数据安全运营研究.pdf

坚持以数字化发展为导向，充分发挥我国海量数据、广阔市场空

间和丰富应用场景优势，充分释放数据要素价值，激活数据要素潜能，

以数据流促进生产、分配、流通、消费各个环节高效贯通，推动数据

技术产品、应用范式、商业模式和体制机制协同创新。

一、数据安全运营

数据安全运营阶段通过不断适配业务环境和风险管理需求，持续

优化安全策略措施，强化整个数据安全治理体系的有效运转。

1、数据安全运营风险防范

数据安全治理的目标之一是降低数据安全风险，因此建立有效的

风险防范手段，对于预防数据安全事件发生有重要作用，可以从数据

安全策略制定、数据安全基线扫描、数据安全风险评估三方面入手。

数据安全策略制定。一方面，根据数据全生命周期各项管理要求，

制定通用安全策略，另一方面，结合各业务场景安全需要，制定针对

性的安全策略。通过将通用策略和针对性策略结合部署，实现对数据

流转过程的安全防护。

数据安全基线扫描。基于面临的风险形势，定期梳理、更新相关

安全规范及安全策略，并转化为安全基线，同时直接落实到监控审计

务的开展必须满足。

数据安全风险评估。通过将日常化定期开展的数据安全风险评估

结果与安全基线进行对标，发现不满足基线要求的评估项，再通过改

进业务方案或强化安全技术手段的方式实现风险防范。

2、数据安全运营监控预警

数据安全保护以知晓数据在组织内的安全状态为前提，需要组织

在数据全生命周期各阶段开展安全监控和审计，以实现对数据安全风

险的防控。可以通过态势监控、日常审计、专项审计等方式对相关风

险点进行防控，从而降低数据安全风险。

态势监控。根据数据全生命周期的各项安全管理要求，建立组织

内部统一的数据安全监控审计平台，对风险点的安全态势进行实时监

测。一旦出现安全威胁，能够实现及时告警及初步阻断。

日常审计。针对账号使用、权限分配、密码管理、漏洞修复等日

常工作的安全管理要求，利用监控审计平台开展审计工作，从而发现

问题并及时处置。

专项审计。以业务线为审计对象，定期开展专项数据安全审计工

作。审计内容包括数据全生命周期安全、隐私合规、合作方管理、鉴

数据安全工作执行情况，发现执行问题并统筹改进。

3、数据安全运营应急处理

一旦风险防范及监控预警措施失效，导致发生数据安全事件，组

织应立即进行应急处置、复盘整改，并在内部进行宣贯宣导，防范安

全事件的再次发生。

数据安全事件应急处置。根据数据安全事件应急预案对正在发生

的各类数据安全攻击警告、数据安全威胁警报等进行紧急处置，确保

第一时间阻断数据安全威胁。

数据安全事件复盘整改。应急处置完成后，应尽快在业务侧组织

复盘分析，明确事件发生的根本原因，做好应急总结，沉淀应急手段，

跟进落实整改，并完善相应应急预案。

数据安全应急预案宣贯宣导。根据数据安全事件的类别和级别，

在相关业务部门或全线业务部门定期开展应急预案的宣贯宣导，降低

发生类似数据安全事件的风险。

二、推广技术产品应用

（一）提升关键环节、重点领域应用水平

数据安全需求，梳理典型应用场景，分类制定数据安全技术产品应用

指南，促进数据处理各环节深度应用。推动先进适用数据安全技术产

品在电子商务、远程医疗、在线教育、线上办公、直播新媒体等新型

应用场景，以及国家数据中心集群、国家算力枢纽节点等重大数据基

础设施中的应用。推进安全多方计算、联邦学习、全同态加密等数据

开发利用支撑技术的部署应用。

（二）加强应用试点和示范推广

组织开展数据安全新技术、新产品应用试点，推进技术产品迭代

升级，验证适用性和推广价值。遴选一批技术先进、特点突出、应用

成效显著的数据安全典型案例和创新主体，加强示范引领。开展重点

区域和行业数据安全应用示范，打造数据安全创新应用先进示范区，

集中示范应用并推广数据安全技术产品和解决方案。

三、健全完善数字经济治理体系

（一）强化协同治理和监管机制

规范数字经济发展，坚持发展和监管两手抓。探索建立与数字经

济持续健康发展相适应的治理方式，制定更加灵活有效的政策措施，

创新协同治理模式。明晰主管部门、监管机构职责，强化跨部门、跨

协调配合。深化放管服改革，优化营商环境，分类清理规范不适应数

字经济发展需要的行政许可、资质资格等事项，进一步释放市场主体

创新活力和内生动力。鼓励和督促企业诚信经营，强化以信用为基础

的数字经济市场监管，建