《中華人民共和國數據安全法》第四條 維護數據安全,應當堅持總體國家安全觀,建立健全數據安全治理體系,提高數據安全保障能力。
第十一條 國家積極開展數據安全治理、數據開發利用等領域的國際交流與合作,參與數據安全相關國際規則和標準的制定,促進數據跨境安全、自由流動。
《數據出境安全評估辦法(徵求意見稿)》,規範數據出境活動,保護個人信息權益,維護國家安全和社會公共利益,促進數據跨境安全、自由流動,為跨境數據安全治理提供有效管理辦法。
數據治理:利用數據驅動業務,實現企業增值。數據治理的智慧型化程度,決定了企業數位化轉型的加速度。數據治理關注於數據本身的組織,使用和傳輸、業務支撐等場景下的規範、流程等。
2018年5月22日,數據安全治理專業委員會宣布成立,中國計算機學會計算機安全專業委員會嚴明主任宣布中國(中關村)網路安全與信息化產業聯盟數據安全治理專業委員會正式成立,由聯盟王海洋秘書長為北京安華金和科技有限公司授牌。
基本介紹
- 中文名:數據安全治理
- 外文名:DSG
- 專業人員:數據安全諮詢師
- 驗證單位:國家市場監督管理總局認證認可技術研究中心
定義,峰會,報導,標準,原理,主要特點,套用,
定義
數據治理是一種“制度化”過程,所謂制度化是執行一個“正式批准”的體系,該體系包括明確的價值目的、必須遵從的規範和落實個治理責任的組織機構。數據安全治理以“人”與數據為中心,通過平衡業務需求與風險,制定數據安全策略,對數據分級分類,對數據的全生命周期進行管理,從技術到產品、從策略到管理,提供完整的產品與服務支撐。
可以從不同的視角來了解數據治理的基本內涵:
目的:確保數據作為一種滿足業務需要的資產(從數據到數據資產)
風險:致力於消除/降低數據資產的風險,包括法規依從性風險、質量風險、安全風險等。
收益:設定數據管理投入的正確方向,以獲得更好的回報。
內容:明確作為企業資產的數據主體、建立圍繞這些主體的權責體系
過程:覆蓋數據的完整生命周期管理
實施:自上而下、面向企業整體範圍的數據策略和高層規範。
Gartner提出,數據安全治理不僅僅是一套用工具組合的產品級解決方案,是從決策層到技術層,從管理制度到工具支撐,自上而下貫穿整個組織架構的完整鏈條。組織內的各個層級之間需要對數據安全治理的目標和宗旨取得共識,確保採取合理和適當的措施,以最有效的方式保護信息資源。
峰會
【2023年5月】 第六屆中國數據安全治理高峰論壇舉辦,主題“數安新征程,共探治理路”
本屆峰會由中國計算機學會計算機安全專業委員會、工業信息安全產業發展聯盟、中國網路安全產業聯盟數據安全工作委員會、中關村網路安全與信息化產業聯盟、中國信息產業商會信息安全產業分會、北京工業網際網路技術創新與產業發展聯盟主辦,北京安華金和科技有限公司、中關村網路安全與信息化產業聯盟數據安全治理專業委員會承辦。
【2022年5月】 工業數據安全論壇成功召開,打造創新發展新引擎
5月20日,由中國計算機學會計算機安全專委會、工業信息安全產業發展聯盟、中關村網路安全與信息化產業聯盟、北京工業網際網路技術創新與產業發展聯盟聯合主辦,國家工業信息安全發展研究中心指導、北京安華金和科技有限公司承辦的第五屆中國數據安全治理高峰論壇雲上論壇——工業數據安全論壇圓滿舉行。
【2022年5月】 個人信息保護與數據安全治理論壇成功舉辦
5月13日,由中國計算機學會計算機安全專委會、工業信息安全產業發展聯盟、中關村網路安全與信息化產業聯盟、北京工業網際網路技術創新與產業發展聯盟聯合主辦,北京安華金和科技有限公司承辦的第五屆中國數據安全治理高峰論壇在雲上盛大開啟,首個雲上論壇——個人信息保護與數據安全治理論壇成功召開。
【2021年5月】 第四屆中國數據安全治理高峰論壇,主題“數據之光,安全未來”
【2021年5月】 《數據安全治理白皮書》3.0發布
【2019年4月】第三屆中國數據安全治理高峰論壇,主題“共享數據價值·共擔安全責任”
【2019年4月】《數據安全治理白皮書》2.0發布
報導
數據二十條”對外發布,構建數據基礎制度體系——做強做優做大數字經濟
數據基礎制度建設事關國家發展和安全大局。《中共中央 國務院關於構建數據基礎制度更好發揮數據要素作用的意見》(以下簡稱“數據二十條”)對外發布,從數據產權、流通交易、收益分配、安全治理等方面構建數據基礎制度,提出20條政策舉措。
建立安全可控、彈性包容的數據要素治理制度,構建政府、企業、社會多方協同的治理模式。
《專家解讀|數據安全治理的中國智慧》
數據的無序流動、泄露等問題給個人和社會安全帶來了潛在危害,數據安全風險日益成為影響產業發展、網路安全甚至國家安全的重要因素。因此,亟需以系統觀同步探索數據治理體系,防範和化解風險挑戰,有效實現數據安全與經濟發展的統籌協調。
《有數據安全才有數據未來》
2015年圖靈獎獲得者、世界著名密碼技術與安全技術專家惠特菲爾德·迪菲說,數據量越大,安全保障的重要性就越大,有太多案例已經證明了這一點。
《深度關注 | 數據安全關乎國家安全》
隨著網路安全法、數據安全法等法律的施行,我國網路和數據相關的法律法規體系正在不斷完善
“我國在網路安全和數據治理方面的立法體系不斷構建完善,為開展網路安全和數據治理工作提供了充分的立法保障。”
《新視野 | 大數據時代的信息安全》
在我國數字經濟進入快車道的時代背景下,如何開展數據安全治理,提升全社會的“安全感”,已成為普遍關注的問題。
這就要求我們必須解決數據安全領域的突出問題,有效提升數據安全治理能力。
數據保護是在進行數位化轉型的大背景下,在數據流動和使用狀態中的數據保護,不同於以前防火牆式的靜態保護,數據安全治理更傾向於動態保護。
數據安全治理能力建設需要從決策到技術、從制度到工具、從組織架構到安全技術的通盤考慮,既要注重“硬實力”的鍛造,也要聚焦“軟實力”的提升。
《覆蓋數據全生命周期 規範數據流通共享 提升數據安全治理能力(新知新覺)》
發展數字經濟、加快培育發展數據要素市場,必須把保障數據安全放在突出位置。這就要求我們著力解決數據安全領域的突出問題,有效提升數據安全治理能力。
《數據安全需共建生態協同治理》
在劉曉韜看來,如果對數據安全進行劃分,我們會發現其中存在三個不同的階段,分別是以邊界安全為核心的1.0時代、以場景安全為核心的2.0時代、以體系化安全為核心的3.0時代。而想要應對持續變化發展中的數據安全環境和需求,數據安全治理就不可能是單一的技術套用或產品堆砌,而要通過組織構建、規範制定、技術支撐等要素共同完成數據安全建設的方法論。
專家解讀|《數據安全法》為全球數據安全治理貢獻中國智慧和中國方案
設專章對支持促進數據安全與發展的措施作了規定,保護個人、組織與數據有關的權益,提升數據安全治理和數據開發利用水平,促進以數據為關鍵生產要素的數字經濟發展;
《五部門聯合發布《汽車數據安全管理若干規定(試行)》》
《規定》倡導汽車數據處理者在開展汽車數據處理活動中堅持“車內處理”、“默認不收集”、“精度範圍適用”、“脫敏處理”等數據處理原則,減少對汽車數據的無序收集和違規濫用。《規定》自2021年10月1日起施行。
《工業和信息化部關於加強車聯網網路安全和數據安全工作的通知》
(十三)加強數據分類分級管理。按照“誰主管、誰負責,誰運營、誰負責”的原則,智慧型網聯汽車生產企業、車聯網服務平台運營企業要建立數據管理台賬,實施數據分類分級管理,加強個人信息與重要數據保護。定期開展數據安全風險評估,強化隱患排查整改,並向所在省(區、市)通信管理局、工業和信息化主管部門報備。所在省(區、市)通信管理局、工業和信息化主管部門要對企業履行數據安全保護義務進行監督檢查。
《網路安全審查辦法》
2022年2月15日起施行。第七條 掌握超過100萬用戶個人信息的網路平台運營者赴國外上市,必須向網路安全審查辦公室申報網路安全審查。
標準
參考標準:
國際標準化組織 (ISO/IEC) 38505數據治理框架
國際數據管理協會(CDMA)DAMA-DMBOK框架
國際數據治理研究所(DGI)DGI數據治理框架
IBM數據治理委員會(IBMDGA)數據治理成熟度模型
中國電子工業標準化技術協會信息技術服務分會(ITSS)數據治理規範
數據安全治理:數據治理中的過程,可獨立實施。數據安全領域數據、業務、安全、技術、管理集合。數據安全治理關注於數據的安全保護,以數據業務屬性為始,數據的分級分類為核心,從數據存放位置為核心,建立以數據為中的安全架構體系。
參考標準:Gartner數據安全治理框架(GartnerDSG)
信息安全技術—健康醫療數據安全指南(GB/T 39725-2020)醫療行業分級分類標準
原理
通過識別核心業務、關鍵數據資產與暴露面,採用“技術工具+諮詢流程”分解實現。同時,數據集、重要數據目錄規模、形態與企業或政府組織特徵與發展過程息息相關,應建立階段性目標與動態適應的數據分級分類體系。然後基於人工智慧,通過行為分析和數據安全形成統一安全防護,建立傳統邊界與雲環境下“端、管、雲”立體化數據安全圍欄,並可建立智慧型化、主動式的數據威脅預防體系。
主要特點
- 以人和數據為中心,專注於數據的全生命周期安全
- 首先通過風險與業務平衡識別,對數據集進行分級分類,組織數據安全及策略體系化落地
- 將管理、技術與流程融合,建立自動化,持續性,自適應安全體系
- 數據安全技術與平台保障能力也非單一能力,而是體系化、協同性、綜合性能力。數據安全治理即使在技術工具與平台落地階段,也涵蓋了加解密、數據防泄漏、雲訪問安全代理、身份認證管理、用戶實體行為分析、資料庫審計等不同維度的的技術矩陣,依靠單一安全廠商、產品是無法達到這種全面技術保障能力的要求的,因此數據安全治理的建立與實施一定程度上依賴於生態形成與聯盟化發展。
套用
按照Gartner DSG數據安全治理框架的建議,應該從組織根據業務戰略制定數據集開始,在平衡業務戰略、治理、合規、IT戰略、風險容忍度後制定數據集的優先權進行關鍵數據資產目錄的確定與分級分類,結合統一的安全策略與防護技術形成差異化數據安全技術保障能力。
