數(shù)據(jù)安全治理實踐指南2.0

1數(shù)據(jù)安全治理實踐指南1數(shù)據(jù)安全治理實踐指南2.0數(shù)據(jù)安全治理實踐指南2.0版權聲版權聲明本報告版權屬于數(shù)據(jù)安全推進計劃，并受法律保護。轉(zhuǎn)載、摘編或利用其它方式使用本報告文字或者觀點的，應注明“來源：數(shù)據(jù)安全推進計劃”。違反上述聲明者，編者將追究其相關法律責任。數(shù)據(jù)安全治理實踐指南2.0特別鳴謝機特別鳴謝機構中國信息通信研究院、中國移動通信集團有限公司、中國聯(lián)合網(wǎng)絡通信集團有限公司、中國電信集團有限公司、中移信息技術有限公司、中國聯(lián)合網(wǎng)絡通信有限公司廣東省有限公司、北京百度網(wǎng)訊科技有限公司、深圳市騰訊計算機系統(tǒng)有限公司、中國工商銀行股份有限公司、中國建設銀行股份有限公司、中國光大銀行股份有限公司、華泰證券股份有限公司、國信證券股份有限公司、吉利控股集團有限公司、上海汽車集團股份有限公司、國網(wǎng)四川信通公司、OPPO廣東移動通信有限公司、天道金科股份有限公司、上海淇毓信息科技有限公司、中國電子科技網(wǎng)絡信息安全有限公司、天達共天空衛(wèi)士網(wǎng)絡安全技術有限公司、北京天融信網(wǎng)絡安全技術有限公司、杭州安恒信息科技有限公司、杭州美創(chuàng)科技股份有限公司、綠盟科技集團股份有限公司、北京數(shù)安行科技有限公司、IBM、北京奇虎科技有限公司、浪潮云信息技術股份公司、北京曠視科技有限公司、上海新炬網(wǎng)絡信息技術股份有限公司、浙江零跑科技股份有限公司、江蘇保旺達軟件技術有限公司、上海愛數(shù)信息技術股份有限公司、鄭州信大捷安信息江西省信息中心、安徽辰圖大數(shù)據(jù)科技有限公司特別鳴謝專特別鳴謝專家劉雪花、李雪妮、魏凱、姜春宇、閆樹、龔詩然、李天陽、郝志婧、張越、張亞蘭、溫暖、趙晨斌、于文良、曹繼文、鄂梅、寧相軍、何曉倩、劉建國、谷陟軍、吳劍鋒、陳澤楠、許琛超、杜悅藝、吳芳瓊、李克鵬、袁文生、吳凡、顧曉強、張坤、邵媛、劉巍、江旺、張炎、王君、周思佳、左銀康、肖雪、孫雄濤、王一斌、劉坤靈、蘇振波、王同新、張贛、崔新煒、柳偉杰、薛鋒、申曉雨、葉鵬、潘良、王新華、楊勇濤、李洪亮、梁偉、楊明非、張文禮、謝雄、林鷺、王彥翔、金岳陽、劉玉紅、孔祥慧、王雨薇、唐會芳、李傳忠、李連偉、趙華濤、程永新、梁銘圖、黃國標、陳昺潤、劉險峰、盧偉、張震、劉為華、胡國華、李楷、張藝偉、何黎明、周劍濤、關中華數(shù)據(jù)安全治理實踐指南2.0前前言數(shù)據(jù)作為新型生產(chǎn)要素，已成為國家重要資產(chǎn)和我國數(shù)字經(jīng)濟發(fā)展的基礎戰(zhàn)略資源。2021年以來，國家、行業(yè)、地方相繼頒布了大量數(shù)據(jù)安全政策文件。作為數(shù)字經(jīng)濟健康發(fā)展的重要基石，數(shù)據(jù)安全的重要性愈發(fā)突出，數(shù)據(jù)安全治理需求愈加明顯。為了梳理數(shù)據(jù)安全治理的概念內(nèi)涵，探討企業(yè)數(shù)據(jù)安全建設路線，中國信息通信研究院云計算與大數(shù)據(jù)研究所于2021年7月發(fā)布《數(shù)據(jù)安全治理實踐指南(1.0)》(以下簡稱《指南(1.0)》)，圍繞數(shù)據(jù)安全治理目標、治理框架、治理實踐路徑展開論述。經(jīng)過一年多的發(fā)展，企業(yè)數(shù)據(jù)安全治理取得了有效進展，同時也面臨新的挑戰(zhàn)。比如，當前大部分企業(yè)的數(shù)據(jù)安全管理制度聚焦在原則、管理規(guī)定等較粗顆粒度的層面，對數(shù)據(jù)業(yè)務的下沉指導不充分，導致具體業(yè)務場景下的技術落地仍然缺乏實踐指引，容易與管理要求脫節(jié)等。本指南依據(jù)大量行業(yè)調(diào)研和企業(yè)實踐，在《指南(1.0)》的基礎上優(yōu)化了數(shù)據(jù)安全治理總體視圖，并針對數(shù)據(jù)分類分級難落地、管理與技術易脫鉤等焦點問題的建設方案進行了初步探索，進一步細化了數(shù)據(jù)安全治理實踐路線。數(shù)據(jù)安全治理實踐指南2.0目目錄一、數(shù)據(jù)安全治理概述(一)數(shù)據(jù)安全治理概念內(nèi)涵(二)數(shù)據(jù)安全治理要點111二、數(shù)據(jù)安全治理總體視圖(一)數(shù)據(jù)安全治理目標(二)數(shù)據(jù)安全治理體系(三)數(shù)據(jù)安全治理維度(四)數(shù)據(jù)安全治理實踐3446三、數(shù)據(jù)安全治理實踐路線(一)數(shù)據(jù)安全規(guī)劃(二)數(shù)據(jù)安全建設(三)數(shù)據(jù)安全運營(四)數(shù)據(jù)安全評估優(yōu)化四、數(shù)據(jù)分類分級場景建設思路(一)第一步：建立組織保障(二)第二步：進行數(shù)據(jù)資源梳理(三)第三步：明確分類分級方法、策略(四)第四步：完成數(shù)據(jù)分類(五)第五步：逐類完成定級(六)第六步：形成分類分級目錄(七)第七步：制定數(shù)據(jù)安全策略21五、數(shù)據(jù)安全治理總結與展望27附錄：數(shù)據(jù)安全治理實踐案例(一)華泰證券股份有限公司(二)中移信息技術有限公司(三)中國聯(lián)通廣東省分公司(四)吉利汽車集團有限公司(五)360數(shù)科28數(shù)據(jù)安全治理實踐指南2.01一、數(shù)據(jù)安全治理概述發(fā)展數(shù)字經(jīng)濟、加快培育發(fā)展數(shù)據(jù)要素市場，必須把保障數(shù)據(jù)安全放在突出位置。這就要求我們著力解決數(shù)據(jù)安全領域的突出問題，有效提升數(shù)據(jù)安全治理能力。隨著數(shù)據(jù)安全監(jiān)管要求逐漸落地，組織數(shù)據(jù)安全治理動力明顯攀升，數(shù)據(jù)安全技術及服務供給不斷釋放。整體來看，數(shù)據(jù)安全治理進入快速發(fā)展階段。本章將解析數(shù)據(jù)安全治理概念內(nèi)涵，分析數(shù)據(jù)安全治理要點。((一)數(shù)據(jù)安全治理概念內(nèi)涵為指導行業(yè)數(shù)據(jù)安全治理能力建設，促進行業(yè)數(shù)據(jù)安全治理能力發(fā)展，依據(jù)中國通信標準化協(xié)會大數(shù)據(jù)技術標準推進委員會BDC91-2022《數(shù)據(jù)安全治理能力評估方法》，梳理數(shù)據(jù)安全治理概念內(nèi)涵，本指南認為應該從廣義和狹義兩個角度進行理解。狹義地說，數(shù)據(jù)安全治理是指在組織數(shù)據(jù)安全戰(zhàn)略的指導下，為確保組織數(shù)據(jù)處于有效保護和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力，內(nèi)外部相關方協(xié)作實施的一系列活動集合。包括建立數(shù)據(jù)安全治理組織架構，制定數(shù)據(jù)安全制度規(guī)范，構建數(shù)據(jù)安全技術體系，建設數(shù)據(jù)安全人才梯隊等。廣義地說，數(shù)據(jù)安全治理是在國家數(shù)據(jù)安全戰(zhàn)略的指導下，為形成全社會共同維護數(shù)據(jù)安全、促進開發(fā)利用和產(chǎn)業(yè)發(fā)展的良好環(huán)境，國家有關部門、行業(yè)組織、科研機構、企業(yè)、個人共同參與和實施的一系列活動集合。包括完善相關政策法規(guī)，推動政策法規(guī)落地，建設實施標準體系，研發(fā)應用關鍵技術，培養(yǎng)專業(yè)人才等。((二)數(shù)據(jù)安全治理要點 (1)以數(shù)據(jù)為中心全生命周期的各個環(huán)節(jié)，不同環(huán)節(jié)的特性不同，都面臨豐富多樣的數(shù)據(jù)安全威脅與風險。因此，必須構建以數(shù)據(jù)為中心的數(shù)據(jù)安全治理體系，根據(jù)具體的業(yè)務場景和各生數(shù)據(jù)安全治理實踐指南2.02命周期環(huán)節(jié)，有針對性地識別并解決其中存在的數(shù)據(jù)安全問題，防范數(shù)據(jù)安全風險。 (2)多元化主體共同參與無論是從廣義還是狹義的角度出發(fā)，數(shù)據(jù)安全治理不是僅僅依靠一方力量可以開展的工作。對國家和社會而言，面對數(shù)據(jù)安全領域的諸多挑戰(zhàn)，政府、企業(yè)、行業(yè)組織、甚至個人都需要發(fā)揮各自優(yōu)勢，緊密配合，承擔數(shù)據(jù)安全治理主體責任，共同營造適應數(shù)字經(jīng)濟時代要求的協(xié)同治理模式。這也與《中華人民共和國數(shù)據(jù)安全法》(以下簡稱《數(shù)據(jù)安全法》)中強調(diào)建立各方共同參與的工作機制相一致。對組織機構而言，數(shù)據(jù)安全治理需要從組織戰(zhàn)略層面出發(fā)，協(xié)調(diào)管理層、執(zhí)行層等相關方，打通不同部門之間的溝通障礙，統(tǒng)一內(nèi)部數(shù)據(jù)安全共識，實現(xiàn)數(shù)據(jù)安全防護建設一盤棋。因此，數(shù)據(jù)安全治理必然是涉及多元化主體共同參與的工作。 (3)兼顧發(fā)展與安全隨著國內(nèi)數(shù)字化建設的快速推進，無論是政府部門，還是其他組織均沉淀了大量的數(shù)據(jù)。數(shù)字經(jīng)濟時代的應用場景下，數(shù)據(jù)只有在流動中才能充分發(fā)揮其價值，而數(shù)據(jù)流動又必須以保障數(shù)據(jù)安全為前提，因此，必須要辯證看待數(shù)據(jù)安全治理。正如《數(shù)據(jù)安全法》提出的“堅持以數(shù)據(jù)開發(fā)利用和產(chǎn)業(yè)發(fā)展促進數(shù)據(jù)安全，以數(shù)據(jù)安全保障數(shù)據(jù)開發(fā)利用和產(chǎn)業(yè)發(fā)展?！睌?shù)據(jù)安全治理不是強調(diào)數(shù)據(jù)的絕對安全，而是需要兼顧發(fā)展與安全的平衡。3數(shù)據(jù)安全治理實踐指南2.0二、數(shù)據(jù)安全治理總體視圖本指南結合前期大量調(diào)研和數(shù)據(jù)安全治理能力評估實踐，依據(jù)中國通信標準化協(xié)會大數(shù)據(jù)技術標準推進委員會BDC91-2022《數(shù)據(jù)安全治理能力評估方法》，提煉出一套行之有效的數(shù)據(jù)安全治理總體視圖，用以描繪數(shù)據(jù)安全治理的建設藍圖和實踐路線，如圖1所示。來源：數(shù)據(jù)安全推進計劃圖1數(shù)據(jù)安全治理總體視圖數(shù)據(jù)安全治理實踐指南2.04((一)數(shù)據(jù)安全治理目標數(shù)據(jù)安全治理目標是組織數(shù)據(jù)安全治理工作開展的前進方向。本指南認為其主要包括滿足合規(guī)要求、管理數(shù)據(jù)安全風險、促進數(shù)據(jù)開發(fā)利用三方面。滿足合規(guī)要求。逐漸細化的數(shù)據(jù)安全監(jiān)管要求，為組織數(shù)據(jù)安全合規(guī)工作的推進提出了更高的要求。及時發(fā)現(xiàn)合規(guī)差距，協(xié)助組織履行數(shù)據(jù)安全責任義務，為業(yè)務的穩(wěn)定運行和規(guī)范化開展筑牢根基是數(shù)據(jù)安全治理工作的首要目標。管理數(shù)據(jù)安全風險。不斷產(chǎn)出的海量數(shù)據(jù)在動態(tài)實時流轉(zhuǎn)過程中，面臨著較大的風險暴露面，數(shù)據(jù)安全威脅及帶來的影響與日俱增。疊加數(shù)據(jù)安全邊界較為模糊、數(shù)據(jù)安全基礎不夠強韌等問題，組織數(shù)據(jù)安全風險的有效管理必然是數(shù)據(jù)安全治理的重要使命。促進數(shù)據(jù)開發(fā)利用。數(shù)字經(jīng)濟的高速發(fā)展離不開數(shù)據(jù)價值的充分釋放，數(shù)據(jù)安全則是保障數(shù)據(jù)價值釋放的重要基石。數(shù)據(jù)安全治理通過體系化的建設，完善組織的合規(guī)管理和風險管理工作機制，提升數(shù)據(jù)安全保護水平，促進數(shù)據(jù)的開發(fā)利用。((二)數(shù)據(jù)安全治理體系數(shù)據(jù)安全治理體系是組織達成數(shù)據(jù)安全治理目標需要具備的能力框架，組織應圍繞該體系進行建設。本指南提出的數(shù)據(jù)安全治理體系是一個三層架構，分別包括數(shù)據(jù)安全戰(zhàn)略層、數(shù)據(jù)全生命周期安全層和基礎安全層。數(shù)據(jù)安全戰(zhàn)略層是推進數(shù)據(jù)安全治理工作開展的戰(zhàn)略保障模塊，要求組織在啟動各項工作前，應制定相應的戰(zhàn)略規(guī)劃。數(shù)據(jù)安全戰(zhàn)略從數(shù)據(jù)安全規(guī)劃、機構人員管理兩方面入手，前者確立目標任務，后者組建治理團隊。?數(shù)據(jù)安全規(guī)劃要求根據(jù)國家政策、組織業(yè)務發(fā)展需要以及數(shù)據(jù)安全需求等多方面因素明確組織整體數(shù)據(jù)安全規(guī)劃。?機構人員管理要求建立負責組織內(nèi)部數(shù)據(jù)安全工作的部門、崗位和人員，并與人力資源管理部門進行聯(lián)動，防范機構人員管理過程中存在的數(shù)據(jù)安全風險。數(shù)據(jù)全生命周期安全層是評估組織數(shù)據(jù)安全合規(guī)及風險管理等工作下沉至各業(yè)務場景能力水平的重要模塊。要求組織以采集、傳輸、存儲、使用、共享、銷毀等環(huán)節(jié)為切入點，設置管控點和管理流程，保障數(shù)據(jù)安全。具體來說包括：數(shù)據(jù)安全治理實踐指南2.05?數(shù)據(jù)采集安全是指根據(jù)組織對數(shù)據(jù)采集的安全要求，建立數(shù)據(jù)采集安全管理措施和安全防護措施，規(guī)范數(shù)據(jù)采集相關流程，從而保證數(shù)據(jù)采集的合法、合規(guī)、正當和誠信。?數(shù)據(jù)傳輸安全是指根據(jù)組織對內(nèi)和對外的數(shù)據(jù)傳輸需求，建立不同的數(shù)據(jù)加密保護策略和安全防護措施，防止傳輸過程中的數(shù)據(jù)泄露等風險。?數(shù)據(jù)存儲安全是指根據(jù)組織內(nèi)部數(shù)據(jù)存儲安全要求，提供有效的技術和管理手段，防止對存儲介質(zhì)的不當使用而可能引發(fā)的數(shù)據(jù)泄露風險，并規(guī)范數(shù)據(jù)存儲的冗余管理流程，保障數(shù)據(jù)可用性，實現(xiàn)數(shù)據(jù)存儲安全。?數(shù)據(jù)使用安全是指根據(jù)數(shù)據(jù)使用過程面臨的安全風險，建立有效的數(shù)據(jù)使用安全管控措施和數(shù)據(jù)處理環(huán)境的安全保護機制，防止數(shù)據(jù)處理過程的風險。?數(shù)據(jù)共享安全是指根據(jù)組織對外提供或交換數(shù)據(jù)的需求，建立有效的數(shù)據(jù)交換安全防護措施，降低數(shù)據(jù)共享場景下的安全風險。?數(shù)據(jù)銷毀安全是指通過制定數(shù)據(jù)銷毀機制，實現(xiàn)有效的數(shù)據(jù)銷毀管控，防止因?qū)Υ鎯橘|(zhì)中的數(shù)據(jù)進行恢復而導致的數(shù)據(jù)泄露風險?；A安全層作為數(shù)據(jù)全生命周期安全能力建設的基本支撐模塊，可以在多個生命周期環(huán)節(jié)內(nèi)復用，是整個數(shù)據(jù)安全治理體系建設的通用要求，能夠?qū)崿F(xiàn)建設資源的有效整合。具體來說包括：?數(shù)據(jù)分類分級是指根據(jù)法律法規(guī)以及業(yè)務需求，明確組織內(nèi)部的數(shù)據(jù)分類分級原則及方法，并對數(shù)據(jù)進行分類分級標識，以實現(xiàn)差異化的數(shù)據(jù)安全管理。?合規(guī)管理是指根據(jù)組織內(nèi)部的業(yè)務需求和業(yè)務開展場景，明確相關法律法規(guī)要求，通過制定管理措施降低組織面臨的合規(guī)風險。?合作方管理是指通過建立組織的合作方管理機制，防范組織對外合作中的數(shù)據(jù)安全風險。?監(jiān)控審計是指通過建立監(jiān)控及審計的工作機制，有效防范不正當?shù)臄?shù)據(jù)訪問和操作行為，降低數(shù)據(jù)全生命周期未授權訪問、數(shù)據(jù)濫用、數(shù)據(jù)泄露等安全風險。?身份認證與訪問控制是指根據(jù)組織的安全合規(guī)要求，建立用戶身份認證和訪問控制管理機制，防止對數(shù)據(jù)的未授權訪問。?安全風險分析是指根據(jù)組織的業(yè)務場景建立數(shù)據(jù)安全風險分析體系，將風險控制在可接受的水平，最大限度的保障數(shù)據(jù)安全。?安全事件應急是指通過建立數(shù)據(jù)安全應急響應體系，確保在發(fā)生數(shù)據(jù)安全事件后能夠及時止損，保障業(yè)務的安全和穩(wěn)定運行，最大程度降低數(shù)據(jù)安全事件帶來的影響。數(shù)據(jù)安全治理實踐指南2.06((三)數(shù)據(jù)安全治理維度以數(shù)據(jù)安全治理目標為指引，圍繞數(shù)據(jù)安全治理體系框架，可以從組織架構、制度體系、技術工具和人員能力四個維度開展治理能力建設工作，以解決“誰來干”、“怎么干”、“干的如何”、“有沒有能力干”等關鍵問題。1.組織架構數(shù)據(jù)安全組織架構是數(shù)據(jù)安全治理體系建設的前提條件。通過建立專門的數(shù)據(jù)安全組織，落實數(shù)據(jù)安全管理責任，確保數(shù)據(jù)安全相關工作能夠持續(xù)穩(wěn)定的貫徹執(zhí)行。同時，因數(shù)據(jù)安全治理是一項多元化主體共同參與的復雜工作，明確的組織架構有助于劃分各參與主體的數(shù)據(jù)安全權責邊界，促進協(xié)同機制的建立，實現(xiàn)組織數(shù)據(jù)安全治理一盤棋。部門等都需要參與到數(shù)據(jù)安全治理的具體工作中，相互協(xié)同，共同保障組織的數(shù)據(jù)安全。一種較為典型的數(shù)據(jù)安全治理組織架構一般由決策層、管理層、執(zhí)行層與監(jiān)督層構成，如圖2所示，各層之間通過定期會議溝通等工作機制實現(xiàn)緊密合作、相互協(xié)同。決策層指導管理層工作的開展，并聽取管理層關于工作情況和重大事項等的匯報。管理層對執(zhí)行層的數(shù)據(jù)安全提出管理要求，并聽取執(zhí)行層關于數(shù)據(jù)安全執(zhí)行情況和重大事項的匯報，形成管理閉環(huán)。監(jiān)督層對管理層和執(zhí)行層各自職責范圍內(nèi)的數(shù)據(jù)安全工作情況進行監(jiān)督，并聽取各方匯報，形成最終監(jiān)督結論后同步匯報至決策層。來源：數(shù)據(jù)安全推進計劃圖2數(shù)據(jù)安全治理組織架構示例數(shù)據(jù)安全治理實踐指南2.07各層的主要分工和構成如表1所示。決策層以虛擬組織的形式存在，如數(shù)據(jù)安全領導小組，該小組一般由組織的高層領導及相關部門負責人共同構成，主要負責對數(shù)據(jù)安全的重大事項進行統(tǒng)籌決策。管理層一般由安全部門或數(shù)據(jù)部門牽頭，負責數(shù)據(jù)安全的管理、建設、宣貫等工作。執(zhí)行部門一般由業(yè)務部門或數(shù)據(jù)生產(chǎn)部門構成，負責在本部門內(nèi)落實執(zhí)行各項數(shù)據(jù)安全管理要求。監(jiān)督層涉及到合規(guī)部門、風控部門、內(nèi)審部門等，負責從不同的角度對數(shù)據(jù)安全治理工作的開展情況進行監(jiān)督。表1數(shù)據(jù)安全組織職責分工表門//////來源：數(shù)據(jù)安全推進計劃因不同組織的部門設置都有較大不同，涉及到實際組織體系建設時，不同單位還需結合現(xiàn)有組織架構，進行適度的調(diào)整和補充。2.制度流程數(shù)據(jù)安全制度流程一般會從業(yè)務數(shù)據(jù)安全需求、數(shù)據(jù)安全風險控制需要，以及法律法規(guī)合規(guī)性要求等幾個方面進行梳理，最終確定數(shù)據(jù)安全防護的目標、管理策略及具體的標準、規(guī)范、程序等。數(shù)據(jù)安全管理制度文件可分為四個層面，一、二級文件作為上層的管理要求，應具備科學性、合理性、完備性及普適性。三、四級文件則是對上層管理要求的細化解讀，用于指導具體業(yè)務場景的具體工作。常見的制度體系如圖3所示。數(shù)據(jù)安全治理實踐指南2.08來源：數(shù)據(jù)安全推進計劃圖3數(shù)據(jù)安全治理制度體系示例一級文件是由決策層明確的面向組織的數(shù)據(jù)安全管理方針、政策、目標及基本原則。二級文件是由管理層根據(jù)一級文件制定的通用管理辦法、制度及標準。三級文件一般由管理層、執(zhí)行層根據(jù)二級管理辦法確定各業(yè)務、各環(huán)節(jié)的具體操作指南、規(guī)范。四級文件屬于輔助文件，是各項具體制度執(zhí)行時產(chǎn)生的過程性文檔，一般包括工作計劃、申請表單、審核記錄、日志文件、清單列表等內(nèi)容。根據(jù)圖3所示的常見制度體系，圍繞數(shù)據(jù)全生命周期安全要求，可以參考圖4完善組織各級制度文件內(nèi)容。來源：數(shù)據(jù)安全推進計劃圖4一套可參考的數(shù)據(jù)安全管理制度體系數(shù)據(jù)安全治理實踐指南2.093.技術體系數(shù)據(jù)安全技術體系并非單一產(chǎn)品或平臺的構建，而是覆蓋數(shù)據(jù)全生命周期，結合組織自身使用場景的體系建設。依照組織數(shù)據(jù)安全建設的方針總則，圍繞數(shù)據(jù)全生命周期各階段的安全要求，建立與制度流程相配套的技術和工具。一種數(shù)據(jù)安全治理技術體系如圖5所示。來源：數(shù)據(jù)安全推進計劃圖5數(shù)據(jù)安全治理技術體系其中基礎通用技術工具為數(shù)據(jù)全生命周期的安全提供支撐：?數(shù)據(jù)分類分級相關工具平臺主要實現(xiàn)數(shù)據(jù)資產(chǎn)掃描梳理、數(shù)據(jù)分類分級打標和數(shù)據(jù)分類分級管理等功能。?身份認證及訪問控制相關工具平臺，主要實現(xiàn)在數(shù)據(jù)全生命周期各環(huán)節(jié)中涉及的所有業(yè)務系統(tǒng)和管理平臺的身份認證和權限管理。?監(jiān)控審計相關工具平臺接入業(yè)務系統(tǒng)和管理平臺，實現(xiàn)對數(shù)據(jù)安全風險的實時監(jiān)控，并能進行統(tǒng)一審計。?日志管理平臺收集并分析所有業(yè)務系統(tǒng)和管理平臺的日志，并統(tǒng)一日志規(guī)范以支持后續(xù)的風險分析和審計等工作。?安全及合規(guī)評估相關工具平臺主要用于綜合評估數(shù)據(jù)安全現(xiàn)狀和合規(guī)風險。數(shù)據(jù)全生命周期安全技術為生命周期中特定環(huán)節(jié)面臨的風險提供管控技術保障。整個數(shù)據(jù)全生命周期可以通過組合或復用以下多種技術實現(xiàn)數(shù)據(jù)安全：?敏感數(shù)據(jù)識別通過對采集的數(shù)據(jù)進行識別和梳理，發(fā)現(xiàn)其中的敏感數(shù)據(jù)，以便進數(shù)據(jù)安全治理實踐指南2.0行安全管理。?備份與恢復技術是防止數(shù)據(jù)破壞、丟失的的有效手段，用于保證數(shù)據(jù)可用性和完?數(shù)據(jù)加密相關工具平臺通過提供常見的加密模塊及密鑰管理能力，落地數(shù)據(jù)的加?數(shù)據(jù)脫敏是通過一定的規(guī)則對特定數(shù)據(jù)對象進行變形的一類技術，用于防止數(shù)據(jù)泄露和違規(guī)使用等。?數(shù)據(jù)水印技術通過對數(shù)據(jù)進行處理使其承載特定信息，使得數(shù)據(jù)具備追溯數(shù)據(jù)所有者與分發(fā)對象等信息的能力。在數(shù)據(jù)處理過程中起到威懾及追責的作用。?數(shù)據(jù)泄密防護技術通過終端防泄露技術、郵件防泄露技術、網(wǎng)絡防泄露技術，防止敏感數(shù)據(jù)在違反安全策略規(guī)定的情況下流出企業(yè)。?API安全管理相關工具平臺提供內(nèi)部接口和外部接口的安全管控和監(jiān)控審計能力，保障數(shù)據(jù)傳輸接口安全。?數(shù)據(jù)刪除是一種邏輯刪除技術，為保證刪除數(shù)據(jù)的不可恢復，一般會采取數(shù)據(jù)多次的覆寫、清除等操作。?介質(zhì)銷毀一般通過消磁機或者物理搗毀等方式對數(shù)據(jù)所在的介質(zhì)進行物理銷毀。?隱私計算通過實現(xiàn)數(shù)據(jù)的可用不可見，從而滿足隱私安全保護、價值轉(zhuǎn)化及釋放。4.人員能力數(shù)據(jù)安全治理離不開相應人員的具體執(zhí)行，人員的技術能力、管理能力等都影響到數(shù)據(jù)安全策略的執(zhí)行和效果。因此，加強對數(shù)據(jù)安全人才的培養(yǎng)是數(shù)據(jù)安全治理的應有之義。組織需要根據(jù)崗位職責、人員角色，明確相應的能力要求，并從意識和能力兩方面著手建立適配的數(shù)據(jù)安全能力培養(yǎng)機制，如表2所示。意識能力培養(yǎng)方式?？梢越Y合業(yè)務開展的實際場景，以及數(shù)據(jù)安全事件實際案例，表2不同類型人員的數(shù)據(jù)安全能力要求和培養(yǎng)機制安全操作規(guī)范律法規(guī)政策能力、合規(guī)能力來源：數(shù)據(jù)安全推進計劃數(shù)據(jù)安全治理實踐指南2.0通過數(shù)據(jù)安全事件宣導、數(shù)據(jù)安全事件場景還原、數(shù)據(jù)安全宣傳海報、數(shù)據(jù)安全月活動等方式，定期為員工開展數(shù)據(jù)安全意識培訓，糾正工作中的不良習慣，降低因意識不足帶來的數(shù)據(jù)安全風險。技術能力培養(yǎng)方式。一方面，構建組織內(nèi)部的數(shù)據(jù)安全學習專區(qū)，營造培訓環(huán)境，通過線上視頻、線下授課相結合的方式，按計劃、有主題的定期開展數(shù)據(jù)安全技能培訓，夯實理論知識。另一方面，通過開展數(shù)據(jù)安全攻防對抗等實戰(zhàn)演練，將以教學為主的靜態(tài)培訓轉(zhuǎn)為以實踐為主的動態(tài)培訓，提高人員參與積極性，有助于理論向?qū)嵺`轉(zhuǎn)化，切實提高人員數(shù)據(jù)安全技能。為保障培訓效果，形成人員能力培養(yǎng)的管理閉環(huán)，還需要結合能力考核的管理機制。通過結合人員角色及崗位職責，構建數(shù)據(jù)安全能力考核試題庫，通過考核平臺分發(fā)日常測驗及各項考核內(nèi)容，評估人員數(shù)據(jù)安全理論基礎。同時將人員在實戰(zhàn)演練中的實際操作能力作為重要考核指標，以綜合評估數(shù)據(jù)安全人員能力水平。((四)數(shù)據(jù)安全治理實踐數(shù)據(jù)安全治理體系給出了組織數(shù)據(jù)安全治理的建設框架，如何將整套框架切實應用于建設過程，離不開實踐路線的繪制。本指南基于行業(yè)發(fā)展現(xiàn)狀，提煉出“全局體系規(guī)劃，場景有序落地，運營持續(xù)加強，評估助力優(yōu)化”的數(shù)據(jù)安全治理實踐理念，并進一步豐富形成“規(guī)劃—建設—運營—優(yōu)化”的閉環(huán)路線，用以指導各行業(yè)組織數(shù)據(jù)安全治理工作的落地推進。該實踐路線將在下一章展開論述。數(shù)據(jù)安全治理實踐指南2.0三、數(shù)據(jù)安全治理實踐路線基于以上數(shù)據(jù)安全治理實踐理念，可以按照自頂向下和自底向上相結合的思路推優(yōu)化為主線，圍繞構建數(shù)據(jù)安全治理體系這一核心，從組織架構、制度流程、技術工具和人員能力四個維度構建全局建設思路。另一方面，組織自底向上，針對各業(yè)務場景敏捷落地相關數(shù)據(jù)安全能力點，以快速滿足業(yè)務場景的數(shù)據(jù)安全需求，降低數(shù)據(jù)安全治理的長期性對業(yè)務開展的影響。通過各個場景的建設與完善，最終全面覆蓋組織的所有數(shù)據(jù)處理活動。以上的實踐過程可以有效避免管理和技術的“兩張皮”問題。((一)數(shù)據(jù)安全規(guī)劃數(shù)據(jù)安全規(guī)劃階段主要確定組織數(shù)據(jù)安全治理工作的總體定位和愿景，根據(jù)組織整體發(fā)展戰(zhàn)略內(nèi)容，結合實際情況進行現(xiàn)狀分析，制定數(shù)據(jù)安全規(guī)劃，并對規(guī)劃進行充分論證。1.現(xiàn)狀分析組織應通過現(xiàn)狀分析找到數(shù)據(jù)安全治理的核心訴求及差距項，以此作為規(guī)劃設計的依據(jù)?？梢詮陌踩弦?guī)對標、風險現(xiàn)狀分析、行業(yè)最佳實踐對比入手。一是數(shù)據(jù)安全合規(guī)對標。數(shù)據(jù)安全合規(guī)是組織履行數(shù)據(jù)安全相關責任義務的底線要求。不同組織應對組織適用的外部法律法規(guī)、監(jiān)管要求、標準規(guī)范等進行梳理，將重要條款與現(xiàn)有情況進行對比，分析其差距，確定合規(guī)需求。二是數(shù)據(jù)安全風險現(xiàn)狀分析。有效的數(shù)據(jù)安全風險管理是組織推進業(yè)務發(fā)展的重要保障。不同組織需結合其業(yè)務場景，基于數(shù)據(jù)全生命周期安全防護要求，通過數(shù)據(jù)安全風險評估等方式識別數(shù)據(jù)面臨的安全威脅及所在環(huán)境的脆弱性，形成風險問題清單，提煉數(shù)據(jù)安全建設需求點。三是行業(yè)最佳實踐對比。行業(yè)對比是組織經(jīng)營決策的主要參考。通過分析同行業(yè)的數(shù)據(jù)安全建設先進案例，并與組織現(xiàn)狀進行橫向?qū)Ρ?，有助于提煉出更加適宜的數(shù)據(jù)安全建設方向和建設思路。數(shù)據(jù)安全治理實踐指南2.02.方案規(guī)劃組織應根據(jù)現(xiàn)狀分析結果，結合數(shù)據(jù)安全治理目標，給出可落地實施的數(shù)據(jù)安全治理規(guī)劃方案，并提煉重點目標和任務，分階段落實到工程實施中。方案規(guī)劃可以從前文所述的四個數(shù)據(jù)安全治理維度入手，通過對組織架構、制度流程、技術工具、人員能力的不斷建設與完善達成建設目標。以一個數(shù)據(jù)安全治理建設剛起步的企業(yè)為例，一般來說，可以將數(shù)據(jù)安全規(guī)劃分為三個階段，如圖6所示。來源：數(shù)據(jù)安全推進計劃圖6數(shù)據(jù)安全治理規(guī)劃示例第一階段，組織尚處于數(shù)據(jù)安全治理建設初期，急需在內(nèi)部明確數(shù)據(jù)安全治理職責分工和管理要求，因而建議主要完成初步的數(shù)據(jù)安全治理體系建設工作，包括數(shù)據(jù)安全組織機構的建立、數(shù)據(jù)安全制度體系的編制、數(shù)據(jù)安全基礎能力建設以及數(shù)據(jù)安全意識培訓宣貫。同時數(shù)據(jù)分類分級作為實施數(shù)據(jù)安全管理措施和技術措施的前提，是一個需要提前布局且長期推進的工作。第二階段，組織有了一定的數(shù)據(jù)安全治理基礎，可以在這一階段著重完善數(shù)據(jù)安全技術能力體系，通過建設統(tǒng)一的管理平臺，全面落實數(shù)據(jù)安全管理規(guī)范及策略要求，并通過常態(tài)化數(shù)據(jù)安全運營，實現(xiàn)持續(xù)的數(shù)據(jù)安全保障能力。同時，應加強數(shù)據(jù)安全能力培訓體系的構建，培養(yǎng)復合型數(shù)據(jù)安全專業(yè)人才，壯大數(shù)據(jù)安全人才隊伍。第三階段，組織已經(jīng)初步建成數(shù)據(jù)安全治理體系，這一階段以持續(xù)優(yōu)化為主要目標，重在建立數(shù)據(jù)安全治理的量化評估體系，定期開展數(shù)據(jù)安全評估評測，監(jiān)測各項指標的達標情況。再根據(jù)評估評測結果及時優(yōu)化建設內(nèi)容，最終達到較高的數(shù)據(jù)安全治理水平。同時，通過提煉并輸出成功經(jīng)驗，促進行業(yè)共同進步。數(shù)據(jù)安全治理實踐指南2.03.方案論證為保障規(guī)劃方案在建設過程的順利實施，應從以下方面進行論證分析。一是可行安全管理機制和技術能力建設與業(yè)務系統(tǒng)之間的分歧，確保在業(yè)務發(fā)展與安全保障之間達到平衡。二是安全性分析，方案在正式實施前，要進行詳細的方案論證分析，確保可以在業(yè)務穩(wěn)定運行的前提下實施治理建設，同時要考慮治理過程中可能產(chǎn)生的新風險，避免未知風險的引入。三是可持續(xù)性分析，數(shù)據(jù)安全治理是持續(xù)性過程，隨著業(yè)務拓展和技術進步，規(guī)劃方案在保證與當前組織現(xiàn)有體系兼容的同時，也要考慮與后續(xù)的發(fā)展相適應。因此數(shù)據(jù)安全治理方案不僅要考慮當下，還要著眼于未來。在滿足當前數(shù)據(jù)安全需求的同時，還要適應后續(xù)的持續(xù)發(fā)展。((二)數(shù)據(jù)安全建設數(shù)據(jù)安全建設階段主要對數(shù)據(jù)安全規(guī)劃進行落地實施，建成與組織相適應的數(shù)據(jù)安全治理能力，包括組織架構的建設、制度體系的完善、技術工具的建立和人員能力的培養(yǎng)等。通過數(shù)據(jù)安全規(guī)劃，組織對如何從零開始建設數(shù)據(jù)安全治理體系有了一定認知，同時也應意識到數(shù)據(jù)安全治理的建設是一項需要長期開展和持續(xù)投入的工作，無法一蹴而就。為了快速響應不同業(yè)務場景下不同的數(shù)據(jù)安全策略要求，應基于場景需要選擇性部署技術工具，編制三級操作指南文件，形成四級記錄模板。通過逐個場景的數(shù)據(jù)安全建設，最終推動數(shù)據(jù)安全治理體系在組織內(nèi)的全面落地。本指南梳理了場景化數(shù)據(jù)安全治理建設的總體路線，如圖7所示。來源：數(shù)據(jù)安全推進計劃圖7場景化數(shù)據(jù)安全建設五步走數(shù)據(jù)安全治理實踐指南2.0第一步：全面梳理業(yè)務場景梳理數(shù)據(jù)資產(chǎn)和業(yè)務場景是組織進行場景化數(shù)據(jù)安全治理建設的前提，可以幫助組織了解數(shù)據(jù)安全治理對象全貌，為組織場景化數(shù)據(jù)安全治理提供行動地圖。目前，對業(yè)務場景的劃分尚未有統(tǒng)一的標準，本指南根據(jù)對數(shù)據(jù)安全供應側(cè)及需求側(cè)的調(diào)研，將場景劃分方法歸類為基于數(shù)據(jù)全生命周期和基于業(yè)務運行環(huán)境兩種劃分方式。 (1)基于數(shù)據(jù)全生命周期的場景劃分基于數(shù)據(jù)全生命周期的場景劃分是分別在采集、傳輸、存儲、使用、共享、銷毀各環(huán)節(jié)抽象出典型應用場景，如圖8所示。?數(shù)據(jù)采集環(huán)節(jié)主要有個人信息主體數(shù)據(jù)采集、外部機構數(shù)據(jù)采集、數(shù)據(jù)產(chǎn)生等場景。?數(shù)據(jù)傳輸環(huán)節(jié)主要有內(nèi)部系統(tǒng)數(shù)據(jù)傳輸、外部機構數(shù)據(jù)傳輸?shù)葓鼍啊?數(shù)據(jù)存儲環(huán)節(jié)主要有數(shù)據(jù)加密存儲、數(shù)據(jù)庫安全等場景。?數(shù)據(jù)使用環(huán)節(jié)主要有應用訪問、數(shù)據(jù)運維、測試和開發(fā)、網(wǎng)絡和終端安全、數(shù)據(jù)準入、數(shù)據(jù)分析與挖掘等場景。?數(shù)據(jù)共享環(huán)節(jié)主要有內(nèi)部共享和外部共享等場景。?數(shù)據(jù)銷毀環(huán)節(jié)有邏輯刪除、物理銷毀和數(shù)據(jù)退役等場景。?此外還有一些基礎性的工作，如數(shù)據(jù)分類分級應該作為單獨的場景納入到整體的場來源：數(shù)據(jù)安全推進計劃圖8基于數(shù)據(jù)全生命周期的場景劃分數(shù)據(jù)安全治理實踐指南2.0基于數(shù)據(jù)全生命周期的場景劃分方式，一方面能更好地契合當前法律法規(guī)中關于數(shù)據(jù)全生命周期的安全要求，一方面更加匹配當前主流的數(shù)據(jù)安全治理體系框架。 (2)基于業(yè)務運行環(huán)境的場景劃分組織的業(yè)務雖然各有不同，但是其業(yè)務運行環(huán)境的劃分基本相同，據(jù)此可以將業(yè)務場景劃分為：辦公場景、生產(chǎn)場景、研發(fā)場景、運維場景等。還可以基于支撐業(yè)務運行的基礎設置進一步細分為云、終端等場景，如圖9所示。來源：數(shù)據(jù)安全推進計劃圖9基于業(yè)務運行環(huán)境的場景劃分基于業(yè)務運行環(huán)境的場景劃分方式，一方面與業(yè)務的研發(fā)上線緊密關聯(lián)，有利于場景的識別，另一方面兼容組織安全域的劃分，有利于充分利用原有的網(wǎng)絡安全能力。第二步：確定業(yè)務場景治理優(yōu)先級在業(yè)務場景梳理完成后，組織需要綜合考慮監(jiān)管要求、數(shù)據(jù)安全風險和業(yè)務發(fā)展需要，明確業(yè)務場景治理的開展優(yōu)先級。以上文提到的基于數(shù)據(jù)全生命周期的場景劃分方式為例，數(shù)據(jù)分類分級是數(shù)據(jù)安全的基礎性工作基本已經(jīng)成為行業(yè)共識，隨著行業(yè)數(shù)據(jù)分類分級指南的不斷建立和完善，組織應跟緊行業(yè)發(fā)展步伐，前置數(shù)據(jù)分類分級工作的優(yōu)先級。其次，數(shù)據(jù)采集環(huán)節(jié)中個人信息主體數(shù)據(jù)采集、外部機構數(shù)據(jù)采集等場景均涉及到個人信息權益保護，是當前數(shù)據(jù)安全合規(guī)出現(xiàn)問題的高危場景，容易影響組織品牌形象，因而需要優(yōu)先治理。此外，數(shù)字經(jīng)濟的繁榮發(fā)展離不開數(shù)據(jù)的流通共享，隨之而來的風險也在不斷顯現(xiàn)，對數(shù)據(jù)流通的安全保護勢在必行，因而也應著重進行相關場景的安全建設。數(shù)據(jù)安全治理實踐指南2.0第三步：評估業(yè)務場景數(shù)據(jù)安全風險評估業(yè)務場景的數(shù)據(jù)安全風險是指針對具體場景，綜合考慮合規(guī)要求、數(shù)據(jù)資源重要程度、面臨的數(shù)據(jù)安全威脅等因素，將數(shù)據(jù)流動過程的風險點梳理出來，并明確數(shù)據(jù)安全風險等級。業(yè)務方應根據(jù)此項評估結果，確定要進行整改的風險點，并將其作為數(shù)據(jù)安全治理建設需求的輸入，為制定場景化數(shù)據(jù)安全解決方案提供依據(jù)。第四步：制定并實施業(yè)務場景解決方案結合業(yè)務場景的數(shù)據(jù)安全風險評估結果，組織可以根據(jù)相關政策及標準要求，申請充分的資源保障，并制定可落地的解決方案。目前，對于部分場景，業(yè)界已經(jīng)形成了一些公認的典型解決方案，例如在數(shù)據(jù)加密存儲場景中使用加解密系統(tǒng)，并在算法的選擇上避開不安全的MD5、AES-ECB、SHA1等算法；在終端場景下部署終端DLP等。但更多情況下，組織需要根據(jù)實際情況通過自研解決方案或者甄選適宜的供應側(cè)解決方案。第五步：完善業(yè)務場景操作規(guī)范為規(guī)范業(yè)務場景日常的數(shù)據(jù)安全管理和運營工作，組織應督促業(yè)務部門在實施具體的技術措施后，及時完善組織整體數(shù)據(jù)安全制度體系中關于三級與四級的制度文件，如《遠程訪問操作規(guī)范》、《數(shù)據(jù)備份操作規(guī)范》、《數(shù)據(jù)防泄露操作規(guī)范》、《堡壘機操作規(guī)范》等，以保持制度流程和技術落地的一致性。((三)數(shù)據(jù)安全運營數(shù)據(jù)安全運營階段通過不斷適配業(yè)務環(huán)境和風險管理需求，持續(xù)優(yōu)化安全策略措施，強化整個數(shù)據(jù)安全治理體系的有效運轉(zhuǎn)。1.風險防范數(shù)據(jù)安全治理的目標之一是降低數(shù)據(jù)安全風險，因此建立有效的風險防范手段，對于預防數(shù)據(jù)安全事件發(fā)生有重要作用，可以從數(shù)據(jù)安全策略制定、數(shù)據(jù)安全基線掃描、數(shù)據(jù)安全風險評估三方面入手。數(shù)據(jù)安全策略制定。一方面，根據(jù)數(shù)據(jù)全生命周期各項管理要求，制定通用安全數(shù)據(jù)安全治理實踐指南2.0策略，另一方面，結合各業(yè)務場景安全需要，制定針對性的安全策略。通過將通用策略和針對性策略結合部署，實現(xiàn)對數(shù)據(jù)流轉(zhuǎn)過程的安全防護。數(shù)據(jù)安全基線掃描。基于面臨的風險形勢，定期梳理、更新相關安全規(guī)范及安全策略，并轉(zhuǎn)化為安全基線，同時直接落實到監(jiān)控審計平臺進行定期掃描。安全基線是組織數(shù)據(jù)安全防護的最低要求，各業(yè)務的開展必須滿足。數(shù)據(jù)安全風險評估。通過將日?；ㄆ陂_展的數(shù)據(jù)安全風險評估結果與安全基線進行對標，發(fā)現(xiàn)不滿足基線要求的評估項，再通過改進業(yè)務方案或強化安全技術手段的方式實現(xiàn)風險防范。2.監(jiān)控預警數(shù)據(jù)安全保護以知曉數(shù)據(jù)在組織內(nèi)的安全狀態(tài)為前提，需要組織在數(shù)據(jù)全生命周期各階段開展安全監(jiān)控和審計，以實現(xiàn)對數(shù)據(jù)安全風險的防控?？梢酝ㄟ^態(tài)勢監(jiān)控、日常審計、專項審計等方式對相關風險點進行防控，從而降低數(shù)據(jù)安全風險。態(tài)勢監(jiān)控。根據(jù)數(shù)據(jù)全生命周期的各項安全管理要求，建立組織內(nèi)部統(tǒng)一的數(shù)據(jù)安全監(jiān)控審計平臺，對風險點的安全態(tài)勢進行實時監(jiān)測。一旦出現(xiàn)安全威脅，能夠?qū)崿F(xiàn)及時告警及初步阻斷。日常審計。針對賬號使用、權限分配、密碼管理、漏洞修復等日常工作的安全管理要求，利用監(jiān)控審計平臺開展審計工作，從而發(fā)現(xiàn)問題并及時處置。審計內(nèi)容包括但不限于表3所示內(nèi)容。表3日常審計項目示例口令、異常登錄加密存儲加密傳輸?shù)玫绞跈嗝撁羰褂么_落實的落實情況督來源：中國信息通信研究院數(shù)據(jù)安全治理實踐指南2.0專項審計。以業(yè)務線為審計對象，定期開展專項數(shù)據(jù)安全審計工作。審計內(nèi)容包括數(shù)據(jù)全生命周期安全、隱私合規(guī)、合作方管理、鑒別訪問、風險分析、數(shù)據(jù)安全事件應急等多方面內(nèi)容，從而全面評價數(shù)據(jù)安全工作執(zhí)行情況，發(fā)現(xiàn)執(zhí)行問題并統(tǒng)籌改進。3.應急處理一旦風險防范及監(jiān)控預警措施失效，導致發(fā)生數(shù)據(jù)安全事件，組織應立即進行應急處置、復盤整改，并在內(nèi)部進行宣貫宣導，防范安全事件的再次發(fā)生。數(shù)據(jù)安全事件應急處置。根據(jù)數(shù)據(jù)安全事件應急預案對正在發(fā)生的各類數(shù)據(jù)安全攻擊警告、數(shù)據(jù)安全威脅警報等進行緊急處置，確保第一時間阻斷數(shù)據(jù)安全威脅。數(shù)據(jù)安全事件復盤整改。應急處置完成后，應盡快在業(yè)務側(cè)組織復盤分析，明確事件發(fā)生的根本原因，做好應急總結，沉淀應急手段，跟進落實整改，并完善相應應急預案。數(shù)據(jù)安全應急預案宣貫宣導。根據(jù)數(shù)據(jù)安全事件的類別和級別，在相關業(yè)務部門或全線業(yè)務部門定期開展應急預案的宣貫宣導，降低發(fā)生類似數(shù)據(jù)安全事件的風險。((四)數(shù)據(jù)安全評估優(yōu)化數(shù)據(jù)安全評估優(yōu)化階段主要是通過內(nèi)部評估與第三方評估相結合的方式，對組織的數(shù)據(jù)安全治理能力進行評估分析，總結不足并動態(tài)糾偏，實現(xiàn)數(shù)據(jù)安全治理的持續(xù)優(yōu)化及閉環(huán)工作機制的建立。1.內(nèi)部評估組織應形成周期性的內(nèi)部評估工作機制，內(nèi)部評估應由管理層牽頭，執(zhí)行層和監(jiān)督層配合執(zhí)行，確保評估工作的有效執(zhí)行，并應將評估結果與組織的績效考核掛鉤，避免評估流于形式。常見的內(nèi)部評估手段包括評估自查、應急演練、對抗模擬等。評估自查通過設計評估問卷、調(diào)研表、定期執(zhí)行檢查工具等形式，在組織內(nèi)部開展評估，主要評估內(nèi)容至少應包括數(shù)據(jù)全生命周期的安全控制策略、風險需求分析、監(jiān)控審計執(zhí)行、應急處置措施、安全合規(guī)要求等內(nèi)容。應急演練通過構建內(nèi)部人員泄露、外部黑客攻擊等場景，驗證組織數(shù)據(jù)安全治理措施的有效性和及時止損的能力，并通過在應急演練后開展復盤總結，不斷改進應急數(shù)據(jù)安全治理實踐指南2.0預案及數(shù)據(jù)安全防護能力。應急演練可采用實戰(zhàn)、桌面推演等方式，旨在驗證數(shù)據(jù)安全事件應急的流程機制是否順暢、技術工具是否實用、安全處置是否及時等，進一步完善應急預案，補足能力短板。對抗模擬通過搭建仿真環(huán)境開展紅藍對抗，或模擬黑產(chǎn)對抗，幫助組織面對內(nèi)外部數(shù)據(jù)安全風險時實現(xiàn)以攻促防，沉著應對，并在這個過程中不斷挖掘組織數(shù)據(jù)安全可能存在的攻擊面和滲透點，尤其是面對組織內(nèi)部數(shù)據(jù)泄露風險，可以有針對性的完善數(shù)據(jù)安全治理工作機制和技術能力。2.第三方評估除了內(nèi)部評估外，組織還應引入第三方評估。第三方評估以國家、行業(yè)及團體標準等為執(zhí)行準則，能客觀、公正、真實地反映組織數(shù)據(jù)安全治理水平，實現(xiàn)對標差距分析。如中國信息通信研究院2020年底推出的國內(nèi)首個數(shù)據(jù)安全治理能力評估服務，結合業(yè)務場景和全生命周期數(shù)據(jù)流，從組織架構、制度流程、技術工具、人員能力的建設情況入手，綜合考察組織數(shù)據(jù)安全治理能力的持續(xù)運轉(zhuǎn)及自我改進能力。目前該評估服務已在金融、電信、互聯(lián)網(wǎng)、汽車等多個行業(yè)領域獲得廣泛認可，是組織進行全面摸排、橫向?qū)Ρ鹊闹匾ナ?。?shù)據(jù)安全治理實踐指南2.0四、數(shù)據(jù)分類分級場景建設思路數(shù)據(jù)分類分級是數(shù)據(jù)安全治理實踐過程中的關鍵場景，是數(shù)據(jù)安全工作的橋頭堡和必選題。本指南結合行業(yè)實踐，提出如圖10所示的七步走建設思路，可供剛開展數(shù)據(jù)分類分級工作的組織參考。來來源：中國信息通信研究院圖10數(shù)據(jù)分類分級“七步走”建設思路((一)第一步：建立組織保障對組織而言，數(shù)據(jù)分類分級工作是一項復雜的長期性工作，是業(yè)務知識、數(shù)據(jù)知識和安全知識的交叉領域，需要相關部門協(xié)作開展。這就需要通過明確數(shù)據(jù)分類分級工作的組織架構，劃分各部門職責分工，為數(shù)據(jù)分類分級工作的協(xié)同開展提供支撐。在實際工作中，我們看到各組織一般有數(shù)據(jù)安全管理的牽頭部門或團隊統(tǒng)籌數(shù)據(jù)分類分級工作的開展，而在職責分工上，則體現(xiàn)出一定的差異性。?以某電信運營商為例，在職責劃分方面，明確了由數(shù)據(jù)安全的管理部門負責制定數(shù)據(jù)分類分級的方法及策略，規(guī)范數(shù)據(jù)資產(chǎn)梳理工作，并監(jiān)督數(shù)據(jù)分類分級工作的落實。而各數(shù)據(jù)生產(chǎn)運營和使用的責任部門則需要維護本部門的數(shù)據(jù)資源清單、梳理部門的重要數(shù)據(jù)安全治理實踐指南2.0數(shù)據(jù)目錄、并按照數(shù)據(jù)安全管理部門制定的標準執(zhí)行數(shù)據(jù)分類分級規(guī)定動作，制定并落實差異化管控措施等。?以某金融機構為例，在職責劃分方面，明確了由數(shù)據(jù)安全的管理部門牽頭開展數(shù)度流程，并建設數(shù)據(jù)分類分級技術能力。由于建設了數(shù)據(jù)中部門僅需配合數(shù)據(jù)分類分級評估工作，對數(shù)據(jù)分類分級結果?以某互聯(lián)網(wǎng)公司為例，在職責劃分方面，明確了由數(shù)據(jù)安全管理部門負責各類數(shù)據(jù)的分類、匯總和管理等工作。其他部門主要負責識別本部門的各類敏感數(shù)據(jù)并同步至數(shù)據(jù)安全管理部門，同時負責本部門敏感數(shù)據(jù)相關數(shù)據(jù)安全管控措施的制定。((二)第二步：進行數(shù)據(jù)資源梳理在進行數(shù)據(jù)分類分級之前，需要對組織內(nèi)的全部數(shù)據(jù)資源進行識別、梳理，明確當前組織內(nèi)部存儲了哪些數(shù)據(jù)、數(shù)據(jù)存儲的格式、數(shù)據(jù)范圍、數(shù)據(jù)流轉(zhuǎn)形式、數(shù)據(jù)訪問控制方式、數(shù)據(jù)價值高低等問題，并形成數(shù)據(jù)資源清單。在實際工作中，數(shù)據(jù)資源的梳理有兩種常見的工作思路。一種是站在數(shù)據(jù)治理的角度，為了達到對數(shù)據(jù)質(zhì)量進行管理的首要目標而進行全量數(shù)據(jù)的盤點梳理，與此同時，梳理的結果可以復用于數(shù)據(jù)分類分級工作。一種是站在數(shù)據(jù)安全的角度，先對敏感數(shù)據(jù)進行識別梳理，以快速響應相關安全管理要求，再逐漸擴展至全域數(shù)據(jù)范圍。((三)第三步：明確分類分級方法、策略數(shù)據(jù)分類分級的方法、策略是指導此項工作開展的重要依據(jù)。組織需要參考國家及行業(yè)相關數(shù)據(jù)分類分級要求及規(guī)范，并結合自身業(yè)務屬性與管理特點，明確數(shù)據(jù)分類分級的方法、策略，如明確數(shù)據(jù)分類與定級的基本原則、基本方法等。當前，為指導數(shù)據(jù)分類分級工作的推進落實，各行業(yè)、各領域紛紛制定相關標準規(guī)范，如表4所示。通過明確數(shù)據(jù)分類分級工作的原則、方法、定義，并在此基礎上給出部分示例，進一步細化國家關于數(shù)據(jù)分類分級工作的要求，推動該項工作在不同行業(yè)企業(yè)及組織機構的落地實施。數(shù)據(jù)安全治理實踐指南2.0表4近幾年數(shù)據(jù)分類分級相關規(guī)范《工業(yè)數(shù)據(jù)分類分級指南(試行)》委員會理局《重慶市公共數(shù)據(jù)分類分級指南(試行)》理局準化技術委員 委員會 委員會來源：中國信息通信研究院((四)第四步：完成數(shù)據(jù)分類組織應根據(jù)已制定的數(shù)據(jù)分類原則，定義包含多個層級的數(shù)據(jù)類別清單，再對數(shù)據(jù)資源清單中的數(shù)據(jù)逐個進行分類。在實際工作中，如表5所示，基礎電信、證券期貨、工業(yè)行業(yè)等領域制定了較為明確的分類方法和示例，有利于行業(yè)組織參考。對于暫未形成分類模板的行業(yè)，組織數(shù)據(jù)安全治理實踐指南2.0可以從經(jīng)營維度按照通用分類模板進行分類1。另外，針對個人信息的分類方式，組織也可以結合GB/T35273-2020《信息安全技術個人信息安全規(guī)范》給出的規(guī)范進行完善。總體來說，類別定義一般會根據(jù)行業(yè)領域的不同而產(chǎn)生不同的子類劃分方式，需要注意的是不同類別之間不能重復和交叉。表5各行業(yè)數(shù)據(jù)分類示例、用戶統(tǒng)計分析類數(shù)據(jù)據(jù)、其他數(shù)據(jù)行情、資訊、投資者管理、產(chǎn)品管理稽核研究報告理、綜合管理 開發(fā)測試數(shù)據(jù)等狀態(tài)、工藝參數(shù)、系統(tǒng)日志等品售后服務數(shù)據(jù)等業(yè)務統(tǒng)計數(shù)據(jù)等知識庫模型庫數(shù)據(jù)、研發(fā)數(shù)據(jù)等作數(shù)據(jù)、人事財務數(shù)據(jù)等/////來源：數(shù)據(jù)安全推進計劃數(shù)據(jù)安全治理實踐指南2.0((五)第五步：逐類完成定級數(shù)據(jù)分級主要從數(shù)據(jù)安全保護的角度，考慮影響對象、影響程度兩個要素對數(shù)據(jù)所在的安全級別進行判定。不同行業(yè)分級標準在影響對象和影響程度的劃分上有所不同，從而也導致了分級結果的差異性。組織應根據(jù)實際情況完成定級工作，常見的數(shù)據(jù)定級示例如表6所示。表6各行業(yè)數(shù)據(jù)分級示例分級示例(從高到低)利益、低損害、輕無損害、客戶輕微、無4(極高)、3(高)、2(中)、1(低)/據(jù)來源：數(shù)據(jù)安全推進計劃((六)第六步：形成分類分級目錄基于上述工作，組織還需形成整體的數(shù)據(jù)分類分級目錄，明確數(shù)據(jù)類別和級別的對應關系，為各部門落實數(shù)據(jù)分類分級工作提供依據(jù)。金融機構典型數(shù)據(jù)分類分級目錄如圖11所示。((七)第七步：制定數(shù)據(jù)安全策略在完成數(shù)據(jù)分類定級的基礎上，還需要依據(jù)國家及行業(yè)領域給出的安全保護要求，建立數(shù)據(jù)分類分級保護策略，對數(shù)據(jù)實施全流程分類分級管理和保護。如某電信運營商建立了如表7所示的數(shù)據(jù)分類分級保護要求映射表。數(shù)據(jù)安全治理實踐指南2.0來源：中國人民銀行圖11金融業(yè)機構典型數(shù)據(jù)定級規(guī)則示例表7數(shù)據(jù)分類分級保護要求映射表示例123451VVVVVVVVVVV來源：數(shù)據(jù)安全推進計劃數(shù)據(jù)安全治理實踐指南2.0五、數(shù)據(jù)安全治理總結與展望根據(jù)數(shù)據(jù)安全推進計劃發(fā)布的《2022年數(shù)據(jù)安全行業(yè)調(diào)研報告》，六成以上參與調(diào)研的需求側(cè)企業(yè)在制度文件編制、合規(guī)工作開展、技術工具部署等方面推進了相關工作。由此看出，隨著數(shù)據(jù)安全合規(guī)要求的逐步完善，數(shù)據(jù)安全治理工作正在高速發(fā)展、有力推進。未來：政策引領與戰(zhàn)略自驅(qū)齊頭并進，推進數(shù)據(jù)安全治理不斷深入。根據(jù)調(diào)研，“合規(guī)需求”、“防范數(shù)據(jù)安全風險”、“企業(yè)自身發(fā)展需要”是組織開展數(shù)據(jù)安全能力建設的主要驅(qū)動因素。這說明，一方面，政策驅(qū)動的合規(guī)需求對組織數(shù)據(jù)安全建設具有強推進作用；另一方面，保障數(shù)據(jù)安全在推動業(yè)務健康運營方面的重要作用愈加明顯。因此，政策引領的外部驅(qū)動與發(fā)展戰(zhàn)略的內(nèi)部驅(qū)動將成為數(shù)據(jù)安全治理工作不斷深入的助推劑。數(shù)據(jù)驅(qū)動的業(yè)務發(fā)展，激勵數(shù)據(jù)安全治理組織從“有型”到“有效”。根據(jù)數(shù)據(jù)安全推進計劃發(fā)布的《2022年數(shù)據(jù)安全行業(yè)調(diào)研報告》，98.2%的受訪者建立了專門的數(shù)據(jù)安全牽頭管理團隊，數(shù)據(jù)安全治理組織架構逐漸明晰。但由于數(shù)據(jù)與業(yè)務密切相關，其在實時產(chǎn)生及流動過程中涉及的主體很多，導致數(shù)據(jù)安全主體責任邊界的實際劃分及管理仍然存在較大挑戰(zhàn)，如何在不同部門之間建立有效溝通機制，保障業(yè)務的安全合規(guī)開展是下一步關注重點。數(shù)據(jù)安全風險治理能力的建設與提升，成為數(shù)據(jù)安全治理的重要組成。由于數(shù)據(jù)本身具備流動性、泛在性等特點，過長的流轉(zhuǎn)鏈條、過大的威脅暴露面、過多的數(shù)據(jù)處理活動等，都為數(shù)據(jù)安全風險管控帶來挑戰(zhàn)，并進一步影響到數(shù)據(jù)安全治理的整體成效。為了進一步防范數(shù)據(jù)泄露、數(shù)據(jù)篡改等安全事件的發(fā)生，落實數(shù)據(jù)安全風險的源頭管控，常態(tài)化數(shù)據(jù)安全風險評估提上日程，基于風險的治理能力建設與提升也成為數(shù)據(jù)安全治理工作的重要組成部分。第三方數(shù)據(jù)安全評估認證作為提升數(shù)據(jù)安全治理能力的主要抓手，將被更多行業(yè)組織引入。在國家層面的支持下，第三方數(shù)據(jù)安全評估、認證服務市場正在蓬勃發(fā)展。中國信息通信研究院推出的首款市場化數(shù)據(jù)安全治理能力評估服務，自2020年進入市場以來，共完成了4批次43家組織機構的評估，廣受好評。同時，國家市場監(jiān)督管理總局與國家互聯(lián)網(wǎng)信息辦公室推出的數(shù)據(jù)安全管理認證、個人信息保護認證等工作也在穩(wěn)步推進。越來越多的行業(yè)組織將通過引入第三方評估認證工作，持續(xù)優(yōu)化自身數(shù)據(jù)安全治理能力。數(shù)據(jù)安全治理實踐指南2.0附錄：數(shù)據(jù)安全治理實踐案例((一)華泰證券股份有限公司1.建設思路 (1)厘清數(shù)據(jù)安全風險，明確安全治理方向證券行業(yè)是產(chǎn)生和積累數(shù)據(jù)量最大、數(shù)據(jù)類型最豐富的領域之一，隨著證券行業(yè)數(shù)字化轉(zhuǎn)型、深化，證券業(yè)數(shù)據(jù)有著更加廣泛的應用場景、應用范圍，有著更高的應據(jù)攻擊、數(shù)據(jù)權限濫用等安全問題也層出不窮。如何更加安全地保障企業(yè)的數(shù)字化轉(zhuǎn)型，降低數(shù)據(jù)安全風險，釋放數(shù)據(jù)價值，成為了諸多轉(zhuǎn)型企業(yè)中的重點工作。面對新形勢帶來的安全挑戰(zhàn)，華泰證券積極應對，從外部攻擊風險、內(nèi)部數(shù)據(jù)濫用風險、外部渠道數(shù)據(jù)泄露風險三個方面，厘清當前面臨的數(shù)據(jù)安全風險，梳理的風險點覆蓋管理體系、制度流程、技術手段、運營機制四個層面。面對上述的數(shù)據(jù)安全風險，華泰證券開展了新一輪的數(shù)據(jù)安全治理工作。從完善數(shù)據(jù)安全制度管理體系、建立數(shù)據(jù)安全風險評估機制、建設分層分級的數(shù)據(jù)權限管控體系、提升數(shù)據(jù)安全風險監(jiān)測和響應能力、強化外部渠道數(shù)據(jù)泄露跟蹤調(diào)查能力五個方面著手，全方位保護公司重要數(shù)據(jù)資產(chǎn)以及客戶信息，為公司數(shù)字化轉(zhuǎn)型保駕護航。 (2)構建數(shù)據(jù)安全治理體系，夯實數(shù)字化轉(zhuǎn)型基礎華泰證券從頂層明確公司數(shù)據(jù)安全管理戰(zhàn)略，強化公司數(shù)據(jù)安全管理體系，以貫徹國家網(wǎng)絡空間安全戰(zhàn)略、滿足政策合規(guī)要求、統(tǒng)籌全體系數(shù)據(jù)安全為目標，推進公司整體安全管控水平不斷提升，為業(yè)務發(fā)展保駕護航。華泰證券以數(shù)字化轉(zhuǎn)型戰(zhàn)略為指引，以數(shù)據(jù)安全管理為保障，以技術體系為支撐，建立了覆蓋數(shù)據(jù)全生命周期的企業(yè)級數(shù)據(jù)安全治理體系，如圖12所示。華泰證券對標國家行業(yè)標準，并結合自身數(shù)據(jù)安全戰(zhàn)略、數(shù)據(jù)安全管理體系，建立了基于數(shù)據(jù)全生命周期的數(shù)據(jù)安全管理三層框架體系，從管控層、技術支撐層、運營層三個維度開展數(shù)據(jù)全生命周期安全管理工作。數(shù)據(jù)安全治理實踐指南2.0 (3)共享行業(yè)經(jīng)驗，共建數(shù)據(jù)安全生態(tài)華泰證券作為數(shù)據(jù)安全推進計劃成員單位，積極參與行業(yè)數(shù)據(jù)安全交流，分享數(shù)據(jù)安全治理經(jīng)驗，參加業(yè)界數(shù)據(jù)安全相關標準建設工作，如參與編寫《證券期貨業(yè)數(shù)據(jù)安全風險防控數(shù)據(jù)分類分級指引》，共同推進行業(yè)數(shù)據(jù)安全生態(tài)建設。來源：華泰證券圖12華泰證券數(shù)據(jù)安全治理體系2.治理實踐及亮點華泰證券嚴格按照國家《數(shù)據(jù)安全法》《個人信息保護法》等法律法規(guī)、行業(yè)規(guī)范和監(jiān)管規(guī)定，落實數(shù)據(jù)安全相關工作，通過建立健全數(shù)據(jù)安全管理機制，基于“制度、組織、人員、技術”為核心的管理框架，規(guī)范數(shù)據(jù)處理活動，強化公司經(jīng)營活動中相關數(shù)據(jù)處理的合法合規(guī)性，從數(shù)據(jù)安全管理體系、數(shù)據(jù)安全技術體系、數(shù)據(jù)安全運營體系等方面推進數(shù)據(jù)安全治理實踐，打造證券行業(yè)數(shù)據(jù)安全治理標桿。 (1)建立規(guī)范化的數(shù)據(jù)安全管理體系華泰證券從數(shù)據(jù)安全組織架構、數(shù)據(jù)安全制度體系兩個方面開展數(shù)據(jù)安全治理工作，以滿足監(jiān)管要求以及風險管理需要。組織架構方面，華泰證券建立了完備的數(shù)據(jù)安全組織架構體系，設立公司數(shù)據(jù)治理委員會，在經(jīng)營管理層的領導下，負責統(tǒng)籌和領導數(shù)據(jù)安全工作；數(shù)據(jù)治理委員會下轄數(shù)據(jù)安全與個人信息保護工作小組，由信息技術部門、業(yè)務部門、合規(guī)風控部門派員參與，多部門協(xié)同推進數(shù)據(jù)安全工作，將數(shù)據(jù)安全責任落實到每個部門、每個業(yè)務、數(shù)據(jù)安全治理實踐指南2.0每個系統(tǒng)和每個員工。加強數(shù)據(jù)安全人才培養(yǎng)，建立起一支具備數(shù)據(jù)安全管理、數(shù)據(jù)安全建設、數(shù)據(jù)安全運營等專業(yè)安全能力的自有人才隊伍。制度體系方面，華泰證券深入研究國家關于數(shù)據(jù)安全、個人信息保護相關的法律法規(guī)和標準，結合公司實際情況，建立了公司的數(shù)據(jù)安全三層制度體系，包括：頂層的公司級數(shù)據(jù)安全管理辦法、圍繞數(shù)據(jù)全生命周期的安全管理規(guī)范、以及細化的各類數(shù)據(jù)安全細則，對數(shù)據(jù)安全管理職責分工、數(shù)據(jù)全生命周期安全保護要求、個人信息保護要求、數(shù)據(jù)安全實施細則等進行了明確，實現(xiàn)對數(shù)據(jù)全生命周期安全防護保障以及對數(shù)據(jù)安全管理和運營的支撐。 (2)建設覆蓋數(shù)據(jù)全生命周期的數(shù)據(jù)安全技術體系華泰證券以防范外部數(shù)據(jù)竊取、防范內(nèi)部數(shù)據(jù)濫用和防范外部渠道泄露為抓手，依托數(shù)據(jù)安全可視化能力、數(shù)據(jù)安全運營能力、數(shù)據(jù)安全平臺能力，構建如圖13所示的公司數(shù)據(jù)安全三層技術體系，進一步加強數(shù)據(jù)安全保護能力，防范信息泄露。來源：華泰證券圖13華泰證券數(shù)據(jù)安全技術體系成風險識別、安全評估、安全防御、安全監(jiān)測、安全響應五大服務能力。數(shù)據(jù)安全運營能力，包括數(shù)據(jù)安全管理、能力運營、策略管理、安全事件分析四個方面。數(shù)據(jù)安全管理方面，通過深度分析各類法律法規(guī)和標準，形成數(shù)據(jù)安全基線和風險矩陣，為能力運營、策略管理和安全事件分析提供指引。能力運營方面，基于數(shù)據(jù)安全平臺能力，開展安全評估、安全監(jiān)測、安全檢測和應急處置。策略管理方面，根據(jù)公司數(shù)據(jù)安全態(tài)勢，動態(tài)調(diào)整數(shù)據(jù)安全管控策略，保障數(shù)據(jù)安全高效流轉(zhuǎn)。安全事件分析方面，對數(shù)據(jù)安全告警、數(shù)據(jù)流轉(zhuǎn)記錄、用戶行為日志等進行分析溯源，發(fā)數(shù)據(jù)安全治理實踐指南2.0現(xiàn)數(shù)據(jù)安全風險。數(shù)據(jù)安全可視化能力，基于數(shù)據(jù)安全平臺能力和運營能力，繪制展示公司數(shù)據(jù)地圖、數(shù)據(jù)流向圖，依托態(tài)勢感知能力展現(xiàn)數(shù)據(jù)安全風險態(tài)勢、用戶行為畫像。 (3)實施精細化的數(shù)據(jù)安全運營體系華泰證券從風險防范、監(jiān)控預警、應急處置三個方面，構建“感知風險、看見威脅、抵御攻擊”的數(shù)據(jù)安全運營體系，為公司數(shù)字化轉(zhuǎn)型保駕護航。業(yè)標準、實踐指南為切入點，將數(shù)據(jù)安全評估過程嵌入業(yè)務原有生產(chǎn)流程并在早期介入風險管理，降低業(yè)務數(shù)據(jù)安全風險，如圖14所示。來源：華泰證券圖14數(shù)據(jù)安全評估基線化方案監(jiān)控預警，依托數(shù)據(jù)安全技術體系，動態(tài)監(jiān)控公司內(nèi)部跨網(wǎng)、跨域、跨實體流轉(zhuǎn)的數(shù)據(jù)，實時發(fā)現(xiàn)數(shù)據(jù)安全威脅并預警，快速溯源處置安全事件。應急處置，建立數(shù)據(jù)安全事件應急響應機制，編制應急預案，開展應急演練，確保事件發(fā)生后可以快速響應，及時恢復，最大程度上減少損失，并降低事件造成的消極影響。數(shù)據(jù)安全治理實踐指南2.0((二)中移信息技術有限公司1.建設思路為落實國家、上級單位“十四五”規(guī)劃要求，堅持營造良好數(shù)字生態(tài)，中移信息技術有限公司啟動“十四五”IT領域數(shù)據(jù)安全發(fā)展規(guī)劃制定工作。主要包含7大能力，1個黨建引領保障，31項關鍵任務，以加強基礎保障能力建設、安全系統(tǒng)建設。并且梳理總結了9個發(fā)力點，分別是構建網(wǎng)絡安全態(tài)勢監(jiān)測與感知體系、加強關鍵信息基礎設施安全防護、增強統(tǒng)一調(diào)度指揮能力、強化安全融合保障、遵從網(wǎng)絡安全法規(guī)、提升新型數(shù)字基礎設施安全管理水平、完善技術手段建設、強化數(shù)據(jù)安全保護、加大核心技術安全可控。如圖15所示，公司通過結合IPDRR的安全框架和數(shù)據(jù)全生命周期的治理理念，來貫徹十四五規(guī)劃，并且通過整合IT安全能力，全面構建了數(shù)據(jù)安全全生命周期的能力體系，實現(xiàn)數(shù)據(jù)安全的可管可控。在數(shù)據(jù)采集、傳輸、存儲、使用、共享、銷毀各個環(huán)節(jié)部署相應的安全技術，并對全流程進行持續(xù)監(jiān)測、違規(guī)分析及告警處置。來源：中移信息技術有限公司圖15中移信息數(shù)據(jù)安全全生命周期能力體系數(shù)據(jù)安全治理實踐指南2.02.治理實踐公司通過組織架構、制度流程、技術體系等方面作為抓手，落實“十四五”安全戰(zhàn)略規(guī)劃。在組織架構方面，公司設立安全管理中心，負責統(tǒng)籌安全規(guī)劃、建設安全平臺、監(jiān)督安全工作、考核執(zhí)行情況，如圖16所示。各個業(yè)務部門依據(jù)安全管理中心的要求，設立專人專崗負責數(shù)據(jù)安全管理、安全審計、系統(tǒng)管理及應用管理。2018年，為了推進安全工作部署和落實，中移信息技術有限公司成立網(wǎng)絡安全領導小組，領導小組包括公司高層領導，辦公室設在安全管理中心。根據(jù)《數(shù)據(jù)安全管理辦法》，網(wǎng)絡安全領導小組兼顧數(shù)據(jù)安全領導職責。來源：中移信息技術有限公司圖16中移信息數(shù)據(jù)安全組織架構在制度流程方面，公司依據(jù)法律法規(guī)、監(jiān)管要求、行業(yè)要求、業(yè)務數(shù)據(jù)安全需求和數(shù)據(jù)安全風險控制需要等幾個方面進行梳理，確定數(shù)據(jù)安全防護的目標、管理策略及具體的標準、規(guī)范、制度等，實現(xiàn)定責到人的管理機制。針對各個領域的安全管控制定了安全制度和流程規(guī)范，并建立了制度匯編模塊展示公司的總體制度建設，全體人員可查閱，如圖17所示。數(shù)據(jù)安全治理實踐指南2.0來源：中移信息技術有限公司圖17中移信息數(shù)據(jù)安全制度體系在技術體系方面，公司參照數(shù)據(jù)全生命周期安全管控的理念建設安全能力平臺，構建數(shù)據(jù)安全技術支撐體系，如圖18所示。遵循對不同級別的數(shù)據(jù)進行分級管控的原則，將安全技術體系貫穿數(shù)據(jù)全生命周期的6個階段，實現(xiàn)數(shù)據(jù)安全保護目標。來源：中移信息技術有限公司圖18中移信息數(shù)據(jù)安全技術體系3.實踐亮點亮點一：如圖19所示，為了打造安全的數(shù)據(jù)環(huán)境，保證數(shù)據(jù)在流動過程中時刻可以被管控，公司以數(shù)據(jù)分類分級作為治理基礎，建立了事前主動納入、事中自動發(fā)現(xiàn)、事后人工核查的閉環(huán)管理機制，實現(xiàn)數(shù)據(jù)在使用過程中自動化完成分級分類及敏感數(shù)據(jù)的流轉(zhuǎn)監(jiān)控。同時，建立了基于數(shù)據(jù)分類分級機制和數(shù)據(jù)流轉(zhuǎn)流量分析的數(shù)據(jù)治理數(shù)據(jù)安全治理實踐指南2.0平臺和數(shù)據(jù)安全管控平臺，達到數(shù)據(jù)標簽明確化，數(shù)據(jù)使用可控化的目標。來源：中移信息技術有限公司圖19中移信息數(shù)據(jù)流動安全閉環(huán)管理機制亮點二：如圖20所示，為了保證數(shù)據(jù)靜態(tài)安全，公司對存儲的全量數(shù)據(jù)敏感字段進行加密處理，采用國密SM4等算法實現(xiàn)靜態(tài)加密，全部四級敏感表以及個人信息字段均完成加密存儲。在密鑰管控工作中，遵循隱私保密原則，按需實時請求、不落地，進一步提升系統(tǒng)安全。數(shù)據(jù)在存儲使用及對外共享使用過程中也嚴格遵循以下原則：①保證數(shù)據(jù)需求通過嚴格的審批流程后，脫敏處理提供；②為了保證數(shù)據(jù)安全，大數(shù)據(jù)存儲按分類分級標準，依據(jù)不同數(shù)據(jù)敏感等級進行差異化加密處理。來源：中移信息技術有限公司圖20中移信息數(shù)據(jù)靜態(tài)安全管理機制數(shù)據(jù)安全治理實踐指南2.0亮點三：公司建設了如圖21所示的共享操作實時管控體系，使用實時監(jiān)控技術手段，建立數(shù)據(jù)下載行為分析引擎，實現(xiàn)對涉敏數(shù)據(jù)下載實時監(jiān)控、高風險操作實時告警能力。同時，規(guī)范監(jiān)控運營機制，組建涉敏數(shù)據(jù)下載監(jiān)控運營團隊，實現(xiàn)告警、確認、處置全流程的閉環(huán)運營模式，確保高風險操作得到及時排查和處置，提升數(shù)據(jù)下載(共享)環(huán)節(jié)的數(shù)據(jù)安全治理能力。來源：中移信息技術有限公司圖21中移信息數(shù)據(jù)共享實時管控平臺數(shù)據(jù)安全治理實踐指南2.0((三)中國聯(lián)通廣東省分公司1.建設思路廣東聯(lián)通以合法合規(guī)、安全使用為驅(qū)動，強化對內(nèi)對外數(shù)據(jù)安全管控，分階段規(guī)劃構建“組織、管理、技術、運營”數(shù)據(jù)安全體系并不斷完善。通過對數(shù)據(jù)全生命周期的防護，實現(xiàn)端到端的數(shù)據(jù)安全治理?？傮w分三個階段建設數(shù)據(jù)安全體系：?第一階段為“基礎建設”，通過規(guī)劃數(shù)據(jù)安全治理體系，組建數(shù)據(jù)安全組織，建設基礎數(shù)據(jù)安全能力，夯實防護體系底座基礎；?第二階段為“能力升級”，通過升級數(shù)據(jù)安全一體化運營平臺能力，逐步加強數(shù)據(jù)安全能力覆蓋，實現(xiàn)基本完整的運營閉環(huán)；?第三階段為“優(yōu)化運營”，通過完善數(shù)據(jù)安全運營體系，實現(xiàn)數(shù)據(jù)安全指標精細化運營。在治理過程中，對內(nèi)專注于規(guī)范數(shù)據(jù)使用處理全流程，落實看數(shù)用數(shù)過程中數(shù)據(jù)分類分級管控各項安全措施；以及對數(shù)據(jù)要素賦能生產(chǎn)，數(shù)據(jù)服務過程構建安全防護體系。對外專注于數(shù)據(jù)對外合作的安全管控以及個人隱私保護。廣東聯(lián)通的數(shù)據(jù)安全治理，在組織層面，嵌入廣東聯(lián)通數(shù)據(jù)治理組織架構，構建了自上而下的數(shù)據(jù)安全治理組織，明確部門職責分工、對人員定責定崗；在管理方面，承接集團數(shù)據(jù)安全要求，形成四級管理制度體系；在技術體系方面，廣東聯(lián)通使用集團集約化數(shù)安能力，結合省分自建數(shù)安能力，搭建對內(nèi)對外的數(shù)據(jù)安全防護體系；在安全運營層面，通過“作業(yè)本”方式跟蹤數(shù)據(jù)安全任務，結合考核與激勵的管理措施，逐步實現(xiàn)數(shù)據(jù)安全精細化運營。2.治理實踐 (1)構建數(shù)據(jù)安全治理框架廣東聯(lián)通綜合業(yè)界最佳的數(shù)據(jù)安全框架，依據(jù)集團公司戰(zhàn)略與數(shù)據(jù)戰(zhàn)略目標，制定數(shù)據(jù)安全治理戰(zhàn)略。在戰(zhàn)略指導下，建立如圖22所示的一體化數(shù)據(jù)安全治理體系，即從數(shù)據(jù)安全組織、管理體系、技術體系到安全運營，提高廣東聯(lián)通數(shù)據(jù)安全管理及、可控，保障數(shù)據(jù)安全有序流動，如圖22所示。數(shù)據(jù)安全治理實踐指南2.0來源：廣東聯(lián)通圖22廣東聯(lián)通數(shù)據(jù)安全體系框架 (2)建立健全數(shù)據(jù)安全治理體系以組織架構為保障，通過建立健全數(shù)據(jù)安全管理體系、數(shù)據(jù)安全技術體系和數(shù)據(jù)安全運營體系，推動數(shù)據(jù)安全治理。推進數(shù)據(jù)安全工作，下設數(shù)據(jù)安全專項組，由管理組、業(yè)務組、對外合作組、技術組、隱私保護安全合規(guī)組、監(jiān)督組6個小組構成，合力推動數(shù)據(jù)安全全面落地。完善數(shù)據(jù)安全管理體系。廣東聯(lián)通依據(jù)國家、行業(yè)主管部門的數(shù)據(jù)安全相關法律法規(guī)與標準規(guī)范及聯(lián)通集團相關數(shù)據(jù)安全要求，逐步構建四級數(shù)據(jù)安全制度體系，覆蓋了數(shù)據(jù)全生命周期及數(shù)據(jù)分類分級、基礎安全等各方面要求。健全數(shù)據(jù)安全技術體系。廣東聯(lián)通數(shù)據(jù)安全技術體系以數(shù)據(jù)識別、數(shù)據(jù)加密、數(shù)礎，圍繞數(shù)據(jù)全生命周期安全需求，在集團能力基礎上構建省分集約化數(shù)據(jù)安全能力，實現(xiàn)數(shù)據(jù)安全立體化防護。同時，積極研究并逐步推動建立隱私計算平臺，探索個人隱私數(shù)據(jù)對外協(xié)同數(shù)據(jù)處理時合規(guī)防護，確保用戶隱私數(shù)據(jù)安全。完善數(shù)據(jù)安全運營體系。廣東聯(lián)通以安全合規(guī)需求為驅(qū)動，組建SOC，構建了圍繞數(shù)據(jù)感知、風險感知、安全合規(guī)、事件管理四個方面的運營體系，制定了安全實施、安全意識、數(shù)據(jù)保護、安全事件、敏感數(shù)據(jù)擴散五項運營指標，運用恰當?shù)陌踩夹g和管理手段，整合人、技術、流程，持續(xù)降低數(shù)據(jù)安全風險。依據(jù)運營指標結果，廣東聯(lián)通不斷優(yōu)化總結運營內(nèi)容，提升數(shù)據(jù)安全運營能力，為數(shù)據(jù)持續(xù)性提供安全防護。數(shù)據(jù)安全治理實踐指南2.03.實踐亮點亮點一：全面梳理和重塑工號實名管理的規(guī)范流程，打造基于身份證唯一標識的“實名認證、分級授權、日志溯源”，實現(xiàn)人臉識別、操作留痕、審計追溯，消除工號借用、盜用、越權等隱患。100%實人登錄，對異常工號行為進行監(jiān)控，逐步實現(xiàn)工號數(shù)字化規(guī)范化管理。目前已納管199套系統(tǒng)進行工號持續(xù)安全運營，清理不合規(guī)工號28萬多個，回收高權限工號1000多個，4套系統(tǒng)啟動“活體+賬號口令”登錄，33套系統(tǒng)啟動“短信驗證碼+賬號口令”登錄，已設計42項安全指標周期性運營，有效保障了工號權限數(shù)據(jù)安全。亮點二：針對IT系統(tǒng)多，且對用戶基礎數(shù)據(jù)調(diào)用服務需求大，以及業(yè)務發(fā)展、數(shù)據(jù)分析、運營等訪問敏感數(shù)據(jù)的頻繁需求,啟動數(shù)據(jù)服務安全項目，確保數(shù)據(jù)服務涉及的數(shù)據(jù)調(diào)用、數(shù)據(jù)使用安全。如圖23，依托集團數(shù)據(jù)中臺和天擎能力商店，構建省分數(shù)據(jù)能力開放平臺，統(tǒng)一提供基礎數(shù)據(jù)調(diào)用服務。通過應用系統(tǒng)注冊審批、賬號身份校驗、賬號稽查稽核，并進行接口實時監(jiān)控審計，確保數(shù)據(jù)調(diào)用安全；2022年累計提供數(shù)據(jù)能力調(diào)用6千萬次。同時，建設自助工具平臺，并建立OA審批、DLP加解密及溯源聯(lián)動機制對內(nèi)部提供批量數(shù)據(jù)分析需求，批量敏感數(shù)據(jù)限制特定云終端訪問并限制向外傳輸，以此確保數(shù)據(jù)使用安全；目前已累計提供批量數(shù)據(jù)使用需求17萬次。通過項目實施，確保了數(shù)據(jù)服務100%合規(guī)、安全。來源：廣東聯(lián)通圖23廣東聯(lián)通數(shù)據(jù)服務安全體系數(shù)據(jù)安全治理實踐指南2.01.建設思路吉利汽車對企業(yè)內(nèi)部數(shù)據(jù)進行了全面劃分，以經(jīng)營數(shù)據(jù)、業(yè)務數(shù)據(jù)、個人數(shù)據(jù)、汽車數(shù)據(jù)等基礎分類，對結構化數(shù)據(jù)、非結構化數(shù)據(jù)等進行了類型定義，制定以數(shù)據(jù)為中心的全生命周期的管控策略，企業(yè)數(shù)據(jù)安全治理的框架。以業(yè)務風險場景為導向，將吉利汽車的數(shù)據(jù)安全現(xiàn)狀進行了細致梳理，從組織人員、制度流程、文化意識、安全管理活動、技術管控措施5個方面進行全局規(guī)劃，制定了“體系流程標準化、管控能力自動化、數(shù)據(jù)安全價值化”三步走的數(shù)據(jù)安全目標和實施路徑，如圖24所示。來源：吉利汽車圖24吉利汽車集團數(shù)據(jù)安全三步走戰(zhàn)略2.治理實踐近年來，各類數(shù)據(jù)安全風險逐步上升，吉利汽車數(shù)據(jù)安全治理方案以法律法規(guī)、行業(yè)標準規(guī)范為依據(jù)，通過“人、管、技”三個方面來推動完善，建立一個完善的組并開展螺旋式上升的運營機制，從而構建“事前防范、事中監(jiān)測、事后響應”全面的安全能力，如圖25所示。數(shù)據(jù)安全治理實踐指南2.0來源：吉利汽車圖25吉利汽車集團數(shù)據(jù)安全治理框架在組織人員管理上，上層組織層面吉利在原有信息安全委員會下設了數(shù)據(jù)安全專業(yè)委員會，獲得領導層的支持和資源保障，并專門成立了企業(yè)數(shù)據(jù)安全合規(guī)與產(chǎn)品數(shù)據(jù)安全合規(guī)團隊，各業(yè)務單位配備專兼職的數(shù)據(jù)安全接口人，設置品牌安全負責人，來推動汽車的數(shù)據(jù)安全治理能力，并持續(xù)推廣運營，保證各業(yè)務單位的形成良性的運轉(zhuǎn)機制。在流程制度建設上，吉利對ISMS、DSMS、PSMS三套體系進行充分融合、求同存異，制定了三套體系一套執(zhí)行標準的“三體一式”管理機制，并通過制定數(shù)據(jù)安全管控基線，對基線進行持續(xù)優(yōu)化改善，來適應不同安全環(huán)境，從而構建全面的安全體系管理策略。在體系章程、組織人員、事件管理等通用數(shù)據(jù)安全制度上充分沿用已有的信息安全管理制度，在數(shù)據(jù)分類分級、數(shù)據(jù)安全評估、數(shù)據(jù)共享使用、數(shù)據(jù)跨境合規(guī)等方面將要求進行