数据安全治理实践指南（3.0）

版权声明 本报告版权属于“数据安全推进计划”，并受法律保护。转载、摘编或者利用其他方式使用本报告文字、图表或者观点的，应注明“来 源：数据安全推进计划”。违反上述声明者，编者将追究其相关法律责任。 前言 数据作为数字经济发展的核心资源，是驱动社会创新、经济高质量发展的源动能。近期，随着国家数据局的成立、财政部《企业数据资源相关会计处理暂行规定》等的发布，数据获得各方空前关注。作为数字经济健康发展的重要基石，数据安全的重要性愈发突出，数据安全治理需求愈加明显。 为了梳理数据安全治理的概念内涵，探讨数据安全建设路线，解决数据安全实践难点问题，中国信息通信研究院数据安全推进计划发布《数据安全治理实践指南》（以下简称《指南》）系列，围绕数据安全治理目标、治理框架、治理实践路径展开论述。 相较于《指南（1.0）》《指南（2.0）》，本指南主要对数据安全治理总体视图及相关内容进行更新，主要体现在： （1）针对数据安全治理体系，丰富了基于数据全生命周期视角、基于工作内容分工视角的体系解读，贴近组织实际工作。 （2）针对数据安全运营，丰富了从运营对象、管控流程两个角度的建设内容，为组织提供更多的选择。 （3）增加数据安全专项工作开展思路，围绕数据分类分级、数据安全风险评估及治理、个人信息保护、数据出境安全评估、合作方数据安全管理等重点话题，阐述工作思路与方法。 （4）删除数据安全治理实践案例的附录，各组织的优秀实践案例将另行汇聚出版。 目录 一、数据安全治理概述1 (一)数据安全治理概念内涵1 (二)数据安全治理原则2 1.以数据为中心2 2.多元化主体共同参与2 3.兼顾发展与安全3 二、数据安全治理总体视图4 (一)数据安全治理目标4 (二)数据安全治理体系5 1.基于数据全生命周期视角5 2.基于工作内容分工视角8 (三)数据安全治理维度9 1.组织架构9 2.制度流程12 3.技术工具15 4.人员能力17 (四)数据安全治理专项19 (五)数据安全治理实践19 三、数据安全治理实践路线20 (一)全局数据安全体系规划20 1.现状分析20 2.方案规划21 3.方案论证23 (二)数据安全场景有序建设23 1.全面梳理业务场景24 2.确定业务场景治理优先级27 3.评估业务场景数据安全风险28 4.制定并实施业务场景解决方案28 5.完善业务场景操作规范28 (三)数据安全运营持续加强28 1.从运营对象的角度29 2.从管控流程的角度31 (四)数据安全评估助力优化34 1.内部评估34 2.第三方评估35 四、数据安全治理专项开展思路36 （一）数据分类分级专项36 1.建立组织保障36 2.进行数据资源梳理37 3.明确分类分级方法、策略38 4.完成数据分类38 5.逐类完成定级40 6.形成分类分级目录41 7.制定数据安全策略41 （二）数据安全风险评估及治理专项42 1.数据安全风险评估42 2.数据安全风险治理44 （三）个人信息保护专项45 1.个人信息采集风险45 2.个人信息存储风险46 3.个人信息使用风险46 4.组织管理风险46 （四）合作方数据安全管理专项46 1.数据合作方识别47 2.数据合作方安全评估47 （五）数据出境安全评估专项48 1.判断是否适用数据出境安全评估49 2.明确需要数据出境安全评估的场景49 3.准备各项申报材料50 五、数据安全治理总结与展望51 一、数据安全治理概述 发展数字经济、加快培育发展数据要素市场，必须把保障数据安全放在突出位置。这就要求我们着力解决数据安全领域的突出问题，有效提升数据安全治理能力。随着数据安全监管要求逐渐落地，组织数据安全治理动力明显攀升，数据安全技术及服务供给不断释放。整体来看，数据安全治理进入快速发展阶段。本章将解析数据安全治理概念内涵，分析数据安全治理原则。 (一)数据安全治理概念内涵 为指导行业数据安全治理能力建设，促进行业数据安全治理能力发展，依据中国通信标准化协会大数据技术标准推进委员会BDC91-2022《数据安全治理能力评估方法》，梳理数据安全治理概念内涵，本指南认为应该从广义和狭义两个角度进行理解。 狭义地说，数据安全治理是指在组织数据安全战略的指导下，为 确保组织数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力，内外部相关方协作实施的一系列活动集合。包括建立数据安全治理组织架构，制定数据安全制度规范，构建数据安全技术体系，建设数据安全人才梯队等。 广义地说，数据安全治理是在国家数据安全战略的指导下，为形 成全社会共同维护数据安全、促进开发利用和产业发展的良好环境， 国家有关部门、行业组织、科研机构、企业、个人共同参与和实施的一系列活动集合。包括完善相关政策法规，推动政策法规落地，建设实施标准体系，研发应用关键技术，培养专业人才等。 (二)数据安全治理原则 1.以数据为中心 数据的高效开发和利用，涵盖了数据的采集、传输、存储、使用、共享、销毁等全生命周期的各个环节，不同环节的特性不同，都面临丰富多样的数据安全威胁与风险。因此，必须构建以数据为中心的数据安全治理体系，根据具体的业务场景和各生命周期环节，有针对性地识别并解决其中存在的数据安全问题，防范数据安全风险。 2.多元化主体共同参与 无论是从广义还是狭义的角度出发，数据安全治理不是仅仅依靠一方力量可以开展的工作。对国家和社会而言，面对数据安全领域的诸多挑战，政府、企业、行业组织、甚至个人都需要发挥各自优势，紧密配合，承担数据安全治理主体责任，共同营造适应数字经济时代要求的协同治理模式。这也与《中华人民共和国数据安全法》（以下简称《数据安全法》）中强调建立各方共同参与的工作机制相一致。对组织机构而言，数据安全治理需要从组织战略层面出发，协调管理层、执行层等相关方，打通不同部门之间的沟通障碍，统一内部数据安全共识，实现数据安全防护建设一盘棋。因此，数据安全治理必然 是涉及多元化主体共同参与的工作。 3.兼顾发展与安全 因此，必须要辩证看待数据安全治理。正如《数据安全法》提出的“坚持以数据开发利用和产业发展促进数据安全，以数据安全保障数据开发利用和产业发展。”数据安全治理不是强调数据的绝对安全，而是需要兼顾发展与安全的平衡。 随着国内数字化建设的快速推进，无论是政府部门，还是其他组织均沉淀了大量的数据。数字经济时代的应用场景下，数据只有在流动中才能充分发挥其价值，而数据流动又必须以保障数据安全为前提， 二、数据安全治理总体视图 本指南结合前期大量调研和数据安全治理能力评估实践，依据中国通信标准化协会大数据技术标准推进委员会BDC91-2022《数据安全治理能力评估方法》，提炼出一套行之有效的数据安全治理总体视图，用以描绘数据安全治理的建设蓝图和实践路线，如图1所示。 来源：数据安全推进计划 图1数据安全治理总体视图 (一)数据安全治理目标 数据安全治理目标是组织数据安全治理工作开展的前进方向。本指南认为其主要包括满足合规要求、治理数据安全风险、促进数据开发利用三方面。 满足合规要求。逐渐细化的数据安全监管要求，为组织数据安全 合规工作的推进提出了更高的要求。及时发现合规差距，协助组织履行数据安全责任义务，为业务的稳定运行和规范化开展筑牢根基是数据安全治理工作的首要目标。 治理数据安全风险。不断产出的海量数据在动态实时流转过程中， 面临着较大的风险暴露面，数据安全威胁及带来的影响与日俱增。叠加数据安全边界较为模糊、数据安全基础不够强韧等问题，组织数据安全风险的有效治理必然是数据安全治理的重要使命。 促进数据开发利用。数字经济的高速发展离不开数据价值的充分 释放，数据安全则是保障数据价值释放的重要基石。数据安全治理通过体系化的建设，完善组织的合规管理和风险管理工作机制，提升数据安全保护水平，促进数据的开发利用。 (二)数据安全治理体系 数据安全治理体系是组织达成数据安全治理目标需要具备的能力框架，组织应该围绕该体系进行建设。本指南依据BDC91-2022《数据安全治理能力评估方法》，基于数据全生命周期视角提出了一个三 层架构，同时基于该三层架构在实践中的工作分工，演化出管理、技 术、运营三类工作内容。 1.基于数据全生命周期视角 数据安全治理体系的三层框架包括数据安全战略层、数据全生命周期安全层和基础安全层，其中： 数据安全战略层是推进数据安全治理工作开展的战略保障模块， 要求组织在启动各项工作前，应制定相应的战略规划。数据安全战略从数据安全规划、机构人员管理两方面入手，前者确立目标任务，后者组建治理团队。 •数据安全规划要求根据国家政策、组织业务发展需要以及数据安全需求等多方面因素明确组织整体数据安全规划。 •机构人员管理要求建立负责组织内部数据安全工作的部门、岗位和人员，并与人力资源管理部门进行联动，防范机构人员管理过程中存在的数据安全风险。 数据全生命周期安全层是评估组织数据安全合规及风险管理等 工作下沉至各业务场景能力水平的重要模块。要求组织以采集、传输、存储、使用、共享、销毁等环节为切入点，设置管控点和管理流程，保障数据安全。具体来说包括： •数据采集安全是指根据组织对数据采集的安全要求，建立数据采集安全管理措施和安全防护措施，规范数据采集相关流程，从而保证数据采集的合法、合规、正当和诚信。 •数据传输安全是指根据组织对内和对外的数据传输需求，建立不同的数据加密保护策略和安全防护措施，防止传输过程中的数据泄露等风险。 •数据存储安全是指根据组织内部数据存储安全要求，提供有效的技术和管理手段，防止对存储介质的不当使用而可能引发的数据泄露风险，并规范数据存储的冗余管理流程，保障数据可用性，实现数 据存储安全。 •数据使用安全是指根据数据使用过程面临的安全风险，建立有效的数据使用安全管控措施和数据处理环境的安全保护机制，防止数据处理过程的风险。 •数据共享安全是指根据组织对外提供或交换数据的需求，建立有效的数据交换安全防护措施，降低数据共享场景下的安全风险。 •数据销毁安全是指通过制定数据销毁机制，实现有效的数据销毁管控，防止因对存储介质中的数据进行恢复而导致的数据泄露风险。 基础安全层作为数据全生命周期安全能力建设的基本支撑模块， 可以在多个生命周期环节内复用，是整个数据安全治理体系建设的通用要求，能够实现建设资源的有效整合。具体来说包括： •数据分类分级是指根据法律法规以及业务需求，明确组织内部的数据分类分级原则及方法，并对数据进行分类分级标识，以实现差异化的数据安全管理。 •合规管理是指根据组织内部的业务需求和业务开展场景，明确相关法律法规要求，通过制定管理措施降低组织面临的合规风险。 •合作方管理是指通过建立组织的合作方管理机制，防范组织对外合作中的数据安全风险。 •监控审计是指通过建立监控及审计的工作机制，有效防范不正当的数据访问和操作行为，降低数据全生命周期未授权访问、数据滥用、数据泄露等安全风险。 •身份认证与访问控制是指根据组织的安全合规要求，建立用户身份认证和访问控制管理机制，防止对数据的未授权访问。 •安全风险分析是指根据组织的业务场景建立数据安全风险分析体系，将风险控制在可接受的水平，最大限度的保障数据安全。 •安全事件应急是指通过建立数据安全应急响应体系，确保在发生数据安全事件后能够及时止损，保障业务的安全和稳定运行，最大程度降低数据安全事件带来的影响。 2.基于工作内容分工视角 上述三层框架在组织内部落地实践过程，涉及到多方面的工作，根据组织内常见的工作划分，我们按照管理、技术、运营三类的工作内容进行演化，生成基于工作内容的数据安全治理体系视角，其中： 管理类工作涉及组织架构、制度流程、人员管理等三方面工作， 是数据安全治理体系在组织内运作的基石，主要负责协调、整合及优化各种资源，最终实现数据安全治理目标。更详细的内容可以参考“（三）数据安全治理维度”。 技术类工作