数据安全治理实践指南（2.0）

版权声明 本报告版权属于数据安全推进计划，并受法律保护。转载、摘编或利用其它方式使用本报告文字或者观点的，应注明“来源：数据安全推进计划”。 违反上述声明者，编者将追究其相关法律责任。 特别鸣谢机构 中国信息通信研究院、中国移动通信集团有限公司、中国联合网络通信集团有限公司、中国电信集团有限公司、中移信息技术有限公司、中国联合网络通信有限公司广东省分公司、联通数字科技有限公司、联通（广东）产业互联网有限公司、天翼电子商务有限公司、北京百度网讯科技有限公司、深圳市腾讯计算机系统有限公司、中国工商银行股份有限公司、中国建设银行股份有限公司、中国光大银行股份有限公司、华泰证券股份有限公司、国信证券股份有限公司、吉利控股集团有限公司、上海汽车集团股份有限公司、国网四川信通公司、OPPO广东移动通信有限公司、天道金科股份有限公司、上海淇毓信息科技有限公司、中国电子科技网络信息安全有限公司、天达共和律师事务所、北京中银（深圳）律师事务所、奇安信科技集团股份有限公司、北京天空卫士网络安全技术有限公司、北京天融信网络安全技术有限公司、杭州安恒信息科技有限公司、杭州美创科技股份有限公司、绿盟科技集团股份有限公司、北京数安行科技有限公司、IBM、北京奇虎科技有限公司、浪潮云信息技术股份公司、北京旷视科技有限公司、上海新炬网络信息技术股份有限公司、浙江零跑科技股份有限公司、江苏保旺达软件技术有限公司、上海爱数信息技术股份有限公司、郑州信大捷安信息技术股份有限公司、数安信（北京）科技有限公司、北京亿赛通科技发展有限公司、江西省信息中心、安徽辰图大数据科技有限公司 特别鸣谢专家 刘雪花、李雪妮、魏凯、姜春宇、闫树、龚诗然、李天阳、郝志婧、张越、张亚兰、温暖、赵晨斌、于文良、曹继文、鄂梅、宁相军、何晓倩、刘建国、谷陟军、吴剑锋、陈泽楠、许琛超、杜悦艺、吴芳琼、李克鹏、袁文生、吴凡、顾晓强、张坤、邵媛、刘巍、江旺、张炎、王君、周思佳、左银康、肖雪、孙雄涛、王一斌、刘坤灵、苏振波、王同新、张赣、崔新炜、柳伟杰、薛锋、申晓雨、叶鹏、潘良、王新华、杨勇涛、李洪亮、梁伟、杨明非、张文礼、谢雄、林鹭、王彦翔、金岳阳、刘玉红、孔祥慧、王雨薇、唐会芳、李传忠、李连伟、赵华涛、程永新、梁铭图、黄国标、陈昺润、刘险峰、卢伟、张震、刘为华、胡国华、李楷、张艺伟、何黎明、周剑涛、关中华 前言 数据作为新型生产要素，已成为国家重要资产和我国数字经济发展的基础战略资源。2021年以来，国家、行业、地方相继颁布了大量数据安全政策文件。作为数字经济健康发展的重要基石，数据安全的重要性愈发突出，数据安全治理需求愈加明显。 为了梳理数据安全治理的概念内涵，探讨企业数据安全建设路线，中国信息通信研究院云计算与大数据研究所于2021年7月发布《数据安全治理实践指南（1.0）》（以下简称《指南（1.0）》），围绕数据安全治理目标、治理框架、治理实践路径展开论述。经过一年多的发展，企业数据安全治理取得了有效进展，同时也面临新的挑战。比如，当前大部分企业的数据安全管理制度聚焦在原则、管理规定等较粗颗粒度的层面，对数据业务的下沉指导不充分，导致具体业务场景下的技术落地仍然缺乏实践指引，容易与管理要求脱节等。 本指南依据大量行业调研和企业实践，在《指南（1.0）》的基础上优化了数据安全治理总体视图，并针对数据分类分级难落地、管理与技术易脱钩等焦点问题的建设方案进行了初步探索，进一步细化了数据安全治理实践路线。 目录 一、数(一据)数安据全安治全治理理概概述念内涵 (二)数据安全治理要点 11 1 二、数(一据)数安据全安治全治理理总目体标视图 (二)数据安全治理体系 34 (三)数据安全治理维度 4 (四)数据安全治理实践 11 6 三、数(一据)数安据全安治全规理划实践路线 (二)数据安全建设 (三)数据安全运营 (四)数据安全评估优化 四、数(一据)第分一类步分：建级立场组景织保建障设思路 (二)第二步：进行数据资源梳理 (三)第三步：明确分类分级方法、策略(四)第四步：完成数据分类 (五)第五步：逐类完成定级 (六)第六步：形成分类分级目录(七)第七步：制定数据安全策略 1122 14 17 19 2211 22 22 23 25 25 25 五、数据安全治理总结与展望 27 附录：(一数)华据泰安证全券股治份理有实限公践司案例 (二)中移信息技术有限公司 2288 (三)中国联通广东省分公司 32 (四)吉利汽车集团有限公司 37 (五)360数科 40 43 一、数据安全治理概述 发展数字经济、加快培育发展数据要素市场，必须把保障数据安全放在突出位置。这就要求我们着力解决数据安全领域的突出问题，有效提升数据安全治理能力。随着数据安全监管要求逐渐落地，组织数据安全治理动力明显攀升，数据安全技术及服务供给不断释放。整体来看，数据安全治理进入快速发展阶段。本章将解析数据安全治理概念内涵，分析数据安全治理要点。 (一)数据安全治理概念内涵 为指导行业数据安全治理能力建设，促进行业数据安全治理能力发展，依据中国通信标准化协会大数据技术标准推进委员会BDC91-2022《数据安全治理能力评估方法》，梳理数据安全治理概念内涵，本指南认为应该从广义和狭义两个角度进行理解。狭义地说，数据安全治理是指在组织数据安全战略的指导下，为确保组织数据处 于有效保护和合法利用的状态，以及具备保障持续安全状态的能力，内外部相关方协作实施的一系列活动集合。包括建立数据安全治理组织架构，制定数据安全制度规范，构建数据安全技术体系，建设数据安全人才梯队等。 广义地说，数据安全治理是在国家数据安全战略的指导下，为形成全社会共同维 护数据安全、促进开发利用和产业发展的良好环境，国家有关部门、行业组织、科研 机构、企业、个人共同参与和实施的一系列活动集合。包括完善相关政策法规，推动政策法规落地，建设实施标准体系，研发应用关键技术，培养专业人才等。 命周期环节，有针对性地识别并解决其中存在的数据安全问题，防范数据安全风险。 （2）多元化主体共同参与 无论是从广义还是狭义的角度出发，数据安全治理不是仅仅依靠一方力量可以开 展的工作。对国家和社会而言，面对数据安全领域的诸多挑战，政府、企业、行业组织、甚至个人都需要发挥各自优势，紧密配合，承担数据安全治理主体责任，共同营造适应数字经济时代要求的协同治理模式。这也与《中华人民共和国数据安全法》（以下简称《数据安全法》）中强调建立各方共同参与的工作机制相一致。对组织机构而言，数据安全治理需要从组织战略层面出发，协调管理层、执行层等相关方，打通不同部门之间的沟通障碍，统一内部数据安全共识，实现数据安全防护建设一盘棋。因此，数据安全治理必然是涉及多元化主体共同参与的工作。 （3）兼顾发展与安全 随着国内数字化建设的快速推进，无论是政府部门，还是其他组织均沉淀了大量 的数据。数字经济时代的应用场景下，数据只有在流动中才能充分发挥其价值，而数据流动又必须以保障数据安全为前提，因此，必须要辩证看待数据安全治理。正如《数据安全法》提出的“坚持以数据开发利用和产业发展促进数据安全，以数据安全保障数据开发利用和产业发展。”数据安全治理不是强调数据的绝对安全，而是需要兼顾发展与安全的平衡。 二、数据安全治理总体视图 本指南结合前期大量调研和数据安全治理能力评估实践，依据中国通信标准化协会大数据技术标准推进委员会BDC91-2022《数据安全治理能力评估方法》，提炼出一套行之有效的数据安全治理总体视图，用以描绘数据安全治理的建设蓝图和实践路线，如图1所示。 图1数据安全治理总体视图 来源：数据安全推进计划 (一)数据安全治理目标 数据安全治理目标是组织数据安全治理工作开展的前进方向。本指南认为其主要包括满足合规要求、管理数据安全风险、促进数据开发利用三方面。 满足合规要求。逐渐细化的数据安全监管要求，为组织数据安全合规工作的推进 提出了更高的要求。及时发现合规差距，协助组织履行数据安全责任义务，为业务的 稳定运行和规范化开展筑牢根基是数据安全治理工作的首要目标。 管理数据安全风险。不断产出的海量数据在动态实时流转过程中，面临着较大的 风险暴露面，数据安全威胁及带来的影响与日俱增。叠加数据安全边界较为模糊、数 据安全基础不够强韧等问题，组织数据安全风险的有效管理必然是数据安全治理的重要使命。 促进数据开发利用。数字经济的高速发展离不开数据价值的充分释放，数据安全 则是保障数据价值释放的重要基石。数据安全治理通过体系化的建设，完善组织的合规管理和风险管理工作机制，提升数据安全保护水平，促进数据的开发利用。 (二)数据安全治理体系 数据安全治理体系是组织达成数据安全治理目标需要具备的能力框架，组织应围绕该体系进行建设。本指南提出的数据安全治理体系是一个三层架构，分别包括数据安全战略层、数据全生命周期安全层和基础安全层。 数据安全战略层是推进数据安全治理工作开展的战略保障模块，要求组织在启动 各项工作前，应制定相应的战略规划。数据安全战略从数据安全规划、机构人员管理 两方面入手，前者确立目标任务，后者组建治理团队。 •数据安全规划要求根据国家政策、组织业务发展需要以及数据安全需求等多方 面因素明确组织整体数据安全规划。 •机构人员管理要求建立负责组织内部数据安全工作的部门、岗位和人员，并与 人力资源管理部门进行联动，防范机构人员管理过程中存在的数据安全风险。 数据全生命周期安全层是评估组织数据安全合规及风险管理等工作下沉至各业务 场景能力水平的重要模块。要求组织以采集、传输、存储、使用、共享、销毁等环节为切入点，设置管控点和管理流程，保障数据安全。具体来说包括： •数据采集安全是指根据组织对数据采集的安全要求，建立数据采集安全管理措施和安全防护措施，规范数据采集相关流程，从而保证数据采集的合法、合规、正当和诚信。 •数据传输安全是指根据组织对内和对外的数据传输需求，建立不同的数据加密保护策略和安全防护措施，防止传输过程中的数据泄露等风险。 •数据存储安全是指根据组织内部数据存储安全要求，提供有效的技术和管理手 段，防止对存储介质的不当使用而可能引发的数据泄露风险，并规范数据存储的冗余 管理流程，保障数据可用性，实现数据存储安全。 •数据使用安全是指根据数据使用过程面临的安全风险，建立有效的数据使用安 全管控措施和数据处理环境的安全保护机制，防止数据处理过程的风险。 •数据共享安全是指根据组织对外提供或交换数据的需求，建立有效的数据交换 安全防护措施，降低数据共享场景下的安全风险。 •数据销毁安全是指通过制定数据销毁机制，实现有效的数据销毁管控，防止因 对存储介质中的数据进行恢复而导致的数据泄露风险。 基础安全层作为数据全生命周期安全能力建设的基本支撑模块，可以在多个生命 周期环节内复用，是整个数据安全治理体系建设的通用要求，能够实现建设资源的有 效整合。具体来说包括： •数据分类分级是指根据法律法规以及业务需求，明确组织内部的数据分类分级 原则及方法，并对数据进行分类分级标识，以实现差异化的数据安全管理。 •合规管理是指根据组织内部的业务需求和业务开展场景，明确相关法律法规要 求，通过制定管理措施降低组织面临的合规风险。 •合作方管理是指通过建立组织的合作方管理机制，防范组织对外合作中的数据 安全风险。 •监控审计是指通过建立监控及审计的工作机制，有效防范不正当的数据访问和 操作行为，降低数据全生命周期未授权访问、数据滥用、数据泄露等安全风险。 •身份认证与访问控制是指根据组织的安全合规要求，建立用户身份认证和访问 控制管理机制，防止对数据的未授权访问。 •安全风险分析是指根据组织的业务场景建立数据安全风险分析体系，将风险控 制在可接受的水平，最大限度的保障数据安全。 •安全事件应急是指通过建立数据安全应急响应体系，确保在发生数据安全事件后能够及时止损