数据安全治理实践指南（3.0）.docx

目录一、数据安全治理概述1（一）数据安全治理概念内涵1（二）数据安全治理原则21 .以数据为中心22 .多元化主体共同参与23 .兼顾发展与安全3二、数据安全治理总体视图4（一）数据安全治理目标4（二）数据安全治理体系51 .基于数据全生命周期视角52 .基于工作内容分工视角8（三）数据安全治理维度91.组织架构92制度流程123 .技术工具154 .人员能力17（四）数据安全治理专项19（五）数据安全治理实践19三、数据安全治理实践路线20（一）全局数据安全体系规划201.现状分析202 .方案规划213 .方案论证23（二）数据安全场景有序建设231 .全面梳理业务场景242 .确定业务场景治理优先级273 .评估业务场景数据安全风险284 .制定并实施业务场景解决方案285 .完善业务场景操作规范28（三）数据安全运营持续加强281 .从运营对象的角度292 .从管控流程的角度31（四）数据安全评估助力优化341 .内部雨古342 .第三方由古35四、数据安全治理专项开展思路36（一）数据分类分级专项361 .建立组织保障362 .进行数据资源梳理373 .明确分类分级方法、策略384 .完成数据分类385 .逐类完成定级406 .形成分类分级目录417 .制定数据安全策略41（二）数据安全风险评估及治理专项421 .数据安全风险评估422 .数据安全风险治理44（三）个人信息保护专项451 .个人信息采集风险452 .个人信息存储风险463 .个人信息使用风险464 .组织管理风险46（四）合作方数据安全管理专项461 .数据合作方识别472 .数据合作方安全评估47（五）数据出境安全评估专项481 .判断是否适用数据出境安全评估492 .明确需要数据出境安全评估的场景493 .准备各项申报材料50五、数据安全治理总结与展望51一、数据安全治理概述发展数字经济、加快培育发展数据要素市场，必须把保障数据安全放在突出位置。这就要求我们着力解决数据安全领域的突出问题，有效提升数据安全治理能力。随着数据安全监管要求逐渐落地，组织数据安全治理动力明显攀升，数据安全技术及服务供给不断释放。整体来看，数据安全治理进入快速发展阶段。本章将解析数据安全治理概念内涵，分析数据安全治理原则。（一）数据安全治理概念内涵为指导行业数据安全治理能力建设，促进行业数据安全治理能力发展，依据中国通信标准化协会大数据技术标准推进委员会BDC91-2022数据安全治理能力评估方法，梳理数据安全治理概念内涵，本指南认为应该从广义和狭义两个角度进行理解。狭义地说，数据安全治理是指在组织数据安全战略的指导下，为确保组织数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力，内外部相关方协作实施的一系列活动集合。包括建立数据安全治理组织架构，制定数据安全制度规范，构建数据安全技术体系，建设数据安全人才梯队等。广义地说，数据安全治理是在国家数据安全战略的指导下，为形成全社会共同维护数据安全、促进开发利用和产业发展的良好环境，国家有关部门、行业组织、科研机构、企业、个人共同参与和实施的一系列活动集合。包括完善相关政策法规，推动政策法规落地，建设实施标准体系，研发应用关键技术，培养专业人才等。（二）数据安全治理原则1 .以数据为中心数据的高效开发和利用，涵盖了数据的采集、传输、存储、使用、共享、销毁等全生命周期的各个环节，不同环节的特性不同，都面临丰富多样的数据安全威胁与风险。因此，必须构建以数据为中心的数据安全治理体系，根据具体的业务场景和各生命周期环节，有针对性地识别并解决其中存在的数据安全问题，防范数据安全风险。2 .多元化主体共同参与无论是从广义还是狭义的角度出发，数据安全治理不是仅仅依靠一方力量可以开展的工作。对国家和社会而言，面对数据安全领域的诸多挑战，政府、企业、行业组织、甚至个人都需要发挥各自优势，紧密配合，承担数据安全治理主体责任，共同营造适应数字经济时代要求的协同治理模式。这也与中华人民共和国数据安全法（以下简称数据安全法）中强调建立各方共同参与的工作机制相一致。对组织机构而言，数据安全治理需要从组织战略层面出发，协调管理层、执行层等相关方，打通不同部门之间的沟通障碍，统一内部数据安全共识，实现数据安全防护建设一盘棋。因此，数据安全治理必然是涉及多元化主体共同参与的工作。3 .兼顾发展与安全随着国内数字化建设的快速推进，无论是政府部门，还是其他组织均沉淀了大量的数据。数字经济时代的应用场景下，数据只有在流动中才能充分发挥其价值，而数据流动又必须以保障数据安全为前提，因此，必须要辩证看待数据安全治理。正如数据安全法提出的“坚持以数据开发利用和产业发展促进数据安全，以数据安全保障数据开发利用和产业发展。”数据安全治理不是强调数据的绝对安全，而是需要兼顾发展与安全的平衡。二、数据安全治理总体视图本指南结合前期大量调研和数据安全治理能力评估实践，依据中国通信标准化协会大数据技术标准推进委员会BDC91-2022数据安全治理能力评估方法，提炼出一套行之有效的数据安全治理总体视图，用以描绘数据安全治理的建设蓝图和实践路线，如图1所示。图1数据安全治理总体视图（一）数据安全治理目标数据安全治理目标是组织数据安全治理工作开展的前进方向。本指南认为其主要包括满足合规要求、治理数据安全风险、促进数据开发利用三方面。满足合规要求。逐渐细化的数据安全监管要求，为组织数据安全合规工作的推进提出了更高的要求。及时发现合规差距，协助组织履行数据安全责任义务，为业务的稳定运行和规范化开展筑牢根基是数据安全治理工作的首要目标。治理数据安全风险。不断产出的海量数据在动态实时流转过程中，面临着较大的风险暴露面，数据安全威胁及带来的影响与日俱增。叠加数据安全边界较为模糊、数据安全基础不够强韧等问题，组织数据安全风险的有效治理必然是数据安全治理的重要使命。促进数据开发利用。数字经济的高速发展离不开数据价值的充分释放，数据安全则是保障数据价值释放的重要基石。数据安全治理通过体系化的建设，完善组织的合规管理和风险管理工作机制，提升数据安全保护水平，促进数据的开发利用。（二）数据安全治理体系数据安全治理体系是组织达成数据安全治理目标需要具备的能力框架，组织应该围绕该体系进行建设。本指南依据BDC91-2022数据安全治理能力评估方法，基于数据全生命周期视角提出了一个三层架构，同时基于该三层架构在实践中的工作分工，演化出管理、技术、运营三类工作内容。1.基于数据全生命周期视角数据安全治理体系的三层框架包括数据安全战略层、数据全生命周期安全层和基础安全层，其中：数据安全战略层是推进数据安全治理工作开展的战略保障模块，要求组织在启动各项工作前，应制定相应的战略规划。数据安全战略从数据安全规划、机构人员管理两方面入手，前者确立目标任务，后者组建治理团队。 数据安全规划要求根据国家政策、组织业务发展需要以及数据安全需求等多方面因素明确组织整体数据安全规划。 机构人员管理要求建立负责组织内部数据安全工作的部门、岗位和人员，并与人力资源管理部门进行联动，防范机构人员管理过程中存在的数据安全风险。数据全生命周期安全层是评估组织数据安全合规及风险管理等工作下沉至各业务场景能力水平的重要模块。要求组织以采集、传输、存储、使用、共享、销毁等环节为切入点，设置管控点和管理流程，保障数据安全。具体来说包括： 数据采集安全是指根据组织对数据采集的安全要求，建立数据采集安全管理措施和安全防护措施，规范数据采集相关流程，从而保证数据采集的合法、合规、正当和诚信。 数据传输安全是指根据组织对内和对外的数据传输需求，建立不同的数据加密保护策略和安全防护措施，防止传输过程中的数据泄露等风险。 数据存储安全是指根据组织内部数据存储安全要求，提供有效的技术和管理手段，防止对存储介质的不当使用而可能引发的数据泄露风险，并规范数据存储的冗余管理流程，保障数据可用性，实现数据存储安全。 数据使用安全是指根据数据使用过程面临的安全风险，建立有效的数据使用安全管控措施和数据处理环境的安全保护机制，防止数据处理过程的风险。 数据共享安全是指根据组织对外提供或交换数据的需求，建立有效的数据交换安全防护措施，降低数据共享场景下的安全风险。 数据销毁安全是指通过制定数据销毁机制，实现有效的数据销毁管控，防止因对存储介质中的数据进行恢复而导致的数据泄露风险。基础安全层作为数据全生命周期安全能力建设的基本支撑模块，可以在多个生命周期环节内复用，是整个数据安全治理体系建设的通用要求，能够实现建设资源的有效整合。具体来说包括： 数据分类分级是指根据法律法规以及业务需求，明确组织内部的数据分类分级原则及方法，并对数据进行分类分级标识，以实现差异化的数据安全管理。 合规管理是指根据组织内部的业务需求和业务开展场景，明确相关法律法规要求，通过制定管理措施降低组织面临的合规风险。 合作方管理是指通过建立组织的合作方管理机制，防范组织对外合作中的数据安全风险。 监控审计是指通过建立监控及审计的工作机制，有效防范不正当的数据访问和操作行为，降低数据全生命周期未授权访问、数据滥用、数据泄露等安全风险。 身份认证与访问控制是指根据组织的安全合规要求，建立用户身份认证和访问控制管理机制，防止对数据的未授权访问。 安全风险分析是指根据组织的业务场景建立数据安全风险分析体系，将风险控制在可接受的水平，最大限度的保障数据安全。 安全事件应急是指通过建立数据安全应急响应体系，确保在发生数据安全事件后能够及时止损，保障业务的安全和稳定运行，最大程度降低数据安全事件带来的影响。2.基于工作内容分工视角上述三层框架在组织内部落地实践过程，涉及到多方面的工作，根据组织内常见的工作划分，我们按照管理、技术、运营三类的工作内容进行演化，生成基于工作内容的数据安全治理体系视角，其中：管理类工作涉及组织架构、制度流程、人员管理等三方面工作，是数据安全治理体系在组织内运作的基石，主要负责协调、整合及优化各种资源，最终实现数据安全治理目标。更详细的内容可以参考“（三）数据安全治理维度”。技术类工作涉及基础通用类、生命周期类、平台类技术的策略配置、技术实现等，主要为管理类工作的落地提供技术支撑，是数据安全的直接保障。具体的技术工作将在“（三）数据安全治理维度”进行描述。运营类工作可以从运营对象、管控流程两个维度切入实现，主要承担优化数据安全工作流程，及时持续的为数据安全决策提供有价值的信息和洞察。更详细的内容将在第三章进行阐述。（三）数据安全治理维度以数据安全治理目标为指引，围绕数据安全治理体系框架，可以从组织架构、制度体系、技术工具和人员能力四个维度开展治理能力建设工作，以解决雌来干“、"怎么干”、"干的如何'、“有没有能力干，等关键问题。1.组织架构数据安全组织架构是数据安全治理体系建设的前提条件。通过建立专门的数据安全组织，落实数据安全管理责任，确保数据安全相关工作能够持续稳定的贯彻执行。同时，因数据安全治理是一项多元化主体共同参与的复杂工作，明确的组织架构有助于划分各参与主体的数据安全权责边界，促进协同机制的建立，实现组织数据安全治理一盘棋。在一个组织内部，安全部门、合规部门、风控部门、内审部门、业务部门、人力部门等都需要参与到数据安全治理的具体工作