文档介绍：该【数据安全产业发展建议 】是由【mossentz】上传分享，文档一共【15】页，该文档可以免费在线阅读，需要了解更多关于【数据安全产业发展建议 】的内容，可以使用淘豆网的站内搜索功能，选择自己适合的文档，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此文档到您的设备，方便您编辑和打印。数据安全产业发展建议
坚持创新驱动,强化企业创新主体地位,优化创新资源要素配置,激发各类市场主体创新活力。坚持以人为本,维护人民数据安全合法权益,依靠人民智慧发展产业,发展成果更多更公平惠及人民。坚持需求牵引,以有效需求引领产业供给,以深度应用促进迭代升级。坚持开放协同,注重更大范围、更宽领域、更深层次的开放合作,协同推进全产业链深度融合、共创共享。
立足新发展阶段,完整、准确、全面贯彻新发展理念,构建新发展格局,坚定不移贯彻总体国家安全观,统筹发展和安全,把握数字化发展机遇,以全面提升数据安全产业供给能力为主线,以创新为动力、需求为导向、人才为根本,加强核心技术攻关,加快补齐短板,促进各领域深度应用,发展数据安全服务,构建繁荣产业生态,推动数据安全产业高质量发展,全面加强数据安全产业体系和能力,夯实数据安全治理基础,促进以数据为关键要素的数字经济健康快速发展。
数据分类分级场景建设思路
数据分类分级是数据安全治理实践过程中的关键场景,是数据安全工作的桥头堡和必选题。行业实践,七步走建设思路,可供刚开展数据分类分级工作的组织参考。
第一步:建立组织保障。
对组织而言,数据分类分级工作是一项复杂的长期性工作,是业务知识、数据知识和安全知识的交叉领域,需要相关部门协作开展。这就需要通过明确数据分类分级工作的组织架构,划分各部门职责分工,为数据分类分级工作的协同开展提供支撑。
在实际工作中,各组织一般有数据安全管理的牵头部门或团队统筹数据分类分级工作的开展,而在职责分工上,则体现出一定的差异性。
•以某电信运营商为例,在职责划分方面,明确了由数据安全的管理部门负责制定数据分类分级的方法及策略,规范数据资产梳理工作,并监督数据分类分级工作的落实。而各数据生产运营和使用的责任部门则需要维护本部门的数据资源清单、梳理部门的重要数据目录、并按照数据安全管理部门制定的标准执行数据分类分级规定动作,制定并落实差异化管控措施等。
•以某金融机构为例,在职责划分方面,明确了由数据安全的管理部门牵头开展数据分类分级工作,制定相关制度流程,并建设数据分类分级技术能力。由于建设了数据中台对数据进行统一管理,其他部门仅需配合数据分类分级评估工作,对数据分类分级结果进行复核。
•以某互联网公司为例,在职责划分方面,明确了由数据安全管理部门负责各类数据的分类、汇总和管理等工作。其他部门主要负责识别本部门的各类敏感数据并同步至数据安全管理部门,同时负责本部门敏感数据相关数据安全管控措施的制定。
第二步:进行数据资源梳理。
在进行数据分类分级之前,需要对组织内的全部数据资源进行识别、梳理,明确当前组织内部存储了哪些数据、数据存储的格式、数据范围、数据流转形式、数据访问控制方式、数据价值高低等问题,并形成数据资源清单。
在实际工作中,数据资源的梳理有两种常见的工作思路。一种是站在数据治理的角度,为了达到对数据质量进行管理的首要目标而进行全量数据的盘点梳理,与此同时,梳理的结果可以复用于数据分类分级工作。一种是站在数据安全的角度,先对敏感数据进行识别梳理,以快速响应相关安全管理要求,再逐渐扩展至全域数据范围。
第三步:明确分类分级方法策略。
数据分类分级的方法、策略是指导此项工作开展的重要依据。组织需要参考国家及行业相关数据分类分级要求及规范,并结合自身业务属性与管理特点,明确数据分类分级的方法、策略,如明确数据分类与定级的基本原则、基本方法等。
当前,为指导数据分类分级工作的推进落实,各行业、各领域纷纷制定相关标准规范。通过明确数据分类分级工作的原则、方法、定义,并在此基础上给出部分示例,进一步细化国家关于数据分类分级工作的要求,推动该项工作在不同行业企业及组织机构的落地实施。
第四步:完成数据分类。
组织应根据已制定的数据分类原则,定义包含多个层级的数据类别清单,再对数据资源清单中的数据逐个进行分类。
在实际工作中,基础电信、证券期货、工业行业等领域制定了较为明确的分类方法和示例,有利于行业组织参考。对于暂未形成分类模板的行业,组织可以从经营维度按照通用分类模板进行分类1。另外,针对个人信息的分类方式,组织也可以结合GB/T35273-2020《信息安全技术个人信息安全规范》给出的规范进行完善。总体来说,类别定义一般会根据行业领域的不同而产生不同的子类划分方式,需要注意的是不同类别之间不能重复和交叉。
第五步:逐类完成定级。
数据分级主要从数据安全保护的角度,考虑影响对象、影响程度两个要素对数据所在的安全级别进行判定。不同行业分级标准在影响对象和影响程度的划分上有所不同,从而也导致了分级结果的差异性。组织应根据实际情况完成定级工作。
第六步:形成分类分级目录。
组织还需形成整体的数据分类分级目录,明确数据类别和级别的对应关系,为各部门落实数据分类分级工作提供依据。
第七步:制定数据安全策略。
在完成数据分类定级的基础上,还需要依据国家及行业领域给出的安全保护要求,建立数据分类分级保护策略,对数据实施全流程分类分级管理和保护。
充分发挥数据要素作用
(一)强化高质量数据要素供给
支持市场主体依法合规开展数据采集,聚焦数据的标注、清洗、脱敏、脱密、聚合、分析等环节,提升数据资源处理能力,培育壮大数据服务产业。推动数据资源标准体系建设,提升数据管理水平和数据质量,探索面向业务应用的共享、交换、协作和开放。加快推动各领域通信协议兼容统一,打破技术和协议壁垒,努力实现互通互操作,形成完整贯通的数据链。推动数据分类分级管理,强化数据安全风险评估、监测预警和应急处置。建立健全国家公共数据资源体系,统筹公共数据资源开发利用,推动基础公共数据安全有序开放,构建统一
的国家公共数据开放平台和开发利用端口,提升公共数据开放水平,释放数据红利。
(二)加快数据要素市场化流通
加快构建数据要素市场规则,培育市场主体、完善治理体系,促进数据要素市场流通。鼓励市场主体探索数据资产定价机制,推动形成数据资产目录,逐步完善数据定价体系。规范数据交易管理,培育规范的数据交易平台和市场主体,建立健全数据资产评估、登记结算、交易撮合、争议仲裁等市场运营体系,提升数据交易效率。严厉打击数据黑市交易,营造安全有序的市场环境。
(三)创新数据要素开发利用机制
适应不同类型数据特点,以实际应用需求为导向,探索建立多样化的数据开发利用机制。鼓励市场力量挖掘商业数据价值,推动数据价值产品化、服务化,大力发展专业化、个性化数据服务,促进数据、技术、场景深度融合,满足各领域数据需求。鼓励重点行业创新数据开发利用模式,在确保数据安全、保障用户隐私的前提下,调动行业协会、科研院所、企业等多方参与数据价值开发。结合新型智慧城市建设,加快城市数据融合及产业生态培育,提升城市数据运营和开发利用水平。
数字经济基本原则
坚持创新引领、融合发展。坚持把创新作为引领发展的第一动力,突出科技自立自强的战略支撑作用,促进数字技术向经济社会和产业发展各领域广泛深入渗透,推进数字技术、应用场景和商业模式融合创新,形成以技术发展促进全要素生产率提升、以领域应用带动技术进步的发展格局。
坚持应用牵引、数据赋能。坚持以数字化发展为导向,充分发挥我国海量数据、广阔市场空间和丰富应用场景优势,充分释放数据要素价值,激活数据要素潜能,以数据流促进生产、分配、流通、消费各个环节高效贯通,推动数据技术产品、应用范式、商业模式和体制机制协同创新。
坚持公平竞争、安全有序。突出竞争政策基础地位,坚持促进发展和监管规范并重,健全完善协同监管规则制度,强化反垄断和防止资本无序扩张,推动平台经济规范健康持续发展,建立健全适应数字经济发展的市场监管、宏观调控、政策法规体系,牢牢守住安全底线。
坚持系统推进、协同高效。充分发挥市场在资源配置中的决定性作用,构建经济社会各主体多元参与、协同联动的数字经济发展新机制。结合我国产业结构和资源禀赋,发挥比较优势,系统谋划、务实推进,更好发挥政府在数字经济发展中的作用。
数据安全治理概述
(一)数据安全治理概念内涵
为指导行业数据安全治理能力建设,促进行业数据安全治理能力发展,依据中国通信标准化协会大数据技术标准推进委员会BDC91-2022《数据安全治理能力评估方法》,梳理数据安全治理概念内涵,应该从广义和狭义两个角度进行理解。
狭义地说,数据安全治理是指在组织数据安全战略的指导下,为确保组织数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力,内外部相关方协作实施的一系列活动集合。包括建立数据安全治理组织架构,制定数据安全制度规范,构建数据安全技术体系,建设数据安全人才梯队等。
广义地说,数据安全治理是在国家数据安全战略的指导下,为形成全社会共同维护数据安全、促进开发利用和产业发展的良好环境,国家有关部门、行业组织、科研机构、企业、个人共同参与和实施的一系列活动集合。包括完善相关政策法规,推动政策法规落地,建设实施标准体系,研发应用关键技术,培养专业人才等。
(二)数据安全治理要点
(1)数据安全治理以数据为中心
数据的高效开发和利用,涵盖了数据的采集、传输、存储、使用、共享、销毁等全生命周期的各个环节,不同环节的特性不同,都面临丰富多样的数据安全威胁与风险。因此,必须构建以数据为中心的数据安全治理体系,根据具体的业务场景和各生命周期环节,有针对性地识别并解决其中存在的数据安全问题,防范数据安全风险。
(2)多元化主体共同参与数据安全治理
无论是从广义还是狭义的角度出发,数据安全治理不是仅仅依靠一方力量可以开展的工作。对国家和社会而言,面对数据安全领域的诸多挑战,政府、企业、行业组织、甚至个人都需要发挥各自优势,紧密配合,承担数据安全治理主体责任,共同营造适应数字经济时代要求的协同治理模式。这也与《中华人民共和国数据安全法》(以下简称《数据安全法》)中强调建立各方共同参与的工作机制相一致。对组织机构而言,数据安全治理需要从组织战略层面出发,协调管理层、执行层等相关方,打通不同部门之间的沟通障碍,统一内部数据安全共识,实现数据安全防护建设一盘棋。因此,数据安全治理必然是涉及多元化主体共同参与的工作。
(3)数据安全治理兼顾发展与安全
随着国内数字化建设的快速推进,无论是政府部门,还是其他组织均沉淀了大量的数据。数字经济时代的应用场景下,数据只有在流动中才能充分发挥其价值,而数据流动又必须以保障数据安全为前提,因此,必须要辩证看待数据安全治理。正如《数据安全法》提出的坚持以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展。数据安全治理不是强调数据的绝对安全,而是需要兼顾发展与安全的平衡。
数字经济保障措施
(一)加强统筹协调和组织实施
建立数字经济发展部际协调机制,加强形势研判,协调解决重大问题,务实推进规划的贯彻实施。各地方要立足本地区实际,健全工作推进协调机制,增强发展数字经济本领,推动数字经济更好服务和融入新发展格局。进一步加强对数字经济发展政策的解读与宣传,深化数字经济理论和实践研究,完善统计测度和评价体系。各部门要充分整合现有资源,加强跨部门协调沟通,有效调动各方面的积极性。
(二)加大资金支持力度
加大对数字经济薄弱环节的投入,突破制约数字经济发展的短板与瓶颈,建立推动数字经济发展的长效机制。拓展多元投融资渠道,鼓励企业开展技术创新。鼓励引导社会资本设立市场化运作的数字经济细分领域基金,支持符合条件的数字经济企业进入多层次资本市场