数据安全风险与治理的实践指南解读.pdfVIP

数据安全风险与治理的实践指南解读

摘要：随着数字经济时代来临，中国高度重视数据安全和个人信息保护、数

字隐私，在已有《网络安全法》基础上，今年制定了《数据安全法》《个人信息

保护法》并加紧出台。此外，还要求及时跟进研究数字经济、互联网金融、人工

智能、大数据、云计算等相关法律制度，抓紧补齐短板，以良法善治保障新业态

新模式健康发展。本文就数据安全风险与治理的实践的重点内容进行相关阐述。

关键词：数据安全风险；治理；指南解读

《网络安全法》、《数据安全法》、《个人信息保护法》等一系列规范和促

进数字经济发展而制定的法律法规以及政策，构成了中国数字规则体系，主要是

满足数字经济快速发展的需要，在数字经济时代必须有完善的法律法规才能促进

数字经济健康发展。数据已经成为“21世纪的石油”，作为一种新的生产要素，

也是企业、社会和国家安全的重要战略资源。这些数据在推动人工智能技术发展

方面也具有巨大的战略价值，而中国则是全球生产数据最多的国家，必须加以保

护并巩固优势。

一、数据安全治理研究现状

数据安全问题由来已久，尤其在数据上升为新型生产要素后，面临的挑战越

来越大。一方面，各类数据泄露事件频发，为组织和企业的数据安全状况敲响警

钟；另一方面，数据和隐私相关法律规范陆续颁布，监管力度不断加强，监管要

求不断提升。然而，当前的行业数据安全治理处于发展初期，与监管的要求存在

较大差距。

（一）数据安全治理保障体系不完善

数据安全治理能力建设涉及多个部门，沟通成本高，协同难度大，需要建立

统一的数据安全治理组织框架，分层次切实履行数据安全管理职责。然而，当前

大多数企业缺乏相应的治理组织，难以对数据安全治理进行统一的战略规划和资

源协调。

（二）数据安全治理技术体系不成熟

数据应用技术的复杂性、数据海量汇聚的风险性、数据的深度挖掘及隐私保

护等问题都对传统数据安全保障能力提出了新挑战。如何解决多样化场景下面临

的数据安全威胁和潜在风险，需要加强数据安全核心技术的创新研究与深化应用。

（三）数据安全人才队伍不健全

当前数据安全从业人员多由信息安全人员或网络安全人员兼任，缺少专业的

数据安全培训和体系化的管理，对数据安全的知识储备不足，无法保障数据安全

治理的成效。未来要逐步建立多层次、多类型的数据安全从业者梯队，夯实数据

安全治理基础。

（四）业务发展与安全保障之间的协调经验不足

过度的保护不利于数据价值的释放，但是保护的缺失会造成更大的危害。数

据安全法指出“坚持以数据开发利用和产业发展促进数据安全，以数据安全保障

数据开发利用和产业发展”。如何把握发展和安全的界限，是数据安全治理能力

面临的重要考验。

二、数据安全治理目标

合规保障是组织数据安全治理的底线要求，风险管理是数据安全治理需要解

决的重要问题。在数字经济时代，数据只有经过流通交易才能最大限度释放数据

价值。因此，数据安全治理的目标是在合规保障及风险管理的前提下，实现数据

的开发利用，保障业务的持续健康发展，确保数据安全与业务发展的双向促进。

三、企业数据安全治理的5个步骤

（一）数据安全治理评估

首先从业务视角出发，对业务应用的现状、使用情况进行调研、分析，确定

业务的关联关系、访问的关键路径、数据的流向及演变过程，结合对基础安全

管控措施的分析，找出主要业务所面临的管理、技术及运营风险。

其次，集合多个业务系统的调研结果，找出系统间的共性问题，为制定业务

的数据安全管理规范提供第一手的参考依据。针对业务各系统及数据资产全面开

展评估梳理工作，形成《数据资产清单》，明确相关平台各系统的输入输出，数

据所在位置及其处理、共享、交换等使用过程中数据重要度等内容。

最后，基于业务场景梳理数据操作过程中的主体（人、用户、账号）、客户

（数据）、过程（操作的时域、地域、权限、结果等）属性；以角色控制为视角，

明确被审计用户（账号）的类型、角色，包括应用程序所有者（业务账号）、应

用程序终端用户（业务终端）、数据管理账号（数据库管理员）等；建立符合业

务最小够用的安全策略模型。

（二）数据安全组织架构建设

数据安全管理是一项需要多方联动型的复合型工作，在开展组织架构建设时，

需要考虑组织层面实体的管理团队及执行团队，同时也要考虑虚拟的联动小组，

所有部门均需要参与安全建设当中。同时，需要根据部门职责建立不同的数据安

全角色以满足数据安全建设的需求。