文档介绍：该【数据安全治理总体视图研究 】是由【mossentz】上传分享，文档一共【18】页，该文档可以免费在线阅读，需要了解更多关于【数据安全治理总体视图研究 】的内容，可以使用淘豆网的站内搜索功能，选择自己适合的文档，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此文档到您的设备，方便您编辑和打印。数据安全治理总体视图
加快构建数据要素市场规则,培育市场主体、完善治理体系,促进数据要素市场流通。鼓励市场主体探索数据资产定价机制,推动形成数据资产目录,逐步完善数据定价体系。规范数据交易管理,培育规范的数据交易平台和市场主体,建立健全数据资产评估、登记结算、交易撮合、争议仲裁等市场运营体系,提升数据交易效率。严厉打击数据黑市交易,营造安全有序的市场环境。
坚持以数字化发展为导向,充分发挥我国海量数据、广阔市场空间和丰富应用场景优势,充分释放数据要素价值,激活数据要素潜能,以数据流促进生产、分配、流通、消费各个环节高效贯通,推动数据技术产品、应用范式、商业模式和体制机制协同创新。
数据安全治理总体视图
前期大量调研和数据安全治理能力评估实践,依据中国通信标准化协会大数据技术标准推进委员会BDC91-2022《数据安全治理能力评估方法》,提炼出一套行之有效的数据安全治理总体视图,用以描绘数据安全治理的建设蓝图和实践路线。
(一)数据安全治理目标
数据安全治理目标是组织数据安全治理工作开展的前进方向。其主要包括满足合规要求、管理数据安全风险、促进数据开发利用三方面。
满足合规要求。逐渐细化的数据安全监管要求,为组织数据安全合规工作的推进提出了更高的要求。及时发现合规差距,协助组织履行数据安全责任义务,为业务的稳定运行和规范化开展筑牢根基是数据安全治理工作的首要目标。
管理数据安全风险。不断产出的海量数据在动态实时流转过程中,面临着较大的风险暴露面,数据安全威胁及带来的影响与日俱增。叠加数据安全边界较为模糊、数据安全基础不够强韧等问题,组织数据安全风险的有效管理必然是数据安全治理的重要使命。
促进数据开发利用。数字经济的高速发展离不开数据价值的充分释放,数据安全则是保障数据价值释放的重要基石。数据安全治理通过体系化的建设,完善组织的合规管理和风险管理工作机制,提升数据安全保护水平,促进数据的开发利用。
(二)数据安全治理体系
数据安全治理体系是组织达成数据安全治理目标需要具备的能力框架,组织应围绕该体系进行建设。数据安全治理体系是一个三层架构,分别包括数据安全战略层、数据全生命周期安全层和基础安全层。
数据安全战略层是推进数据安全治理工作开展的战略保障模块,要求组织在启动各项工作前,应制定相应的战略规划。数据安全战略从数据安全规划、机构人员管理两方面入手,前者确立目标任务,后者组建治理团队。
数据安全规划要求根据国家政策、组织业务发展需要以及数据安全需求等多方面因素明确组织整体数据安全规划。
机构人员管理要求建立负责组织内部数据安全工作的部门、岗位和人员,并与人力资源管理部门进行联动,防范机构人员管理过程中存在的数据安全风险。
数据全生命周期安全层是评估组织数据安全合规及风险管理等工作下沉至各业务场景能力水平的重要模块。要求组织以采集、传输、存储、使用、共享、销毁等环节为切入点,设置管控点和管理流程,保障数据安全。
•数据采集安全是指根据组织对数据采集的安全要求,建立数据采集安全管理措施和安全防护措施,规范数据采集相关流程,从而保证数据采集的合法、合规、正当和诚信。
•数据传输安全是指根据组织对内和对外的数据传输需求,建立不同的数据加密保护策略和安全防护措施,防止传输过程中的数据泄露等风险。
•数据存储安全是指根据组织内部数据存储安全要求,提供有效的技术和管理手段,防止对存储介质的不当使用而可能引发的数据泄露风险,并规范数据存储的冗余管理流程,保障数据可用性,实现数据存储安全。
•数据使用安全是指根据数据使用过程面临的安全风险,建立有效的数据使用安全管控措施和数据处理环境的安全保护机制,防止数据处理过程的风险。
•数据共享安全是指根据组织对外提供或交换数据的需求,建立有效的数据交换安全防护措施,降低数据共享场景下的安全风险。
•数据销毁安全是指通过制定数据销毁机制,实现有效的数据销毁管控,防止因对存储介质中的数据进行恢复而导致的数据泄露风险。
基础安全层作为数据全生命周期安全能力建设的基本支撑模块,可以在多个生命周期环节内复用,是整个数据安全治理体系建设的通用要求,能够实现建设资源的有效整合。
•数据分类分级是指根据法律法规以及业务需求,明确组织内部的数据分类分级原则及方法,并对数据进行分类分级标识,以实现差异化的数据安全管理。
•合规管理是指根据组织内部的业务需求和业务开展场景,明确相关法律法规要求,通过制定管理措施降低组织面临的合规风险。
•合作方管理是指通过建立组织的合作方管理机制,防范组织对外合作中的数据安全风险。
•监控审计是指通过建立监控及审计的工作机制,有效防范不正当的数据访问和操作行为,降低数据全生命周期未授权访问、数据滥用、数据泄露等安全风险。
•身份认证与访问控制是指根据组织的安全合规要求,建立用户身份认证和访问控制管理机制,防止对数据的未授权访问。
•安全风险分析是指根据组织的业务场景建立数据安全风险分析体系,将风险控制在可接受的水平,最大限度的保障数据安全。
•安全事件应急是指通过建立数据安全应急响应体系,确保在发生数据安全事件后能够及时止损,保障业务的安全和稳定运行,最大程度降低数据安全事件带来的影响。
(三)数据安全治理维度
以数据安全治理目标为指引,围绕数据安全治理体系框架,可以从组织架构、制度体系、技术工具和人员能力四个维度开展治理能力建设工作,以解决谁来干、怎么干、干的如何、有没有能力干等关键问题。
1、数据安全治理组织架构
数据安全组织架构是数据安全治理体系建设的前提条件。通过建立专门的数据安全组织,落实数据安全管理责任,确保数据安全相关工作能够持续稳定的贯彻执行。
同时,因数据安全治理是一项多元化主体共同参与的复杂工作,明确的组织架构有助于划分各参与主体的数据安全权责边界,促进协同机制的建立,实现组织数据安全治理一盘棋。
在一个组织内部,安全部门、合规部门、风控部门、内审部门、业务部门、人力部门等都需要参与到数据安全治理的具体工作中,相互协同,共同保障组织的数据安全。一种较为典型的数据安全治理组织架构一般由决策层、管理层、执行层与监督层构成,各层之间通过定期会议沟通等工作机制实现紧密合作、相互协同。决策层指导管理层工作的开展,并听取管理层关于工作情况和重大事项等的汇报。管理层对执行层的数据安全提出管理要求,并听取执行层关于数据安全执行情况和重大事项的汇报,形成管理闭环。监督层对管理层和执行层各自职责范围内的数据安全工作情况进行监督,并听取各方汇报,形成最终监督结论后同步汇报至决策层。
决策层以虚拟组织的形式存在,如数据安全领导小组,该小组一般由组织的高层领导及相关部门负责人共同构成,主要负责对数据安全的重大事项进行统筹决策。管理层一般由安全部门或数据部门牵头,负责数据安全的管理、建设、宣贯等工作。执行部门一般由业务部门或数据生产部门构成,负责在本部门内落实执行各项数据安全管理要求。监督层涉及到合规部门、风控部门、内审部门等,负责从不同的角度对数据安全治理工作的开展情况进行监督。
2、数据安全治理制度流程
数据安全制度流程一般会从业务数据安全需求、数据安全风险控制需要,以及法律法规合规性要求等几个方面进行梳理,最终确定数据安全防护的目标、管理策略及具体的标准、规范、程序等。
数据安全管理制度文件可分为四个层面,一、二级文件作为上层的管理要求,应具备科学性、合理性、完备性及普适性。三、四级文件则是对上层管理要求的细化解读,用于指导具体业务场景的具体工作。
一级文件是由决策层明确的面向组织的数据安全管理方针、政策、目标及基本原则。二级文件是由管理层根据一级文件制定的通用管理办法、制度及标准。三级文件一般由管理层、执行层根据二级管理办法确定各业务、各环节的具体操作指南、规范。
四级文件属于辅助文件,是各项具体制度执行时产生的过程性文档,一般包括工作计划、申请表单、审核记录、日志文件、清单列表等内容。
3、数据安全治理技术体系
数据安全技术体系并非单一产品或平台的构建,而是覆盖数据全生命周期,结合组织自身使用场景的体系建设。依照组织数据安全建设的方针总则,围绕数据全生命周期各阶段的安全要求,建立与制度流程相配套的技术和工具。
•数据分类分级相关工具平台主要实现数据资产扫描梳理、数据分类分级打标和数据分类分级管理等功能。
•身份认证及访问控制相关工具平台,主要实现在数据全生命周期各环节中涉及的所有业务系统和管理平台的身份认证和权限管理。
•监控审计相关工具平台接入业务系统和管理平台,实现对数据安全风险的实时监控,并能进行统一审计。
•日志管理平台收集并分析所有业务系统和管理平台的日志,并统一日志规范以支持后续的风险分析和审计等工作。
•安全及合规评估相关工具平台主要用于综合评估数据安全现状和合规风险。
数据全生命周期安全技术为生命周期中特定环节面临的风险提供管控技术保障。整个数据全生命周期可以通过组合或复用以下多种技术实现数据安全。
•敏感数据识别通过对采集的数据进行识别和梳理,发现其中的敏感数据,以便进行安全管理。
•备份与恢复技术是防止数据破坏、丢失的的有效手段,用于保证数据可用性和完整性。
•数据加密相关工具平台通过提供常见的加密模块及密钥管理能力,落地数据的加密需求。
•数据脱敏是通过一定的规则对特定数据对象进行变形的一类技术,用于防止数据泄露和违规使用等。
•数据水印技术通过对数据进行处理使其承载特定信息,使得数据具备追溯数据所有者与分发对象等信息的能力。在数据处理过程中起到威慑及追责的作用。
•数据泄密防护技术通过终端防泄露技术、邮件防泄露技术、网络防泄露技术,防止敏感数据在违反安全策略规定的情况下流出企业。
•API安全管理相关工具平台提供内部接口和外部接口的安全管控和监控审计能力,保障数据传输接口安全。
•数据删除是一种逻辑删除技术,为保证删除数据的不可恢复,一般会采取数据多次的覆写、清除等操作。
•介质销毁一般通过消磁机或者物理捣毁等方式对数据所在的介质进行物理销毁。
•隐私计算通过实现数据的可用不可见,从而满足隐私安全保护、价值转化及释放。
4、数据安全治理人员能力
数据安全治理离不开相应人员的具体执行,人员的技术能力、管理能力等都影响到数据安全策略的执行和效果。因此,加强对数据安全人才的培养是数据安全治理的应有之义。组织需要根据岗位职责、人员角色,明确相应的能力要求,并从意识和能力两方面着手建立适配的数据安全能力培养机制。
意识能力培养方式。可以结合业务开展的实际场景,以及数据安全事件实际案例,通过数据安全事件宣导、数据安全事件场景还原、数据安全宣传海报、数据安全月活动等方式,定期为员工开展数据安全意识培训,纠正工作中的不良****惯,降低因意识不足带来的数据安全风险。