许琛超-数据安全治理的破与立

数据安全治理的破与立

破

• 数据来源：《数据安全市场研究报告》（2022-10） —数说安全
• 单点能力建设：存在单点能力不足，需各层级协同解决。

立

• 目标：
  • 充分利用数据促进业务发展，确保数据安全与业务发展相互促进。
  • 符合法律法规和标准要求，坚守数据安全底线。
  • 有效管理数据安全风险，为业务发展提供坚实保障。
• 框架：
  • 治理目标：数据安全合规管理、数据安全需求管理、数据安全执行管理。
  • 技术保障：数据资产分类分级、数据全生命周期风险管理和数据安全技术体系。
  • 运营体系：数据安全管理制度、流程及数据安全策略为基础，建立覆盖运维管理、风险防控、持续监测、应急响应及恢复溯源的数据安全运营管理过程。

法律法规

• 国家层面：
  • 《中华人民共和国国家安全法》
  • 《中华人民共和国网络安全法》
  • 《中华人民共和国数据安全法》
  • 《中华人民共和国个人信息保护法》
• 工信部：
  • 多项数据安全管理通知和行动方案
• 人民银行&银保监会：
  • 《个人金融信息保护技术规范》
  • 《金融数据安全分级指南》
  • 《中国银保监会监管数据安全管理办法（试行）》

关键区别

• 数据安全 vs 网络安全：
  • 数据安全更侧重于保护数据本身及其全生命周期的安全，而网络安全则更多关注网络系统的安全运行。

数据全生命周期风险

• 风险点：数据采集、传输、存储、使用、共享和销毁等各个环节均存在风险。

数据安全技术体系

• 基础措施：综合采用网络安全基础措施及数据安全技术保护措施。
• 技术手段：数据资产分类分级管理、数据接口监控、数据操作审计、数据加解密、数据泄露溯源、数据流动风险监控、数据脱敏统一管控、数据安全评估及流程管理、数据安全态势集中分析。

运营体系

• 过程：以数据安全管理制度、流程及数据安全策略为基础，建立覆盖运维管理、风险防控、持续监测、应急响应及恢复溯源的数据安全运营管理过程。
• 机制：定期评估数据安全合规状况及治理体系，建立覆盖多角度的数据安全审计机制，持续改进数据安全体系、策略、能力、运营及监督机制。