数据安全治理的参考框架

新

视点·政经观察

数据安全治理的参考框架

文/中国信息通信研究院

2021年6月《中华人民共和国数据安全法》（以下简称“《数据安全法》”）正式颁布，标志着我国数据安全进入有法可依、依法建设的新发展阶段。《数据安全法》明确提出在坚持总体国家安全观基础上，建立健全数据安全治理体系，提高数据安全保障能力。

由于数据本身具有流动性、多样性、可复制性等不同于传统生产要素的特性，数据安全风险在数字经济时代被不断放大，因此，对数据安全治理的要求也越来越高。如何协调政府、行业、企业、个人等多元主体，形成协同共治机制？如何数据安全治理不是强调绝对的安全，需兼顾发展与安全的平衡

平衡数据开发利用和数据安全保护，实现发展与安全的齐头并进？这些都是当广义地说，数据安全治理是在国家以数据为中心。数据的高效开发和利用，前数据安全治理面临的重要问题。

数据安全战略的指导下，为形成全社会涵盖了数据的采集、传输、存储、使用、共共同维护数据安全和促进发展的良好环享、销毁等全生命周期的各个环节，由于数据安全治理概念内涵

境，国家有关部门、行业组织、科研机构、不同环节的特性不同，面临的数据安全随着数据作为生产要素的重要性凸企业、个人共同参与和实施的一系列活动威胁与风险也大相径庭。因此，必须构建显，数据安全的地位不断提升，尤其随着集合。包括完善相关政策法规，推动政策以数据为中心的数据安全治理体系，根《数据安全法》的正式颁布，数据安全在法规落地，建设与实施标准体系，研发并据具体的业务场景和各生命周期环节，有国家安全体系中的重要地位得到了进一应用关键技术，培养专业人才等。

针对性地识别并解决其中存在的数据安步明确。发展数字经济、加快培育发展数狭义地说，数据安全治理是指在组全问题，防范数据安全风险。

据要素市场，必须把保障数据安全放在织数据安全战略的指导下，为确保数据其次，多元化主体共同参与。无论是突出位置。这就要求我们着力解决数据处于有效保护和合法利用的状态，多个部从广义还是狭义的角度出发，数据安全安全领域的突出问题，有效提升数据安门协作实施的一系列活动集合。包括建治理不是仅仅依靠一方力量可以开展的全治理能力。

立组织数据安全治理团队，制定数据安工作。对国家和社会而言，面对数据安全为指导行业数据安全治理能力建全相关制度规范，构建数据安全技术体领域的诸多挑战，政府、企业、行业组织设，促进行业数据安全治理能力发展，系，建设数据安全人才梯队等。它以保障甚至个人都需要发挥各自优势，紧密配中国互联网协会发布团体标准T/ISC-数据安全、促进开发利用为原则，围绕数合，承担数据安全治理主体责任，共同营0011-2021《数据安全治理能力评估方据全生命周期构建相应安全体系，需要造适应数字经济时代要求的协同治理模法》，为不断提升数据安全治理能力提供组织内部多利益相关方统一共识，协同工式。这也与《数据安全法》中强调建立各标准依据。以上述标准为基础，梳理数据作，平衡数据安全与发展。

方共同参与的工作机制相一致。对组织安全治理概念内涵，应该从广义和狭义两无论是广义还是狭义的数据安全治机构而言，数据安全治理需要从组织战个角度进行理解。

理，都可以从三个方面进行阐释。首先，

略层面出发，协调管理层、执行层等各相

Copyright©博看网 www.bookan.com.cn. All Rights Reserved.关方，打通不同部门之间的沟通障碍，统以便于在不同的业务场景中进行组合复监控及审计的工作机制，有效防范不正当一内部数据安全共识，实现数据安全防用。数据全生命周期安全包括数据采集安的数据访问和操作行为，降低数据全生护建设一盘棋。因此，数据安全治理必然全、数据传输安全等九项内容。数据采集命周期未授权访问、数据滥用、数据泄漏是涉及多元化主体共同参与的工作。

安全是指为确保在组织系统中生成新数等安全风险。鉴别与访问，顾名思义，即最后，兼顾发展与安全。随着国内数据，或者从外部收集数据过程的合法、合用户身份鉴别与访问控制管理，是组织字化建设的快速推进，无论是政府部门，规及安全性，而采取的一系列措施。数据实现数据安全保障的关键环节。

还是其他组织均沉淀了大量的数据。数传输安全是指为防止传输过程中的数据字经济时代的应用场景下，数据只有在流泄漏，而采取的一系列数据加密保护策略数据安全治理未来展望

动中才能充分发挥其价值，而数据流动又和安全防护措施。存储安全是指为确保存数据应用场景和参与主体的日益多必须以保障数据安全为前提，因此，必须储介质上的数据安全性，而采取的一系列样化，使得数据安全的外延不断扩展。未要辩证的看待数据安全治理。正如《数措施。数据备份与恢复是指通过规范数据来数据安全治理将走向何方？

据安全法》提出的“坚持以数据开发利存储的冗余管理工作机制，保障数据的高国家层面，《数据安全法》作为数据用和产业发展促进数据安全，同时也要可用性。使用安全是指为保障在组织内部安全领域的上位法，将数据安全上升到以数据安全保障数据开发利用和产业发对数据进行计算、分析、可视化等操作过了国家安全层面。作为纲领性法律，《数展。”数据安全治理不是强调数据的绝对程的安全性，而采取的一些列措施。数据据安全法》明确了数据、数据权力、数据安全，而是需要兼顾发展与安全的平衡。

处理环境安全是指为确保组织的数据处安全的范畴，厘清了数据安全防护主体理系统、终端、平台等环境的安全性，而责任，规范了国家行政主管部门、企业、个数据安全治理参考框架

采取的一系列措施。数据内部共享安全是人的职责与权力。后续各部门、各行业、参考框架是组织数据安全治理所指为确保组织内部之间的数据交互过程各领域将推进《数据安全法》配套制度、需的体系化结构，依据团体标准T/ISC-安全，而采取的一系列措施。数据外部共措施、规范和标准的构建，推动《数据安0011-2021《数据安全治理能力评估方享安全是指为确保不同组织之间的数据全法》的全面落地。行业层面，通过持续法》，其包括数据安全战略、数据全生命交互过程安全，而采取的一系列措施。数跟进技术及行业应用研究，加速构建更周期安全、基础安全三部分。

据销毁安全是指通过对数据及其存储介加完善的数据安全治理标准体系；并依数据安全战略。在组织启动数据安质实施相应的操作手段，使得数据彻底消据相关标准，面向企业推出权威、专业的全治理工作前，必须制定相应的战略规除且无法通过任何手段恢复。

第三方咨询及评估评测服务，大力推广数划，明确治理目标和具体任务，匹配对应基础安全。基础安全能力作为数据据安全治理最佳实践，提升行业数据安的资源，使得治理工作能够有条不紊地展全生命周期安全能力建设的基本支撑，全治理水平。同时，推动建立健全数据安开。数据安全战略可以从数据安全规划、可以在多个生命周期环节内复用，是整个全人才培养机制，储备人才资源。企业层机构人员管理两方面入手，前者确立目标数据安全治理体系建设的通用要求，能面，积极探索数据溯源、隐私计算等技术任务，后者组建治理团队。数据安全规划够实现建设资源的有效整合。基础安全的发展动态，夯实数据安全治理能力底是指结合组织业务发展需要，对当前面能力包括数据分类分级在内的七项内容。座，推动数据安全治理落地实践。同时，临的数据安全风险现状进行梳理，并制数据分类分级是指根据法律法规以及业积极参与标准编写，贡献优秀实践，并结定组织整体的发展规划。机构人员管理务需求，明确组织内部的数据分类分级合第三方咨询与评估评测工作，完善企业是指建立负责组织数据安全治理的团队原则及方法，并对数据进行分类分级标内部数据安全治理体系建设。

及人员，并通过在人员入职、转岗、离职识，以实现差异化的数据安全管理。合规考虑到数据安全治理在以上三个层等环节设置安全控制措施，防范由人员管理是指根据组织内部的业务需求和业面的发展，未来一段时间内，数据安全治本身带来的数据安全风险。

务开展场景，明确相关法律法规要求，通理将围绕以下两个核心展开。一是促进数据全生命周期安全。数据安全治过制定管理措施降低组织面临的合规风数据安全治理实践的“行业化”和“场景理应围绕数据全生命周期展开，以采集、险。合作方管理是指通过建立组织的合化”。二是探索数据安全治理从“离散”到传输、存储、使用、共享、销毁各个环节为作方管理机制，防范组织对外合作中的“体系”的演进路线。

切入点，设置相应的管控点和管理流程，

数据安全风险。监控审计是指通过建立

编辑：张程 3567672799@qq.comCopyright©博看网 www.bookan.com.cn. All Rights Reserved.31

新

视点·政经观察