中國信息通信研究院

2021年6月《中華人民共和國數(shù)據(jù)安全法》（以下簡稱“《數(shù)據(jù)安全法》”）正式頒布，標志著我國數(shù)據(jù)安全進入有法可依、依法建設(shè)的新發(fā)展階段?！稊?shù)據(jù)安全法》明確提出在堅持總體國家安全觀基礎(chǔ)上，建立健全數(shù)據(jù)安全治理體系，提高數(shù)據(jù)安全保障能力。

由于數(shù)據(jù)本身具有流動性、多樣性、可復(fù)制性等不同于傳統(tǒng)生產(chǎn)要素的特性，數(shù)據(jù)安全風險在數(shù)字經(jīng)濟時代被不斷放大，因此，對數(shù)據(jù)安全治理的要求也越來越高。如何協(xié)調(diào)政府、行業(yè)、企業(yè)、個人等多元主體，形成協(xié)同共治機制？如何平衡數(shù)據(jù)開發(fā)利用和數(shù)據(jù)安全保護，實現(xiàn)發(fā)展與安全的齊頭并進？這些都是當前數(shù)據(jù)安全治理面臨的重要問題。

數(shù)據(jù)安全治理概念內(nèi)涵

隨著數(shù)據(jù)作為生產(chǎn)要素的重要性凸顯，數(shù)據(jù)安全的地位不斷提升，尤其隨著《數(shù)據(jù)安全法》的正式頒布，數(shù)據(jù)安全在國家安全體系中的重要地位得到了進一步明確。發(fā)展數(shù)字經(jīng)濟、加快培育發(fā)展數(shù)據(jù)要素市場，必須把保障數(shù)據(jù)安全放在突出位置。這就要求我們著力解決數(shù)據(jù)安全領(lǐng)域的突出問題，有效提升數(shù)據(jù)安全治理能力。

為指導(dǎo)行業(yè)數(shù)據(jù)安全治理能力建設(shè)，促進行業(yè)數(shù)據(jù)安全治理能力發(fā)展，中國互聯(lián)網(wǎng)協(xié)會發(fā)布團體標準T/ISC-0011-2021《數(shù)據(jù)安全治理能力評估方法》，為不斷提升數(shù)據(jù)安全治理能力提供標準依據(jù)。以上述標準為基礎(chǔ)，梳理數(shù)據(jù)安全治理概念內(nèi)涵，應(yīng)該從廣義和狹義兩個角度進行理解。

廣義地說，數(shù)據(jù)安全治理是在國家數(shù)據(jù)安全戰(zhàn)略的指導(dǎo)下，為形成全社會共同維護數(shù)據(jù)安全和促進發(fā)展的良好環(huán)境，國家有關(guān)部門、行業(yè)組織、科研機構(gòu)、企業(yè)、個人共同參與和實施的一系列活動集合。包括完善相關(guān)政策法規(guī)，推動政策法規(guī)落地，建設(shè)與實施標準體系，研發(fā)并應(yīng)用關(guān)鍵技術(shù)，培養(yǎng)專業(yè)人才等。

狹義地說，數(shù)據(jù)安全治理是指在組織數(shù)據(jù)安全戰(zhàn)略的指導(dǎo)下，為確保數(shù)據(jù)處于有效保護和合法利用的狀態(tài)，多個部門協(xié)作實施的一系列活動集合。包括建立組織數(shù)據(jù)安全治理團隊，制定數(shù)據(jù)安全相關(guān)制度規(guī)范，構(gòu)建數(shù)據(jù)安全技術(shù)體系，建設(shè)數(shù)據(jù)安全人才梯隊等。它以保障數(shù)據(jù)安全、促進開發(fā)利用為原則，圍繞數(shù)據(jù)全生命周期構(gòu)建相應(yīng)安全體系，需要組織內(nèi)部多利益相關(guān)方統(tǒng)一共識，協(xié)同工作，平衡數(shù)據(jù)安全與發(fā)展。

無論是廣義還是狹義的數(shù)據(jù)安全治理，都可以從三個方面進行闡釋。首先，以數(shù)據(jù)為中心。數(shù)據(jù)的高效開發(fā)和利用，涵蓋了數(shù)據(jù)的采集、傳輸、存儲、使用、共享、銷毀等全生命周期的各個環(huán)節(jié)，由于不同環(huán)節(jié)的特性不同，面臨的數(shù)據(jù)安全威脅與風險也大相徑庭。因此，必須構(gòu)建以數(shù)據(jù)為中心的數(shù)據(jù)安全治理體系，根據(jù)具體的業(yè)務(wù)場景和各生命周期環(huán)節(jié)，有針對性地識別并解決其中存在的數(shù)據(jù)安全問題，防范數(shù)據(jù)安全風險。

其次，多元化主體共同參與。無論是從廣義還是狹義的角度出發(fā)，數(shù)據(jù)安全治理不是僅僅依靠一方力量可以開展的工作。對國家和社會而言，面對數(shù)據(jù)安全領(lǐng)域的諸多挑戰(zhàn)，政府、企業(yè)、行業(yè)組織甚至個人都需要發(fā)揮各自優(yōu)勢，緊密配合，承擔數(shù)據(jù)安全治理主體責任，共同營造適應(yīng)數(shù)字經(jīng)濟時代要求的協(xié)同治理模式。這也與《數(shù)據(jù)安全法》中強調(diào)建立各方共同參與的工作機制相一致。對組織機構(gòu)而言，數(shù)據(jù)安全治理需要從組織戰(zhàn)略層面出發(fā)，協(xié)調(diào)管理層、執(zhí)行層等各相關(guān)方，打通不同部門之間的溝通障礙，統(tǒng)一內(nèi)部數(shù)據(jù)安全共識，實現(xiàn)數(shù)據(jù)安全防護建設(shè)一盤棋。因此，數(shù)據(jù)安全治理必然是涉及多元化主體共同參與的工作。

最后，兼顧發(fā)展與安全。隨著國內(nèi)數(shù)字化建設(shè)的快速推進，無論是政府部門，還是其他組織均沉淀了大量的數(shù)據(jù)。數(shù)字經(jīng)濟時代的應(yīng)用場景下，數(shù)據(jù)只有在流動中才能充分發(fā)揮其價值，而數(shù)據(jù)流動又必須以保障數(shù)據(jù)安全為前提，因此，必須要辯證的看待數(shù)據(jù)安全治理。正如《數(shù)據(jù)安全法》提出的“堅持以數(shù)據(jù)開發(fā)利用和產(chǎn)業(yè)發(fā)展促進數(shù)據(jù)安全，同時也要以數(shù)據(jù)安全保障數(shù)據(jù)開發(fā)利用和產(chǎn)業(yè)發(fā)展?！睌?shù)據(jù)安全治理不是強調(diào)數(shù)據(jù)的絕對安全，而是需要兼顧發(fā)展與安全的平衡。

數(shù)據(jù)安全治理參考框架?

參考框架是組織數(shù)據(jù)安全治理所需的體系化結(jié)構(gòu)，依據(jù)團體標準T/ISC-0011-2021《數(shù)據(jù)安全治理能力評估方法》，其包括數(shù)據(jù)安全戰(zhàn)略、數(shù)據(jù)全生命周期安全、基礎(chǔ)安全三部分。

數(shù)據(jù)安全戰(zhàn)略。在組織啟動數(shù)據(jù)安全治理工作前，必須制定相應(yīng)的戰(zhàn)略規(guī)劃，明確治理目標和具體任務(wù)，匹配對應(yīng)的資源，使得治理工作能夠有條不紊地展開。數(shù)據(jù)安全戰(zhàn)略可以從數(shù)據(jù)安全規(guī)劃、機構(gòu)人員管理兩方面入手，前者確立目標任務(wù)，后者組建治理團隊。數(shù)據(jù)安全規(guī)劃是指結(jié)合組織業(yè)務(wù)發(fā)展需要，對當前面臨的數(shù)據(jù)安全風險現(xiàn)狀進行梳理，并制定組織整體的發(fā)展規(guī)劃。機構(gòu)人員管理是指建立負責組織數(shù)據(jù)安全治理的團隊及人員，并通過在人員入職、轉(zhuǎn)崗、離職等環(huán)節(jié)設(shè)置安全控制措施，防范由人員本身帶來的數(shù)據(jù)安全風險。

數(shù)據(jù)全生命周期安全。數(shù)據(jù)安全治理應(yīng)圍繞數(shù)據(jù)全生命周期展開，以采集、傳輸、存儲、使用、共享、銷毀各個環(huán)節(jié)為切入點，設(shè)置相應(yīng)的管控點和管理流程，以便于在不同的業(yè)務(wù)場景中進行組合復(fù)用。數(shù)據(jù)全生命周期安全包括數(shù)據(jù)采集安全、數(shù)據(jù)傳輸安全等九項內(nèi)容。數(shù)據(jù)采集安全是指為確保在組織系統(tǒng)中生成新數(shù)據(jù)，或者從外部收集數(shù)據(jù)過程的合法、合規(guī)及安全性，而采取的一系列措施。數(shù)據(jù)傳輸安全是指為防止傳輸過程中的數(shù)據(jù)泄漏，而采取的一系列數(shù)據(jù)加密保護策略和安全防護措施。存儲安全是指為確保存儲介質(zhì)上的數(shù)據(jù)安全性，而采取的一系列措施。數(shù)據(jù)備份與恢復(fù)是指通過規(guī)范數(shù)據(jù)存儲的冗余管理工作機制，保障數(shù)據(jù)的高可用性。使用安全是指為保障在組織內(nèi)部對數(shù)據(jù)進行計算、分析、可視化等操作過程的安全性，而采取的一些列措施。數(shù)據(jù)處理環(huán)境安全是指為確保組織的數(shù)據(jù)處理系統(tǒng)、終端、平臺等環(huán)境的安全性，而采取的一系列措施。數(shù)據(jù)內(nèi)部共享安全是指為確保組織內(nèi)部之間的數(shù)據(jù)交互過程安全，而采取的一系列措施。數(shù)據(jù)外部共享安全是指為確保不同組織之間的數(shù)據(jù)交互過程安全，而采取的一系列措施。數(shù)據(jù)銷毀安全是指通過對數(shù)據(jù)及其存儲介質(zhì)實施相應(yīng)的操作手段，使得數(shù)據(jù)徹底消除且無法通過任何手段恢復(fù)。

基礎(chǔ)安全?；A(chǔ)安全能力作為數(shù)據(jù)全生命周期安全能力建設(shè)的基本支撐，可以在多個生命周期環(huán)節(jié)內(nèi)復(fù)用，是整個數(shù)據(jù)安全治理體系建設(shè)的通用要求，能夠?qū)崿F(xiàn)建設(shè)資源的有效整合?；A(chǔ)安全能力包括數(shù)據(jù)分類分級在內(nèi)的七項內(nèi)容。數(shù)據(jù)分類分級是指根據(jù)法律法規(guī)以及業(yè)務(wù)需求，明確組織內(nèi)部的數(shù)據(jù)分類分級原則及方法，并對數(shù)據(jù)進行分類分級標識，以實現(xiàn)差異化的數(shù)據(jù)安全管理。合規(guī)管理是指根據(jù)組織內(nèi)部的業(yè)務(wù)需求和業(yè)務(wù)開展場景，明確相關(guān)法律法規(guī)要求，通過制定管理措施降低組織面臨的合規(guī)風險。合作方管理是指通過建立組織的合作方管理機制，防范組織對外合作中的數(shù)據(jù)安全風險。監(jiān)控審計是指通過建立監(jiān)控及審計的工作機制，有效防范不正當?shù)臄?shù)據(jù)訪問和操作行為，降低數(shù)據(jù)全生命周期未授權(quán)訪問、數(shù)據(jù)濫用、數(shù)據(jù)泄漏等安全風險。鑒別與訪問，顧名思義，即用戶身份鑒別與訪問控制管理，是組織實現(xiàn)數(shù)據(jù)安全保障的關(guān)鍵環(huán)節(jié)。

數(shù)據(jù)安全治理未來展望

數(shù)據(jù)應(yīng)用場景和參與主體的日益多樣化，使得數(shù)據(jù)安全的外延不斷擴展。未來數(shù)據(jù)安全治理將走向何方？

國家層面，《數(shù)據(jù)安全法》作為數(shù)據(jù)安全領(lǐng)域的上位法，將數(shù)據(jù)安全上升到了國家安全層面。作為綱領(lǐng)性法律，《數(shù)據(jù)安全法》明確了數(shù)據(jù)、數(shù)據(jù)權(quán)力、數(shù)據(jù)安全的范疇，厘清了數(shù)據(jù)安全防護主體責任，規(guī)范了國家行政主管部門、企業(yè)、個人的職責與權(quán)力。后續(xù)各部門、各行業(yè)、各領(lǐng)域?qū)⑼七M《數(shù)據(jù)安全法》配套制度、措施、規(guī)范和標準的構(gòu)建，推動《數(shù)據(jù)安全法》的全面落地。行業(yè)層面，通過持續(xù)跟進技術(shù)及行業(yè)應(yīng)用研究，加速構(gòu)建更加完善的數(shù)據(jù)安全治理標準體系;并依據(jù)相關(guān)標準，面向企業(yè)推出權(quán)威、專業(yè)的第三方咨詢及評估評測服務(wù)，大力推廣數(shù)據(jù)安全治理最佳實踐，提升行業(yè)數(shù)據(jù)安全治理水平。同時，推動建立健全數(shù)據(jù)安全人才培養(yǎng)機制，儲備人才資源。企業(yè)層面，積極探索數(shù)據(jù)溯源、隱私計算等技術(shù)的發(fā)展動態(tài)，夯實數(shù)據(jù)安全治理能力底座，推動數(shù)據(jù)安全治理落地實踐。同時，積極參與標準編寫，貢獻優(yōu)秀實踐，并結(jié)合第三方咨詢與評估評測工作，完善企業(yè)內(nèi)部數(shù)據(jù)安全治理體系建設(shè)。

考慮到數(shù)據(jù)安全治理在以上三個層面的發(fā)展，未來一段時間內(nèi)，數(shù)據(jù)安全治理將圍繞以下兩個核心展開。一是促進數(shù)據(jù)安全治理實踐的“行業(yè)化”和“場景化”。二是探索數(shù)據(jù)安全治理從“離散”到“體系”的演進路線。

編輯：張程? 3567672799@qq.com