信通院-刘雪花-数据安全治理能力评估框架与评估观察

1 .数据安全治理能力评估框架与评估观察 中国信息通信研究院 2022.04 

2 .提升数据安全治理能力是数字经济时代的紧迫议题 数据要素化->要素市场化 数据安全进入“强监管”时代 起步阶 预热阶段 落地阶段 深化阶段 《数据安全法》 段 国家层面 “大数据” 开始 国家大数据 法律 01 《个人信息保护法》 开始成为热 从“数据大国” “大数据” 战略 迈向“数据强 《网络安全法》 点 数据要素 顶层设计 国” 市场化配置 《关于构建更加 上升国家战略 《十三五规划 完善的要素市场 02 《网络数据安全管理条 纲要》第二十 七章“实施国 化配置体制机制 行政法规 例（征求意见稿）》 家大数据战略” 的意见》数据被 十九大报告 正式列为新型生 国务院印发 《工业和信息化领域数据安全 中国大数 提出“推动 产要素 《关于新时代加 《促进大数据 据 大数据与实 快完善社会主义 政策元年 发展的行动纲 体经济深度 十九届四中全会 市场经济体制的 管理办法（试行）（征求意见 要》 大数据 工信部发布《大 融合” 首次公开提出 “数据可作为生 意见》提出“加 快培育发展数据 部门规章 03 稿）》 数据产业发展规 中央政治局 大数据首 次写入政 上升国家战 划（2016-2020 就实施国家 产要素按贡献参 要素市场” 《数据出境安全评估方法（征 略 与分配” 年）》 大数据战略 大数据 府工作报 连续6 求意见稿）》 告 进行集体学 习 年写入 《上海市数据条例》 政府工 作报告 地方 04 《深圳经济特区数据条 例》 2014年3月 2015年8月 2016年3月 2016年12月 2017年10月 2017年12月2019年3月 2020年4月2020年5月 2019年10月 …… 建立健全数据安全治理体系 促进数据安全检测评估、认证 等服务的发展 第四条 维护数据安全，应当坚持总体 国家安全观，建立健全数据安全治理体 第十八条 国家促进数据安全检测评 系，提高数据安全保障能力。 估、认证等服务的发展，支持数据安 全检测评估、认证等专业机构依法开 展服务活动。 第十一条 国家积极开展数据安全治 理、数据开发利用等领域的国际交流 国家支持有关部门、行业组织、企业、 与合作，参与数据安全相关国际规则 教育和科研机构、有关专业机构等在 和标准的制定，促进数据跨境安全、 数据安全风险评估、防范、处置等方 自由流动。 面开展协作。 

3 .信通院推出数据安全治理能力评估 ◆ 各项工作按计划顺利推进，成效明显。 2021.01~2021.03 2021.04~2021.07 2020.09~2020.10 2021.12~2022.06 • 按照评估原则，遵照评估标 • 深入企业调研数据安全 • 开展第四批评估。 • 开展第二批7家评估。 准，开展首批5家正式评估。 治理痛点和需求，发起 数据安全治理能力评估 项目。 • 编写标准《数据安全治理 • 标准2.0版本的修订，依据 • 开展第三批21家评估。 能力评估方法》1.0。 《数据安全法》、《个人 • 由来自百度、联通大数据、 信息保护法》等最新要求 奇安信等20余家企业的近 进行合规要求对标，细化 30位专家参与。 评估等级等. 2020.10~2021.4 2021.06-2021.12 2021.08~2021.12 

4 .数据安全治理能力评估（DSG评估） 现状 问题 行业水平参差不齐 如何让监管放心 数据安全治理能力评估 （DSG评估） 度量方法缺失 如何使用户满意 与监管要求、公众期待尚有差距， 组织 制度 技术 人员 缺乏贴近产业现状的指南。 如何保数据安全 目标 用途 效果 01规划 通过准确度量企业 通过以评促建的方式， 一套构建方法 02建设 的数据安全治理能 实现企业数据安全治 04优化 力现状，合理规划 一套度量准则 理在组织、制度、技 数据安全治理能力 一套改进指南 术、人员方面的闭环、 03审查 提升路径。 循环提升 

5 .

6 .DSG评估依据 ◆ 《数据安全治理能力评估方法》标准2.0。 参与单位 编制依据 法律法规和监管政策依据 • 《中华人民共和国网络安全法》《中华人民共和国数据安全 法》、《中华人民共和国个人信息保护法》 • 《网络数据安全管理条例（征求意见稿）》 • 《工业和信息化领域数据安全管理办法（试行）（征求意见 稿）》 • 《数据出境安全评估方法（征求意见稿）》 标准依据 • GB/T 35274-2017《信息安全技术 大数据服务安全能力要 求》 • GB/T 37973-2019《信息安全技术 大数据安全管理指南》 • GB/T 37988-2019《信息安全技术 数据安全能力成熟度模 型》 

7 .DSG评估框架 ◆ 评估框架：三层治理体系、四个评估维度、五个评估等级。 数据安全治理能力评估框架2.0 评估维度 评估等级 持续优化级 组织架构 量化评估级 制度流程 全面治理级 技术工具 重点执行级 人员能力 初始级 

8 .数据安全战略 ◆ 从企业的顶层规划方面提出要求，评估企业为数据安全治理搭框架、配人手的能力。 数据安全规划 机构人员管理 • 关注企业在数据安全治理方面的顶层组织架构 • 关注企业数据安全从业人员在管理、技术、运 建设情况。 营等方面的安全能力。 安全意识 培养 安全能力 安全能力 培训 考核 

9 .数据全生命周期 数据存储 数据使用 数据采集 数据销毁 数据传输 数据共享 ◆ 数据采集：直接采集或者间接采集数据的阶段； ◆ 数据传输：数据从一个实体传输到另一个实体的阶段； ◆ 数据存储：数据以任何数字格式进行存储的阶段； ◆ 数据使用：在组织内部对数据进行计算、分析、可视化等操作的阶段； ◆ 数据共享：数据在组织与组织或者个人之间进行交换的阶段； ◆ 数据销毁：对数据及数据存储媒体进行销毁的阶段。 

10 . 数据全生命周期安全 ◆ 评估企业对数据全流转过程进行规范和约束，以降低各环节数据安全风险的能力。 采集 传输 存储 使用 共享 销毁 （数据采集安全） （数据传输安全） （数据存储安全） （数据使用安全） （数据共享安全） （数据销毁安全） • 数据源管理 • 数据加密 • 数据加密存储 • 数据使用的审 • 协议签订 • 关注数据及介 • 合法、正当、 • 传输加密通道 方案 批和评估 • 责任划分 质的销毁管理 必要和诚信 • 身份认证 • 存储介质管理 • 个人信息使用 • 对方能力评估 • 不可恢复 • 合规评审 • 防泄露 • 备份与恢复的 合规 • 安全保障技术 • …… • 隐私政策和用 • 完整性验证 安全性和可用 • 安全保障技术 • 平台接口管理 户协议 • 接口的管理 性 • 环境安全（终 • 个人信息共享 • 安全保障技术 • 跨境传输合规 • 系统平台的安 端，分布式， 合规 • …… • … 全要求 生产，测试等） • …… • …… • …… 

11 .基础安全 ◆ 评估企业数据安全治理在基础安全方面的保障能力。 身份认证与访 数据分类分级 合规管理 合作方管理 监控审计 安全风险分析 安全事件应急 问控制 • 分类分级原 • 数据生命周 • 合作方数据 • 监控数据的 • 身份认证技 • 数据安全风 • 数据安全事 则和方法 期合规管理 安全防护能 流转，人员 术 险的管理 件管理 • 工具的使用 • 个人信息合 力 的操作 • 权限的设置 • 应对措施 • 应急响应策 • 个人信息分 规 • 安全责任 • 审计数据全 和审计 • 个人信息安 略 类分级 • 重要数据合 • 保密约定 生命周期数 • 最小必要、 全风险 • 应急演练 • 重要数据分 规 • 第三方接入 据泄露、数 职权分离 • 重要数据安 • 复盘和宣贯 类分级 • 数据出境合 安全管理 据滥用、非 • 细粒度数据 全风险 • 个人信息安 • 结合分类分 规 • 第三方驻场 法访问，非 访问权限 • 上报机制 全事件 级的数据安 • 合规风险监 的安全管理 法使用等违 • …… • …… 全保障措施 控 • …… 规操作 • ...... 

12 .DSG评估框架覆盖企业数据安全治理的全工作流 ◆ 企业的数据安全治理工作的规划、执行、检查、处置。 规划Plan 执行Do 检查Check 处置Act 年度规划 提请需求 事前预防 检查复盘 员工绩效 规划论证 严格执行 上报审批 事后审计 事中管理 策略落实 结果推广 任务派发 数据安全规划 数据全生命 合规管理、监控审计、 安全事件应急 DSG评估 机构人员管理 周期能力项 鉴别与访问 

13 .DSG评估维度 组织建设 制度流程 技术工具 人员能力 由谁来做 应该怎么做 实际怎么做 有没有能力做 多方协同的团队架构 层次化的制度文件 体系化的技术能力 自建人才培养体系 决策者 方针总则 事后 事前 意识培养 管理办法 审计 预防 管理者 协作者 能力提升 事中 操作指南 监控 定期考核 执行者 记录模板 

14 .DSG评估等级 ◆ 根据数据安全治理能力的覆盖范围、支撑力度等方面明确评估等级要求。 评估等级 第5级 持续优化级 等级要求 据最新的外部监管要求、内部发展需要以及技术发 展，不断改进和优化数据安全治理体系。 第4级 量化评估级 拥有完善的数据安全治理能力量化评估体系。 第3级 全面治理级 在组织层面，具备完善的标准化管理机制，能 够促进数据安全的规范化落地。 第2级 重点执行级 在部门中建立了基本的管理流程和初步的体系。 第1级 初始级 没有正式的管理流程和体系，被动地执行数据安全 工作。 

15 .DSG评估意义——企业收益 ◆ 发现存在问题，指明发展方向，提升治理能力。 现状总结 推荐最佳实践 资讯获取 通过问卷、访谈等形式对现状进行了 通过评估，实现企业与 针对现状总结，结合最佳实践 解，发现存在的问题及人员能力缺陷， 行业水平的横向对比， 以及企业发展需要，给出针对 分析和行业水平的差距，并总结提炼 找出差距所在，有助于 性的优化建议。 关键发现。企业亦可依据标准进行自 后续水平拉齐。 评估，初步发现企业自身问题。 优化建议 业内交流 宣传推广 《数据安全法》发布实 参与数据安全治理 对内加强宣讲，提升 施，强调提升企业数据 安全意识，对外加强 相关沙龙、论坛、 安全治理能力。通过评 推广，扩大企业知名 大会等的交流中， 估，在应对监管时做到 度，推动行业发展。 了解行业发展情况， 心中有数。 借鉴学习，提升治 理经验。 

16 .DSG评估进展 ◆ DSG评估正在持续开展中，已完成3批次33家企业DSG评估工作，第4批参评企业10家（在评3家，确定意向 7家），参评单位行业涉及电信运营商、互联网、金融、医疗、物联网、车企等。 第一批 第二批 注： 为基础级（1级）， 为优秀级（2级） 

17 .DSG评估进展 ◆ DSG评估正在持续开展中，已完成3批次33家企业DSG评估工作，第4批参评企业10家（在评3家，确定意向 7家），参评单位行业涉及电信运营商、互联网、金融、医疗、物联网、车企等。 试点评估 在线评估 瓶安用气 

18 .

19 .观察一：“持续发展”渐成企业数据安全治理理念 第三方评估助力实现“闭环” 企业逐渐关注持续性、系 统性的数据安全建设 73.3% 73.3%的企业不同程度上参考 了“PDCA（规划-执行-检查-处 置）”的管理模式。 第三方评估为企业实现数 据安全治理“闭环” 52.6%的企业倾向于引入第三 52.6% 方机构，对数据安全治理水平进 行评价、检查，避免自评估带来 的“灯下盲区”。 

20 .观察二：数据安全管理组织初具雏形 整体仍处于起步建设阶段 企业基本建立数据安全管理组织，明确各层级 77.5% 具体职责与分工 77.5%的企业已内部建立有效的数据安全工作组织与运行 机制，明确设置决策者、管理者、执行者的角色。 数据安全治理能力建设仍处于 起步阶段 45.2% 45.2%的企业选择沿用网络与信息 安全领导小组作为数据安全工作牵头 组织,数据安全工作开展效果不佳。 22.5%的企业未能在企业层面形成 较为完善的数据安全治理组织架构。 22.5% 

21 .观察三：企业重视数据安全人才培养 但数据安全培训服务供需失衡 企业开始重视数据安全人才培养 58.8%的企业认为数据安全治理面临的最大挑战是专业人才缺失。 68.9%的企业建立数据安全培训课程体系，但内容呈现分布不均的特点 58.8% 71.4%的企业表示在未来一年内将计划开展数据安全培训工作。 多数安全厂商尚未布局数据安全培训业务 71.4% 

22 .观察四：企业加强数据安全技术规划 防护布局由“点”向“面”趋势渐显 围绕数据全生命周期开展数据安全技术 全面布局 从人工到可视化平台、从局部治理到全局一体化 治理、从粗粒度防护到细粒度管控，企业围绕数 据全生命周期，建立广范围、细颗粒度、一体化、 自动化的技术体系布局。 数据安全产品由单点技术布局向数据安 全防护面建设 应用多种数据安全产品，企业由单点技术布局走 向数据安全防护面建设，实现数据生命周期全流 程覆盖、多层次防护。 

23 .观察五：数据分类分级工作稳步推进 为企业数据安全精细化管理夯实基础 数据分类分级在企业数据安全治理工程中率先 数据分类分级为企业数据安全的精细化管理夯实 90.3% 落地 基础 数据分类分级为不同类别、级别数据在全生命周期流转过程的精 90.3% 的企 业结合国家、地方、行业法律法规与自身 细化防控打下坚实的基础。 业务特点已 制定数据分类分级管理办法，并通过技术 平台等工具对策略进行具体落实. 

24 .观察六：数据共享安全成治理 “关键点” 数据共享安全：基础级与优 业务场景发生频次低：数据共享安全管控动 秀级的“分水岭” 力不足的主要原因 

25 .观察七：企业数据备份恢复与鉴别访问能力发展显著良好 能力项 企业1 企业2 企业3 企业4 企业5 企业6 企业7 企业8 企业9 企业10 企业11 企业12 鉴别与访问 数据备份与恢复 数据存储安全 备份与恢复、鉴别与访 数据分类分级 问：技术工具相对成熟 合规管理 数据安全规划 • 访问控制加密 数据使用安全 • 恢复测试 数据传输安全 • 数字签名 合作方管理 机构人员管理 • 数字证书 数据采集安全 数据处理环境安全 安全事件应急 风险和需求分析 数据内部共享安全 监控审计 数据外部共享安全 数据销毁安全 

26 .数据安全治理建设建议 构建贯穿企业各层面、各 建设体系化的数据安全制 应用自动化工具、平台， 建立企业人才培养机制， 岗位的数据安全治理组织 度流程，实现企业数据安 强化人员管控手段，实现 储蓄数据安全治理核心力 架构 全治理体系“一盘棋” 数据安全防护总体目标 量 

27 .第四批DSG评估单位持续征集中，欢迎报名！ 刘雪花 liuxuehua@caict.ac.cn 

28 .

29 .数据安全落地面临诸多挑战 ◆ 《数据安全法》的发布实施，为行业主管部门的监管要求提供了法条依据及监管方向，企业侧也将在 监管应对上面临新的巨大挑战。 法律法规 监管实施 企业落地实践 数据分类分级怎 数据安全审查制 么做？ 主管部门 度如何推行？怎 数据安全治理能力 监管要求？ 样合规？ 如何建设、提升、 数据安全风险监 评估？ 数据安全相 测如何推进？ 关监管应对？ 数据安全技术怎 数据安全应急处 样提升？ 置如何达标？ 数据安全制度体 系如何建？ 数据安全整体解 数据安全风险评 决方案如何实现？ 估怎么开展？