数据安全治理的参考框架

中国信息通信研究院

2021年6月《中華人民共和国数据安全法》（以下简称“《数据安全法》”）正式颁布，标志着我国数据安全进入有法可依、依法建设的新发展阶段。《数据安全法》明确提出在坚持总体国家安全观基础上，建立健全数据安全治理体系，提高数据安全保障能力。

由于数据本身具有流动性、多样性、可复制性等不同于传统生产要素的特性，数据安全风险在数字经济时代被不断放大，因此，对数据安全治理的要求也越来越高。如何协调政府、行业、企业、个人等多元主体，形成协同共治机制？如何平衡数据开发利用和数据安全保护，实现发展与安全的齐头并进？这些都是当前数据安全治理面临的重要问题。

数据安全治理概念内涵

随着数据作为生产要素的重要性凸显，数据安全的地位不断提升，尤其随着《数据安全法》的正式颁布，数据安全在国家安全体系中的重要地位得到了进一步明确。发展数字经济、加快培育发展数据要素市场，必须把保障数据安全放在突出位置。这就要求我们着力解决数据安全领域的突出问题，有效提升数据安全治理能力。

为指导行业数据安全治理能力建设，促进行业数据安全治理能力发展，中国互联网协会发布团体标准T/ISC-0011-2021《数据安全治理能力评估方法》，为不断提升数据安全治理能力提供标准依据。以上述标准为基础，梳理数据安全治理概念内涵，应该从广义和狭义两个角度进行理解。

广义地说，数据安全治理是在国家数据安全战略的指导下，为形成全社会共同维护数据安全和促进发展的良好环境，国家有关部门、行业组织、科研机构、企业、个人共同参与和实施的一系列活动集合。包括完善相关政策法规，推动政策法规落地，建设与实施标准体系，研发并应用关键技术，培养专业人才等。

狭义地说，数据安全治理是指在组织数据安全战略的指导下，为确保数据处于有效保护和合法利用的状态，多个部门协作实施的一系列活动集合。包括建立组织数据安全治理团队，制定数据安全相关制度规范，构建数据安全技术体系，建设数据安全人才梯队等。它以保障数据安全、促进开发利用为原则，围绕数据全生命周期构建相应安全体系，需要组织内部多利益相关方统一共识，协同工作，平衡数据安全与发展。

无论是广义还是狭义的数据安全治理，都可以从三个方面进行阐释。首先，以数据为中心。数据的高效开发和利用，涵盖了数据的采集、传输、存储、使用、共享、销毁等全生命周期的各个环节，由于不同环节的特性不同，面临的数据安全威胁与风险也大相径庭。因此，必须构建以数据为中心的数据安全治理体系，根据具体的业务场景和各生命周期环节，有针对性地识别并解决其中存在的数据安全问题，防范数据安全风险。

其次，多元化主体共同参与。无论是从广义还是狭义的角度出发，数据安全治理不是仅仅依靠一方力量可以开展的工作。对国家和社会而言，面对数据安全领域的诸多挑战，政府、企业、行业组织甚至个人都需要发挥各自优势，紧密配合，承担数据安全治理主体责任，共同营造适应数字经济时代要求的协同治理模式。这也与《数据安全法》中强调建立各方共同参与的工作机制相一致。对组织机构而言，数据安全治理需要从组织战略层面出发，协调管理层、执行层等各相关方，打通不同部门之间的沟通障碍，统一内部数据安全共识，实现数据安全防护建设一盘棋。因此，数据安全治理必然是涉及多元化主体共同参与的工作。

最后，兼顾发展与安全。随着国内数字化建设的快速推进，无论是政府部门，还是其他组织均沉淀了大量的数据。数字经济时代的应用场景下，数据只有在流动中才能充分发挥其价值，而数据流动又必须以保障数据安全为前提，因此，必须要辩证的看待数据安全治理。正如《数据安全法》提出的“坚持以数据开发利用和产业发展促进数据安全，同时也要以数据安全保障数据开发利用和产业发展。”数据安全治理不是强调数据的绝对安全，而是需要兼顾发展与安全的平衡。

数据安全治理参考框架 

参考框架是组织数据安全治理所需的体系化结构，依据团体标准T/ISC-0011-2021《数据安全治理能力评估方法》，其包括数据安全战略、数据全生命周期安全、基础安全三部分。

数据安全战略。在组织启动数据安全治理工作前，必须制定相应的战略规划，明确治理目标和具体任务，匹配对应的资源，使得治理工作能够有条不紊地展开。数据安全战略可以从数据安全规划、机构人员管理两方面入手，前者确立目标任务，后者组建治理团队。数据安全规划是指结合组织业务发展需要，对当前面临的数据安全风险现状进行梳理，并制定组织整体的发展规划。机构人员管理是指建立负责组织数据安全治理的团队及人员，并通过在人员入职、转岗、离职等环节设置安全控制措施，防范由人员本身带来的数据安全风险。

数据全生命周期安全。数据安全治理应围绕数据全生命周期展开，以采集、传输、存储、使用、共享、销毁各个环节为切入点，设置相应的管控点和管理流程，以便于在不同的业务场景中进行组合复用。数据全生命周期安全包括数据采集安全、数据传输安全等九项内容。数据采集安全是指为确保在组织系统中生成新数据，或者从外部收集数据过程的合法、合规及安全性，而采取的一系列措施。数据传输安全是指为防止传输过程中的数据泄漏，而采取的一系列数据加密保护策略和安全防护措施。存储安全是指为确保存储介质上的数据安全性，而采取的一系列措施。数据备份与恢复是指通过规范数据存储的冗余管理工作机制，保障数据的高可用性。使用安全是指为保障在组织内部对数据进行计算、分析、可视化等操作过程的安全性，而采取的一些列措施。数据处理环境安全是指为确保组织的数据处理系统、终端、平台等环境的安全性，而采取的一系列措施。数据内部共享安全是指为确保组织内部之间的数据交互过程安全，而采取的一系列措施。数据外部共享安全是指为确保不同组织之间的数据交互过程安全，而采取的一系列措施。数据销毁安全是指通过对数据及其存储介质实施相应的操作手段，使得数据彻底消除且无法通过任何手段恢复。

基础安全。基础安全能力作为数据全生命周期安全能力建设的基本支撑，可以在多个生命周期环节内复用，是整个数据安全治理体系建设的通用要求，能够实现建设资源的有效整合。基础安全能力包括数据分类分级在内的七项内容。数据分类分级是指根据法律法规以及业务需求，明确组织内部的数据分类分级原则及方法，并对数据进行分类分级标识，以实现差异化的数据安全管理。合规管理是指根据组织内部的業务需求和业务开展场景，明确相关法律法规要求，通过制定管理措施降低组织面临的合规风险。合作方管理是指通过建立组织的合作方管理机制，防范组织对外合作中的数据安全风险。监控审计是指通过建立监控及审计的工作机制，有效防范不正当的数据访问和操作行为，降低数据全生命周期未授权访问、数据滥用、数据泄漏等安全风险。鉴别与访问，顾名思义，即用户身份鉴别与访问控制管理，是组织实现数据安全保障的关键环节。

数据安全治理未来展望

数据应用场景和参与主体的日益多样化，使得数据安全的外延不断扩展。未来数据安全治理将走向何方？

国家层面，《数据安全法》作为数据安全领域的上位法，将数据安全上升到了国家安全层面。作为纲领性法律，《数据安全法》明确了数据、数据权力、数据安全的范畴，厘清了数据安全防护主体责任，规范了国家行政主管部门、企业、个人的职责与权力。后续各部门、各行业、各领域将推进《数据安全法》配套制度、措施、规范和标准的构建，推动《数据安全法》的全面落地。行业层面，通过持续跟进技术及行业应用研究，加速构建更加完善的数据安全治理标准体系;并依据相关标准，面向企业推出权威、专业的第三方咨询及评估评测服务，大力推广数据安全治理最佳实践，提升行业数据安全治理水平。同时，推动建立健全数据安全人才培养机制，储备人才资源。企业层面，积极探索数据溯源、隐私计算等技术的发展动态，夯实数据安全治理能力底座，推动数据安全治理落地实践。同时，积极参与标准编写，贡献优秀实践，并结合第三方咨询与评估评测工作，完善企业内部数据安全治理体系建设。

考虑到数据安全治理在以上三个层面的发展，未来一段时间内，数据安全治理将围绕以下两个核心展开。一是促进数据安全治理实践的“行业化”和“场景化”。二是探索数据安全治理从“离散”到“体系”的演进路线。

编辑：张程  3567672799@qq.com