《数据安全治理实践指南(3.0).docx》由会员分享,可在线阅读,更多相关《数据安全治理实践指南(3.0).docx(52页珍藏版)》请在课桌文档上搜索。
1、目录一、数据安全治理概述1(一)数据安全治理概念内涵1(二)数据安全治理原则21 .以数据为中心22 .多元化主体共同参与23 .兼顾发展与安全3二、数据安全治理总体视图4(一)数据安全治理目标4(二)数据安全治理体系51 .基于数据全生命周期视角52 .基于工作内容分工视角8(三)数据安全治理维度91.组织架构92制度流程123 .技术工具154 .人员能力17(四)数据安全治理专项19(五)数据安全治理实践19三、数据安全治理实践路线20(一)全局数据安全体系规划201.现状分析202 .方案规划213 .方案论证23(二)数据安全场景有序建设231 .全面梳理业务场景242 .确定业务场
2、景治理优先级273 .评估业务场景数据安全风险284 .制定并实施业务场景解决方案285 .完善业务场景操作规范28(三)数据安全运营持续加强281 .从运营对象的角度292 .从管控流程的角度31(四)数据安全评估助力优化341 .内部雨古342 .第三方由古35四、数据安全治理专项开展思路36(一)数据分类分级专项361 .建立组织保障362 .进行数据资源梳理373 .明确分类分级方法、策略384 .完成数据分类385 .逐类完成定级406 .形成分类分级目录417 .制定数据安全策略41(二)数据安全风险评估及治理专项421 .数据安全风险评估422 .数据安全风险治理44(三)个人信
3、息保护专项451 .个人信息采集风险452 .个人信息存储风险463 .个人信息使用风险464 .组织管理风险46(四)合作方数据安全管理专项461 .数据合作方识别472 .数据合作方安全评估47(五)数据出境安全评估专项481 .判断是否适用数据出境安全评估492 .明确需要数据出境安全评估的场景493 .准备各项申报材料50五、数据安全治理总结与展望51一、数据安全治理概述发展数字经济、加快培育发展数据要素市场,必须把保障数据安全放在突出位置。这就要求我们着力解决数据安全领域的突出问题,有效提升数据安全治理能力。随着数据安全监管要求逐渐落地,组织数据安全治理动力明显攀升,数据安全技术及服
4、务供给不断释放。整体来看,数据安全治理进入快速发展阶段。本章将解析数据安全治理概念内涵,分析数据安全治理原则。(一)数据安全治理概念内涵为指导行业数据安全治理能力建设,促进行业数据安全治理能力发展,依据中国通信标准化协会大数据技术标准推进委员会BDC91-2022数据安全治理能力评估方法,梳理数据安全治理概念内涵,本指南认为应该从广义和狭义两个角度进行理解。狭义地说,数据安全治理是指在组织数据安全战略的指导下,为确保组织数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力,内外部相关方协作实施的一系列活动集合。包括建立数据安全治理组织架构,制定数据安全制度规范,构建数据安全技术体系
5、,建设数据安全人才梯队等。广义地说,数据安全治理是在国家数据安全战略的指导下,为形成全社会共同维护数据安全、促进开发利用和产业发展的良好环境,国家有关部门、行业组织、科研机构、企业、个人共同参与和实施的一系列活动集合。包括完善相关政策法规,推动政策法规落地,建设实施标准体系,研发应用关键技术,培养专业人才等。(二)数据安全治理原则1 .以数据为中心数据的高效开发和利用,涵盖了数据的采集、传输、存储、使用、共享、销毁等全生命周期的各个环节,不同环节的特性不同,都面临丰富多样的数据安全威胁与风险。因此,必须构建以数据为中心的数据安全治理体系,根据具体的业务场景和各生命周期环节,有针对性地识别并解决
6、其中存在的数据安全问题,防范数据安全风险。2 .多元化主体共同参与无论是从广义还是狭义的角度出发,数据安全治理不是仅仅依靠一方力量可以开展的工作。对国家和社会而言,面对数据安全领域的诸多挑战,政府、企业、行业组织、甚至个人都需要发挥各自优势,紧密配合,承担数据安全治理主体责任,共同营造适应数字经济时代要求的协同治理模式。这也与中华人民共和国数据安全法(以下简称数据安全法)中强调建立各方共同参与的工作机制相一致。对组织机构而言,数据安全治理需要从组织战略层面出发,协调管理层、执行层等相关方,打通不同部门之间的沟通障碍,统一内部数据安全共识,实现数据安全防护建设一盘棋。因此,数据安全治理必然是涉及
7、多元化主体共同参与的工作。3 .兼顾发展与安全随着国内数字化建设的快速推进,无论是政府部门,还是其他组织均沉淀了大量的数据。数字经济时代的应用场景下,数据只有在流动中才能充分发挥其价值,而数据流动又必须以保障数据安全为前提,因此,必须要辩证看待数据安全治理。正如数据安全法提出的“坚持以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展。”数据安全治理不是强调数据的绝对安全,而是需要兼顾发展与安全的平衡。二、数据安全治理总体视图本指南结合前期大量调研和数据安全治理能力评估实践,依据中国通信标准化协会大数据技术标准推进委员会BDC91-2022数据安全治理能力评估方法,提炼出
8、一套行之有效的数据安全治理总体视图,用以描绘数据安全治理的建设蓝图和实践路线,如图1所示。图1数据安全治理总体视图(一)数据安全治理目标数据安全治理目标是组织数据安全治理工作开展的前进方向。本指南认为其主要包括满足合规要求、治理数据安全风险、促进数据开发利用三方面。满足合规要求。逐渐细化的数据安全监管要求,为组织数据安全合规工作的推进提出了更高的要求。及时发现合规差距,协助组织履行数据安全责任义务,为业务的稳定运行和规范化开展筑牢根基是数据安全治理工作的首要目标。治理数据安全风险。不断产出的海量数据在动态实时流转过程中,面临着较大的风险暴露面,数据安全威胁及带来的影响与日俱增。叠加数据安全边界
9、较为模糊、数据安全基础不够强韧等问题,组织数据安全风险的有效治理必然是数据安全治理的重要使命。促进数据开发利用。数字经济的高速发展离不开数据价值的充分释放,数据安全则是保障数据价值释放的重要基石。数据安全治理通过体系化的建设,完善组织的合规管理和风险管理工作机制,提升数据安全保护水平,促进数据的开发利用。(二)数据安全治理体系数据安全治理体系是组织达成数据安全治理目标需要具备的能力框架,组织应该围绕该体系进行建设。本指南依据BDC91-2022数据安全治理能力评估方法,基于数据全生命周期视角提出了一个三层架构,同时基于该三层架构在实践中的工作分工,演化出管理、技术、运营三类工作内容。1.基于数
10、据全生命周期视角数据安全治理体系的三层框架包括数据安全战略层、数据全生命周期安全层和基础安全层,其中:数据安全战略层是推进数据安全治理工作开展的战略保障模块,要求组织在启动各项工作前,应制定相应的战略规划。数据安全战略从数据安全规划、机构人员管理两方面入手,前者确立目标任务,后者组建治理团队。 数据安全规划要求根据国家政策、组织业务发展需要以及数据安全需求等多方面因素明确组织整体数据安全规划。 机构人员管理要求建立负责组织内部数据安全工作的部门、岗位和人员,并与人力资源管理部门进行联动,防范机构人员管理过程中存在的数据安全风险。数据全生命周期安全层是评估组织数据安全合规及风险管理等工作下沉至各
11、业务场景能力水平的重要模块。要求组织以采集、传输、存储、使用、共享、销毁等环节为切入点,设置管控点和管理流程,保障数据安全。具体来说包括: 数据采集安全是指根据组织对数据采集的安全要求,建立数据采集安全管理措施和安全防护措施,规范数据采集相关流程,从而保证数据采集的合法、合规、正当和诚信。 数据传输安全是指根据组织对内和对外的数据传输需求,建立不同的数据加密保护策略和安全防护措施,防止传输过程中的数据泄露等风险。 数据存储安全是指根据组织内部数据存储安全要求,提供有效的技术和管理手段,防止对存储介质的不当使用而可能引发的数据泄露风险,并规范数据存储的冗余管理流程,保障数据可用性,实现数据存储安
12、全。 数据使用安全是指根据数据使用过程面临的安全风险,建立有效的数据使用安全管控措施和数据处理环境的安全保护机制,防止数据处理过程的风险。 数据共享安全是指根据组织对外提供或交换数据的需求,建立有效的数据交换安全防护措施,降低数据共享场景下的安全风险。 数据销毁安全是指通过制定数据销毁机制,实现有效的数据销毁管控,防止因对存储介质中的数据进行恢复而导致的数据泄露风险。基础安全层作为数据全生命周期安全能力建设的基本支撑模块,可以在多个生命周期环节内复用,是整个数据安全治理体系建设的通用要求,能够实现建设资源的有效整合。具体来说包括: 数据分类分级是指根据法律法规以及业务需求,明确组织内部的数据分
13、类分级原则及方法,并对数据进行分类分级标识,以实现差异化的数据安全管理。 合规管理是指根据组织内部的业务需求和业务开展场景,明确相关法律法规要求,通过制定管理措施降低组织面临的合规风险。 合作方管理是指通过建立组织的合作方管理机制,防范组织对外合作中的数据安全风险。 监控审计是指通过建立监控及审计的工作机制,有效防范不正当的数据访问和操作行为,降低数据全生命周期未授权访问、数据滥用、数据泄露等安全风险。 身份认证与访问控制是指根据组织的安全合规要求,建立用户身份认证和访问控制管理机制,防止对数据的未授权访问。 安全风险分析是指根据组织的业务场景建立数据安全风险分析体系,将风险控制在可接受的水平
14、,最大限度的保障数据安全。 安全事件应急是指通过建立数据安全应急响应体系,确保在发生数据安全事件后能够及时止损,保障业务的安全和稳定运行,最大程度降低数据安全事件带来的影响。2.基于工作内容分工视角上述三层框架在组织内部落地实践过程,涉及到多方面的工作,根据组织内常见的工作划分,我们按照管理、技术、运营三类的工作内容进行演化,生成基于工作内容的数据安全治理体系视角,其中:管理类工作涉及组织架构、制度流程、人员管理等三方面工作,是数据安全治理体系在组织内运作的基石,主要负责协调、整合及优化各种资源,最终实现数据安全治理目标。更详细的内容可以参考“(三)数据安全治理维度”。技术类工作涉及基础通用类
15、、生命周期类、平台类技术的策略配置、技术实现等,主要为管理类工作的落地提供技术支撑,是数据安全的直接保障。具体的技术工作将在“(三)数据安全治理维度”进行描述。运营类工作可以从运营对象、管控流程两个维度切入实现,主要承担优化数据安全工作流程,及时持续的为数据安全决策提供有价值的信息和洞察。更详细的内容将在第三章进行阐述。(三)数据安全治理维度以数据安全治理目标为指引,围绕数据安全治理体系框架,可以从组织架构、制度体系、技术工具和人员能力四个维度开展治理能力建设工作,以解决雌来干“、怎么干”、干的如何、“有没有能力干,等关键问题。1.组织架构数据安全组织架构是数据安全治理体系建设的前提条件。通过
16、建立专门的数据安全组织,落实数据安全管理责任,确保数据安全相关工作能够持续稳定的贯彻执行。同时,因数据安全治理是一项多元化主体共同参与的复杂工作,明确的组织架构有助于划分各参与主体的数据安全权责边界,促进协同机制的建立,实现组织数据安全治理一盘棋。在一个组织内部,安全部门、合规部门、风控部门、内审部门、业务部门、人力部门等都需要参与到数据安全治理的具体工作中,相互协同,共同保障组织的数据安全。一种较为典型的数据安全治理组织架构一般由决策层、管理层、执行层与监督层构成,如图2所示,各层之间通过定期会议沟通等工作机制实现紧密合作、相互协同。决策层指导管理层工作的开展,并听取管理层关于工作情况和重大
17、事项等的汇报,一般以虚拟组织的形式存在,如数据安全领导小组,该小组通常由组织的高层领导及相关部门负责人共同构成,主要负责对数据安全的重大事项进行统筹决策,主要职责包括:来源:数据安全推进计划图2数据安全治理组织架构示例 制定数据安全整体目标和发展规划; 发布数据安全管理制度及规范; 提供数据安全规划、设计、建设、实施、运营等全过程的资源保障; 重大数据安全事件协调与决策。管理层则对执行层提出数据安全管理要求,并听取执行层关于数据安全执行情况和重大事项的汇报,形成管理闭环,一般由安全部门或数据部门牵头,负责数据安全的管理、建设、宣贯等工作,主要职责包括: 制定数据安全管理制度及规范; 制定数据安
18、全工作在各层级的运行机制,保障数据安全工作的顺利运营; 推进数据安全风险评估、数据出境安全评估等专项工作的开展; 推进数据安全意识培训、安全技能提升、安全技术考核等工作; 负责与国家数据安全相关监管部门及行业组织的协调沟通。执行层一般由业务部门、技术部门等构成,负责执行或支撑各项数据安全管理要求的贯彻落实,主要职责包括: 负责依据国家法律法规、政策文件、标准规范及企业相关数据安全管理要求,合理开展工作; 负责制定本部门相关业务场景下的数据安全实施细则; 负责按照要求构建数据安全建设的技术支撑能力,助力管理要求落地; 负责反馈合理的数据安全需求,促进数据安全防护工作的改进; 积极参与数据安全意识
19、培训I、能力培养及考核工作。监督层负责对管理层和执行层各自职责范围内的数据安全工作情况进行监督,并听取各方汇报,形成最终监督结论后同步汇报至决策层,一般涉及合规、风控、内审等部门,主要职责包括: 对数据安全制度及规范的执行情况进行监督; 对数据安全技术工具的落地情况进行监督; 对数据安全风险评估过程进行监督审计。各层的主要分工和构成如表1所示。因不同组织的部门设置都有较大不同,涉及到实际组织体系建设时,不同机构还需结合现有组织架构,进行适度的调整和补充。表1数据安全组织职责分工表决策层管理层执行层监督层数据安全责任组织高层领导及相关部门负责人安全部门/数据部门业务部门俵术部门/人力部门合规部门
20、/风控部门/内审部门整体建设规划牵头负责遵照执行遵照执行执行并监督组织架构调整牵头负责遵照执行遵照执行执行并监督制度流程建设意见审批牵头负责遵照执行执行并监督技术体系建设意见审批日常管理牵头负责日常监督安全要求落实意见审批日常管理牵头负责日常监督安全专项检查意见审批牵头负责遵照执行日常监督安全教育培训意见审批牵头负责遵照执行日常监督来源:数据安全推进计划2.制度流程数据安全制度流程一般会从业务数据安全需求、数据安全风险控制需要,以及法律法规合规性要求等几个方面进行梳理,最终确定数据安全防护的目标、管理策略及具体的标准、规范、程序等。数据安全管理制度文件可分为四个层面,一、二级文件作为上层的管理
21、要求,应具备科学性、合理性、完备性及普适性。三、四级文件则是对上层管理要求的细化解读,用于指导具体业务场景的具体工作。常见的制度体系如图3所示。TR文件Im安全管理的方针政策方针政策管理规定二殿文件详细的性事咯三级文件:完成工作所需的Ml各类表单、记录四级文件先成工作所I攥作手册、指南来源:数据安全推进计划图3数据安全治理制度体系示例一级文件是由决策层明确的面向组织的数据安全管理方针、政策、目标及基本原则。二级文件是由管理层根据一级文件制定的通用管理办法、制度及标准。三级文件一般由管理层、执行层根据二级管理办法确定各业务、各环节的具体操作指南、规范。四级文件属于辅助文件,是各项具体制度执行时产
22、生的过程性文档,一般包括工作计划、申请表单、审核记录、日志文件、清单列表等内容。根据图3所示的常见制度体系,围绕数据全生命周期安全要求,可以参考图4完善组织各级制度文件内容。S81居安呈堆道计外DATASECURITYINlTIATfVEtsssaM*ws*xs4Ml S3.技术工具数据安全治理体系的技术并非单一产品或平台的构建,而是结合组织自身使用场景,围绕数据全生命周期各阶段的安全要求,建立起来的与制度流程相配套的技术和工具。一种典型的数据安全治理技术体系如图5所示,由基础通用类技术、生命周期类技术、平台类技术构成。来源:数据安全推进计划图5数据安全治理技术体系基础通用类技术工具为数据全生
23、命周期的安全提供支撑: 数据分类分级相关工具平台主要实现数据资产扫描梳理、数据分类分级打标和数据分类分级管理等功能。 身份认证及访问控制相关工具平台,主要实现在数据全生命周期各环节中涉及的所有业务系统和管理平台的身份认证和权限管理。 监控审计相关工具平台接入业务系统和管理平台,实现对数据安全风险的实时监控,并能进行统一审计。 日志管理平台收集并分析所有业务系统和管理平台的日志,并统一日志规范以支持后续的风险分析和审计等工作。 安全及合规评估相关工具平台主要用于综合评估数据安全现状和合规风险。数据全生命周期安全类技术为生命周期中特定环节面临的风险提供管控技术保障。整个数据全生命周期可以通过组合或
24、复用以下多种技术实现数据安全: 敏感数据识别通过对采集的数据进行识别和梳理,发现其中的敏感数据,以便进行安全管理。 备份与恢复技术是防止数据破坏、丢失的的有效手段,用于保证数据可用性和完整性。 数据加密相关工具平台通过提供常见的加密模块及密钥管理能力,落地数据的加密需求。 数据脱敏是通过一定的规则对特定数据对象进行变形的一类技术,用于防止数据泄露和违规使用等。数据安全网关通过建立统一的数据访问、分发的出入口,基于协议访问数据源,发现敏感数据,对访问数据的行为进行分析、处理,提供持续的数据安全保障及监测能力。数据水印技术通过对数据进行处理使其承载特定信息,使得数据具备追溯数据所有者与分发对象等信
25、息的能力。在数据处理过程中起到威慑及追责的作用。 数据防泄露技术通过终端防泄露技术、邮件防泄露技术、网络防泄露技术,防止敏感数据在违反安全策略规定的情况下流出组织。 隐私计算通过实现数据的可用不可见,从而满足隐私安全保护、价值转化及释放。 API管控相关工具平台提供内部接口和外部接口的安全管控和监控审计能力,保障数据传输接口安全。 数据删除是一种逻辑删除技术,为保证删除数据的不可恢复,一般会采取数据多次的覆写、清除等操作。 介质销毁一般通过消磁机或者物理捣毁等方式对数据所在的介质进行物理销毁。平台类技术通过接入各技术工具的能力点,打破其之间的协作壁垒,实现对不同技术工具的能力编排与调度,进而提
26、供统一的管理入口与操作方式,为组织的各项安全决策提供全局视角: 数据安全运营管理平台通过数据资产梳理、数据合规管理、安全能力管理等核心功能,建立“协同管理”的能力,规避产品在实际应用过程中的粗防护、弱联动、单视角等问题。4.人员能力数据安全治理离不开相应人员的具体执行,人员的技术能力、管理能力等都影响到数据安全策略的执行和效果。因此,加强对数据安全人才的培养是数据安全治理的应有之义。组织需要根据岗位职责、人员角色等明确相应的能力要求,并从意识和能力两方面着手建立适配的数据安全能力培养机制,如表2所示。表2不同类型人员的数据安全能力要求和培养机制人员角色决策层管理层执行层监督层数据安全能力要求了
27、解数据安全法律法规、具备数据安全意识、知晓常见数据安全陷阱熟知数据安全法律法规、知晓数据安全风险、熟悉数据安全合规评估工作流程、熟悉数据安全操作规范了解数据安全法律法规、具备数据安全技术能力、熟悉业务流程的安全风险、熟悉数据安全操作规范熟知数据安全法律法规、熟悉数据安全工作流程、具备数据安全意识来源:数据安全推进计划意识能力培养方式。可以结合业务开展的实际场景,以及数据安全事件实际案例,通过数据安全事件宣导、数据安全事件场景还原、数据安全宣传海报、数据安全月活动等方式,定期为员工开展数据安全意识培训,纠正工作中的不良习惯,降低因意识不足带来的数据安全风险。技术能力培养方式。一方面,构建组织内部
28、的数据安全学习专区,营造培训环境,通过线上视频、线下授课相结合的方式,按计划、有主题的定期开展数据安全技能培训,夯实理论知识。另一方面,通过开展数据安全攻防对抗等实战演练,将以教学为主的静态培训转为以实践为主的动态培训,提高人员参与积极性,有助于理论向实践转化,切实提高人员数据安全技能。为保障培训效果,形成人员能力培养的管理闭环,还需要结合能力考核的管理机制。通过结合人员角色及岗位职责,构建数据安全能力考核试题库,通过考核平台分发日常测验及各项考核内容,评估人员数据安全理论基础。同时将人员在实战演练中的实际操作能力作为重要考核指标,以综合评估数据安全人员能力水平。(四)城安全治理专项如前所述,
29、数据安全治理的要点之一是多元化主体的共同参与,其工作过程涉及数据、安全、合规、业务等诸多部门,因此协调落实复杂程度较高,为了保障各部门及各项管理要求的有效配合及落实,数据安全专项工作必不可少。结合监管要求及业务发展需要,数据分类分级、数据安全风险评估、数据出境安全评估、合作方数据安全管理等专项工作的开展需要提上日程。本指南结合相关要求及行业实践,将在第四章详细描述以上专项工作的开展思路。(五)数据安全治理实践数据安全治理体系给出了组织数据安全治理的建设框架,如何将整套框架切实应用于建设过程,离不开实践路线的绘制。本指南基于行业发展现状,提炼出“全局体系规划,场景有序落地,运营持续加强,评估助力
30、优化”的数据安全治理实践理念,并进一步丰富形成“规划一建设一运营一优化”的闭环路线,用以指导各行业组织数据安全治理工作的落地推进。该实践路线将在第三章展开论述。三、数据安全治理实践路线基于以上数据安全治理实践理念,可以按照体系化和场景化相结合的思路推进实践过程。一方面,体系化思路,以数据安全战略规划为指导,以规划、建设、运营、优化为主线,围绕构建数据安全治理体系这一核心,从组织架构、制度流程、技术工具和人员能力四个维度构建全局建设蓝图。另一方面,场景化思路,针对各业务场景敏捷落地相关数据安全能力点,通过实际业务场景中数据安全的建设落地实践,反向总结输出相应管理规范,并由点及面应用至相似场景,以
31、强化管理对业务的下沉指导。以上实践过程可以有效避免管理和技术的“两张皮”问题。(一)全局数据安全体系规划数据安全规划阶段主要确定组织数据安全治理工作的总体定位和愿景,根据组织整体发展战略内容,结合实际情况进行现状分析,制定数据安全规划,并对规划进行充分论证。1 .现状分析组织应通过现状分析找到数据安全治理的核心诉求及差距项,以此作为规划设计的依据。可以从安全合规对标、风险现状分析、行业最佳实践对比入手。一是数据安全合规对标。数据安全合规是组织履行数据安全相关责任义务的底线要求。不同组织应对组织适用的外部法律法规、监管要求、标准规范等进行梳理,将重要条款与现有情况进行对比,分析其差距,确定合规需
32、求。二是数据安全风险现状分析。有效的数据安全风险管理是组织推进业务发展的重要保障。不同组织需结合其业务场景,基于数据全生命周期安全防护要求,通过数据安全风险评估等专项工作的开展,识别数据面临的安全威胁及所在环境的脆弱性,形成风险问题清单,提炼数据安全建设需求点。三是行业最佳实践对比。行业对比是组织经营决策的主要参考。通过分析同行业的数据安全建设先进案例,并与组织现状进行横向对比,有助于提炼出更加适宜的数据安全建设方向和建设思路。2 .方案规划组织应根据现状分析结果,结合数据安全治理目标,给出可落地实施的数据安全治理规划方案,并提炼重点目标和任务,分阶段落实到工程实施中。方案规划可以从前文所述的
33、四个数据安全治理维度入手,通过对组织架构、制度流程、技术工具、人员能力的不断建设与完善达成建设目标。以一个数据安全治理建设刚起步的企业为例,一般来说,可以将数据安全规划分为三个阶段,如图6所示。 3立金里阿RA体系 llifMMOMttMBMM 优先第分会分工作完安全我本“博嘉 开IM图安全美蟠力崖&It设蟒一IUS安全平台 *0全化指标体祟定期开ImR安全评估评马 NMt他蝠安全忘我系险出优秀重快钿!行业发IITn 皎armtsMrrtt 开IMa皎全以培训博来源:数据安全推进计划图6数据安全治理规划示例第一阶段,组织尚处于数据安全治理建设初期,急需在内部明确数据安全治理职责分工和管理要求,
34、因而建议主要完成初步的数据安全治理体系建设工作,包括数据安全组织机构的建立、数据安全制度体系的编制、数据安全基础能力建设以及数据安全意识培训宣贯。同时数据分类分级作为实施数据安全管理措施和技术措施的前提,是一个需要提前布局且长期推进的工作。第二阶段,组织有了一定的数据安全治理基础,可以在这一阶段着重完善数据安全技术能力体系,通过建设统一的管理平台,全面落实数据安全管理规范及策略要求,并通过常态化数据安全运营,实现持续的数据安全保障能力。同时,应加强数据安全能力培训体系的构建,培养复合型数据安全专业人才,壮大数据安全人才队伍。第三阶段,组织已经初步建成数据安全治理体系,这一阶段以持续优化为主要目
35、标,重在建立数据安全治理的量化指标体系,定期开展数据安全评估评测,监测各项指标的达标情况。再根据评估评测结果及时优化建设内容,最终达到较高的数据安全治理水平。同时,通S阮1居安全推IS计到MJzdatasecurityinitiative过提炼并输出成功经验,促进行业共同进步。3.方案论证为保障规划方案在建设过程的顺利实施,应从以下方面进行论证分析。一是可行性分析,根据组织现状,明确人力、物力、资金的投入与产生的效益对比,协调数据安全管理机制和技术能力建设与业务系统之间的分歧,确保在业务发展与安全保障之间达到平衡。二是安全性分析,方案在正式实施前,要进行详细的方案论证分析,确保可以在业务稳定运
36、行的前提下实施治理建设,同时要考虑治理过程中可能产生的新风险,避免未知风险的引入。三是可持续性分析,数据安全治理是持续性过程,随着业务拓展和技术进步,规划方案在保证与当前组织现有体系兼容的同时,也要考虑与后续的发展相适应。因此数据安全治理方案不仅要考虑当下,还要着眼未来。在满足当前数据安全需求的同时,适应后续的持续发展。(二)数据安全场景有序建设数据安全建设阶段主要对数据安全规划进行落地实施,建成与组织相适应的数据安全治理能力,包括组织架构的建设、制度体系的完善、技术工具的建立和人员能力的培养等。通过数据安全规划,组织对如何从零开始建设数据安全治理体系有了一定认知,同时也应意识到数据安全治理的
37、建设是一项需要长期开展和持续投入的工作,无法一蹴而就。为了快速响应不同业务场景下不同的数据安全策略要求,应基于场景需要选择性部署技术工具,编制三级操作指南文件,形成四级记录模板。通过逐个场景的数据安全建设,最终推动数据安全治理体系在组织内的全面落地。本指南梳理了场景化数据安全治理建设的总体路线,如图7所示。IM定并M业务涮I8整体IH眩全*歧体MViff.M三ww三n三tm体IumrM*dwmtAVHMMwe来源:数据安全推进计划图7场景化数据安全建设五步走1.全面梳理业务场景梳理数据资产和业务场景是组织进行场景化数据安全治理建设的前提,可以帮助组织了解数据安全治理对象全貌,为组织场景化数据安
38、全治理提供行动地图。目前,对业务场景的划分尚未有统一的标准,本指南根据对数据安全供应侧及需求侧的调研,将场景划分方法归类为基于数据全生命周期和基于业务运行环境两种划分方式。(1)基于数据全生命周期的场景划分基于数据全生命周期的场景划分是分别在采集、传输、存储、使用、共享、销毁各环节抽象出典型应用场景,如图8所示。 数据采集环节主要有个人信息主体数据采集、外部机构数据采集、数据产生等场景。 数据传输环节主要有内部系统之间以及外部机构之间的数据传输场景。 数据存储环节主要有数据加密存储数据库安全等场景。 数据使用环节主要有应用访问、数据运维、测试和开发、终端安全、数据准入、数据分析、模型训练等场景
39、。 数据共享环节主要有内部共享和外部共享等场景。 数据销毁环节有逻辑删除、物理销毁和数据退役等场景。 此外还有一些基础性的工作,如数据分类分级应该作为单独的场景纳入到整体的场景视图中。来源:数据安全推进计划图8基于数据全生命周期的场景划分在组织实际工作中,业务场景较为复杂,一般涉及多个全生命周期环节,两者更多是如表3所示的多对多的关系。当组织从全生命周期环节出发划分业务场景难度较大时,也可以从业务的流转视图开始,分析其涉及到的全生命周期环节。其最终目的是建立业务场景与全生命周期环节的对应关系,便于形成基于数据全生命周期的统一安全管理。基于数据全生命周期的场景划分方式,一方面能更好地契合当前法律
40、法规中关于数据全生命周期的安全要求,一方面更加匹配当前主流的数据安全治理体系框架。表3业务场景与数据生命周期关系示例场景性命周期业务场景1业务场景2业务场景3来源:数据安全推进计划(2)基于业务运行环境的场景划分组织的业务虽然各有不同,但是其业务运行环境的划分基本相同,据此可以将业务场景划分为:办公场景、生产场景、研发场景、运维场景等。还可以基于支撑业务运行的基础设置进一步细分为云、终端等场景,如图9所示。基于业务运行环境安全环境用访问数据运播外部共基础设置云场接必*来源:数据安全推进计划图9基于业务运行环境的场景划分基于业务运行环境的场景划分方式,一方面与业务的研发上线紧密关联,有利于场景的
41、识别,另一方面兼容组织安全域的划分,有利于充分利用原有的网络安全能力。2 .确定业务场景治理优先级在业务场景梳理完成后,组织需要综合考虑监管要求、数据安全风险和业务发展需要,明确业务场景治理的开展优先级。以上文提到的基于数据全生命周期的场景划分方式为例,数据分类分级是数据安全的基础性工作基本已经成为行业共识,随着行业数据分类分级指南的不断建立和完善,组织应跟紧行业发展步伐,前置数据分类分级工作的优先级。其次,数据采集环节中个人信息主体数据采集、外部机构数据采集等场景均涉及到个人信息权益保护,是当前数据安全合规出现问题的高危场景,容易影响组织品牌形象,因而需要优先治理。此外,数字经济的繁荣发展离
42、不开数据的流通共享,随之而来的风险也在不断显现,对数据流通的安全保护势在必行,因而也应着重进行相关场景的安全建设。3 .评估业务场景数据安全风险评估业务场景的数据安全风险是指针对具体场景,综合考虑合规要求、数据资源重要程度、面临的数据安全威胁等因素,将数据流动过程的风险点梳理出来,并明确数据安全风险等级。业务方应根据此项评估结果,确定要进行整改的风险点,并将其作为数据安全治理建设需求的输入,为制定场景化数据安全解决方案提供依据。4 .制定并实施业务场景解决方案结合业务场景的数据安全风险评估结果,组织可以根据相关政策及标准要求,申请充分的资源保障,并制定可落地的解决方案。目前,对于部分场景,业界
43、已经形成了一些公认的典型解决方案,例如在数据加密存储场景中使用加解密系统,并在算法的选择上避开不安全的MD5、AES-ECBSHAl等算法;在终端场景下部署终端DLP等。但更多情况下,组织需要根据实际情况自研解决方案或者甄选适宜的供应侧解决方案。5 .完善业务场景操作规范为规范业务场景日常的数据安全管理和运营工作,组织应督促业务部门在实施具体的技术措施后,及时完善组织整体数据安全制度体系中关于三级与四级的制度文件,如数据导出申请单数据脱敏规则数据安全合规清单等,以保持制度流程和技术落地一致性。(三)数据安全运营持续加强SJ28掘安定地曲十MOATASECURITYINlTlATfVt数据安全运
44、营阶段通过不断适配业务环境和风险管理需求,持续优化安全策略措施,强化整个数据安全治理体系的有效运转。运营体系的构建可以从运营对象、管控流程两个方向进行切入建设。1 .从运营对象的角度(1)数据的运营数据作为数据安全的主要管理对象,必然是数据安全运营的关键内容。通过对数据的运营,可以全面掌握数据的分布及流转情况,为数据安全的策略制定、风险排查等提供有效输入。一般来说,数据运营可以从数据资源目录、数据分布地图、数据流转视图等几个方面开展工作。数据资源目录。将梳理的数据资源情况进行统一的纳管,明确数据来源、数据属主、数据类型等情况,形成数据资源的统一目录视图。一方面有助于解决数据重复、不一致等数据质
45、量问题,另一方面可以作为数据分类分级工作的范围参照和数据输入。数据分布地图。数据作为业务的共生体,存在于组织的不同部门、不同系统、不同存储资源中。当发生数据泄露、篡改等安全事件时,清晰的数据分布地图有助于快速定位受影响的系统和数据,提高数据安全措施的针对性,提升事件的应急响应效率。同时也能够快速为业务指明目标数据资源所在,加快数据协同。数据流转视图。流动是发挥数据价值的重要环节,也是数据安全风险的源头之一。数据流转视图一方面呈现了业务流过程,有助于业务流程优化,另一方面有助于呈现数据使用情况,为数据流动过程的风险防范提供视角。(2)合规的运营合规工作是组织数据安全治理的底线要求,如何将法律条文
46、、监管要求内化为组织可落地的管理指标,并定期开展检查及整改工作是合规运营的主要内容。因此,可以从合规库管理、合规检查、合规监管处置三方面开展工作。合规库管理。明确的合规要求以及清晰的合规理解,是合规实践工作的重要前提,因此各机构需要依据国家法律法规、行业监管要求等建立合规知识库,并动态更新管理。与此同时,数据安全部门、合规部门等需要将以上要求分解为业务可用的数据安全指标,为数据安全运营活动提供输入与参照。合规检查。合规检查主要基于合规库,面向组织数据处理活动的安全合规情况进行定期检查,包括对数据脱敏、数据采集、访问控制等活动的合规性检查,判断数据安全合规现状与检查指标的符合程度。合规监管处置。合规整改是合规运营的重要一环,主要实现对合规检查结果的公布与处理,也可兼顾给上级监管机构的合规数据报送等工作。(3)安全的运营安全是发展的保障,发展是安全的目的。对数据安全的有效运营才能促进业务更健康的持续发展。通过分析产业界数据安全运营相关工作,安全策略运营、安全能力管理、协同管理关联分析都是安全运营的重要工作。安全策略运营。风险的防范离不开相应策略的制定与实施,因此构建一套安全策略的运营机制是实现风险治理的前提。针对不同的数据安全风险
