、级别的数据平安管理筑牢能力底座。1.5数据共享的平安理亟需提升重视数据在企业内部、企业之间或者企业与个人之间的流通已成为常态。数据共享作为企业 数据流通的典型场景，其所面临的数据泄露、篡改、非法获取、利用等平安风险危害大、概 率高、溯源难。相较于国外的数据共享法律法规体系

11、，国内企业由于相关法律尚未完善、技 术相对滞后等问题，随着其数据的开放程度逐步上升，在数据共享场景下所面临的平安风险 也逐渐突出。在2021年企业数据平安治理能力评估中，许多企业缺乏数据共享场景下的平安管控经 验，普遍对数据共享平安的重视程度不高，未形成规范的数据共享平安管控机制。2数据平安治理能力提升建议2.1坚持系统性、持续性的数据平安治理数据平安治理覆盖企业数据、业务、技术、管理等多个方面,是一项需要多方联动的复合 型工作。企业应系统地进行数据平安治理能力建设，围绕数据的产生、加工、使用、流通、 销毁等环节进行总体布局、全面规划。企业可以构建贯穿各层面的数据平安治理组织架构， 全面梳理业

12、务场景并设计体系化的平安制度流程，配合应用自动化工具、平台，实现数据安 全治理一盘棋。同时，企业通过搭建专业的人才梯队与培训机制，为数据平安管理工作 持续积蓄力量。数据平安治理不仅限于解决企业当前的数据平安困境，还致力于企业数据平安长远开展, 是一项长期工程。如图4所示，企业可采用PDCA（规划一执行一检查一处置）”的模式， 持续提升数据平安治理能力。企业可将数据平安上一阶段未解决的问题作为下一阶段规划的 输入，通过不断优化制度流程落地效果、提升技术与产品应用水平、强化人员平安意识与能 力、明确未来数据平安治理开展方向等，实现数据平安治理的长周期闭环。处置执行规划检查制度流程：如何执行组织架构

13、：由谁规划技术工具：执果图4数据平安治理能力提升示意图2.2完善数据流动过程中的平安理举措在国家鼓励数据流动和共享的大背景下，企业应强化数据共享的平安管控，一方面需要 重视数据共享平安，完善相关的管理制度、规范（如数据使用备案登记制度、数据合作保密 责任协议、数据合作对象平安能力评估规范等），将其落实制度章程、正式文件内，使各部 门、岗位人员与外部相关方能够正确理解数据共享平安的重要性与必要性；另一方面，需要 基于数据分类分级的结果，逐步完善数据共享行为的定义及其管控机制（如数据共享审批流、 台账记录、定期审计报告等），确保数据共享活动中各环节路径清晰、过程平安可控和监管 有效。此外，无论是在

14、数据流动的任一场景，还是在数据平安治理的整体框架中，数据泄露溯 源都是数据平安管理的一大重要环节，要求企业具备监控与审计的技术能力与管理机制。企 业可以通过加强识别敏感信息的特征、收集数据全生命周期中的数据使用行为等信息，进行 智能关联和分析，实现数据平安风险分析与告警、事件溯源取证、数据共享平安性评估仲裁 等，形成包含应对措施的审计报告，并持续优化平安策略。2.3充分引进第三方数据平安评估服务由于数据平安治理具有系统性、持续性的特点，如何评价数据平安治理效果并对治理体 系进行优化与升级，是企业数据平安治理能力建设过程中的重要问题。根据2021年企业数 据平安治理能力评估情况，52.6%的企业

15、认为第三方数据平安评估服务可以综合考虑被评 估对象的业务特点与监管要求，能够客观、公正地评价工作的有效性，有助于企业发现自身 缺乏，获取业内的优秀实践，提升数据平安治理能力。第三方数据平安治理评估与企业自评估相结合，有助于企业防止灯下黑”的评估结果。 一方面，企业通过第三方评估，可以有效发现当前的数据平安问题，参考评估报告采取适当 的整改措施；另一方面，第三方评估有助于企业将数据平安风险前置，企业内部各层级、岗 位人员在配合评估工作的过程中能够正视数据平安风险，树立企业数据平安大局观，理 解数据平安法律、法规和标准的要求，明确企业数据平安面临的风险与挑战，对企业短期的 数据平安工作与长期的数据

16、平安规划有更加深刻的认识，做到心中有数，使企业能够控 制潜在的管理、合规本钱。第三方数据平安治理评估也有助于跟同行业的横向比照。第三方评估具备发现企业数据 平安治理共性问题、能力短板的经验优势，可以为企业提供开展性的治理建议，有助于企业 持续修正已采取的平安措施，规划数据平安治理长期开展路径。3结束语本文基于中国信息通信研究院在2021年开展的企业数据平安治理能力评估工作实践， 盘点、分析企业数据平安治理工作现状，对企业数据平安治理的现状、亮点与问题进行研究， 并给出对应的改进建议、能力提升思路，为业界各组织提高自身数据平安治理能力提供有效 参考。企业的数据平安治理需要持续观察、研究和分析。后续将根据业内先进的数据平安治 理实践，完善数据平安治理方法论，提供更多角度下的数据平安治理能力提升思路。