數(shù)據(jù)安全治理實(shí)踐指南2.0

1數(shù)據(jù)安全治理實(shí)踐指南1數(shù)據(jù)安全治理實(shí)踐指南2.0數(shù)據(jù)安全治理實(shí)踐指南2.0版權(quán)聲版權(quán)聲明本報(bào)告版權(quán)屬于數(shù)據(jù)安全推進(jìn)計(jì)劃，并受法律保護(hù)。轉(zhuǎn)載、摘編或利用其它方式使用本報(bào)告文字或者觀點(diǎn)的，應(yīng)注明“來(lái)源：數(shù)據(jù)安全推進(jìn)計(jì)劃”。違反上述聲明者，編者將追究其相關(guān)法律責(zé)任。數(shù)據(jù)安全治理實(shí)踐指南2.0特別鳴謝機(jī)特別鳴謝機(jī)構(gòu)中國(guó)信息通信研究院、中國(guó)移動(dòng)通信集團(tuán)有限公司、中國(guó)聯(lián)合網(wǎng)絡(luò)通信集團(tuán)有限公司、中國(guó)電信集團(tuán)有限公司、中移信息技術(shù)有限公司、中國(guó)聯(lián)合網(wǎng)絡(luò)通信有限公司廣東省有限公司、北京百度網(wǎng)訊科技有限公司、深圳市騰訊計(jì)算機(jī)系統(tǒng)有限公司、中國(guó)工商銀行股份有限公司、中國(guó)建設(shè)銀行股份有限公司、中國(guó)光大銀行股份有限公司、華泰證券股份有限公司、國(guó)信證券股份有限公司、吉利控股集團(tuán)有限公司、上海汽車(chē)集團(tuán)股份有限公司、國(guó)網(wǎng)四川信通公司、OPPO廣東移動(dòng)通信有限公司、天道金科股份有限公司、上海淇毓信息科技有限公司、中國(guó)電子科技網(wǎng)絡(luò)信息安全有限公司、天達(dá)共天空衛(wèi)士網(wǎng)絡(luò)安全技術(shù)有限公司、北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司、杭州安恒信息科技有限公司、杭州美創(chuàng)科技股份有限公司、綠盟科技集團(tuán)股份有限公司、北京數(shù)安行科技有限公司、IBM、北京奇虎科技有限公司、浪潮云信息技術(shù)股份公司、北京曠視科技有限公司、上海新炬網(wǎng)絡(luò)信息技術(shù)股份有限公司、浙江零跑科技股份有限公司、江蘇保旺達(dá)軟件技術(shù)有限公司、上海愛(ài)數(shù)信息技術(shù)股份有限公司、鄭州信大捷安信息江西省信息中心、安徽辰圖大數(shù)據(jù)科技有限公司特別鳴謝專(zhuān)特別鳴謝專(zhuān)家劉雪花、李雪妮、魏凱、姜春宇、閆樹(shù)、龔詩(shī)然、李天陽(yáng)、郝志婧、張?jiān)?、張亞蘭、溫暖、趙晨斌、于文良、曹繼文、鄂梅、寧相軍、何曉倩、劉建國(guó)、谷陟軍、吳劍鋒、陳澤楠、許琛超、杜悅藝、吳芳瓊、李克鵬、袁文生、吳凡、顧曉強(qiáng)、張坤、邵媛、劉巍、江旺、張炎、王君、周思佳、左銀康、肖雪、孫雄濤、王一斌、劉坤靈、蘇振波、王同新、張贛、崔新煒、柳偉杰、薛鋒、申曉雨、葉鵬、潘良、王新華、楊勇濤、李洪亮、梁偉、楊明非、張文禮、謝雄、林鷺、王彥翔、金岳陽(yáng)、劉玉紅、孔祥慧、王雨薇、唐會(huì)芳、李傳忠、李連偉、趙華濤、程永新、梁銘圖、黃國(guó)標(biāo)、陳昺潤(rùn)、劉險(xiǎn)峰、盧偉、張震、劉為華、胡國(guó)華、李楷、張藝偉、何黎明、周劍濤、關(guān)中華數(shù)據(jù)安全治理實(shí)踐指南2.0前前言數(shù)據(jù)作為新型生產(chǎn)要素，已成為國(guó)家重要資產(chǎn)和我國(guó)數(shù)字經(jīng)濟(jì)發(fā)展的基礎(chǔ)戰(zhàn)略資源。2021年以來(lái)，國(guó)家、行業(yè)、地方相繼頒布了大量數(shù)據(jù)安全政策文件。作為數(shù)字經(jīng)濟(jì)健康發(fā)展的重要基石，數(shù)據(jù)安全的重要性愈發(fā)突出，數(shù)據(jù)安全治理需求愈加明顯。為了梳理數(shù)據(jù)安全治理的概念內(nèi)涵，探討企業(yè)數(shù)據(jù)安全建設(shè)路線，中國(guó)信息通信研究院云計(jì)算與大數(shù)據(jù)研究所于2021年7月發(fā)布《數(shù)據(jù)安全治理實(shí)踐指南(1.0)》(以下簡(jiǎn)稱(chēng)《指南(1.0)》)，圍繞數(shù)據(jù)安全治理目標(biāo)、治理框架、治理實(shí)踐路徑展開(kāi)論述。經(jīng)過(guò)一年多的發(fā)展，企業(yè)數(shù)據(jù)安全治理取得了有效進(jìn)展，同時(shí)也面臨新的挑戰(zhàn)。比如，當(dāng)前大部分企業(yè)的數(shù)據(jù)安全管理制度聚焦在原則、管理規(guī)定等較粗顆粒度的層面，對(duì)數(shù)據(jù)業(yè)務(wù)的下沉指導(dǎo)不充分，導(dǎo)致具體業(yè)務(wù)場(chǎng)景下的技術(shù)落地仍然缺乏實(shí)踐指引，容易與管理要求脫節(jié)等。本指南依據(jù)大量行業(yè)調(diào)研和企業(yè)實(shí)踐，在《指南(1.0)》的基礎(chǔ)上優(yōu)化了數(shù)據(jù)安全治理總體視圖，并針對(duì)數(shù)據(jù)分類(lèi)分級(jí)難落地、管理與技術(shù)易脫鉤等焦點(diǎn)問(wèn)題的建設(shè)方案進(jìn)行了初步探索，進(jìn)一步細(xì)化了數(shù)據(jù)安全治理實(shí)踐路線。數(shù)據(jù)安全治理實(shí)踐指南2.0目目錄一、數(shù)據(jù)安全治理概述(一)數(shù)據(jù)安全治理概念內(nèi)涵(二)數(shù)據(jù)安全治理要點(diǎn)111二、數(shù)據(jù)安全治理總體視圖(一)數(shù)據(jù)安全治理目標(biāo)(二)數(shù)據(jù)安全治理體系(三)數(shù)據(jù)安全治理維度(四)數(shù)據(jù)安全治理實(shí)踐3446三、數(shù)據(jù)安全治理實(shí)踐路線(一)數(shù)據(jù)安全規(guī)劃(二)數(shù)據(jù)安全建設(shè)(三)數(shù)據(jù)安全運(yùn)營(yíng)(四)數(shù)據(jù)安全評(píng)估優(yōu)化四、數(shù)據(jù)分類(lèi)分級(jí)場(chǎng)景建設(shè)思路(一)第一步：建立組織保障(二)第二步：進(jìn)行數(shù)據(jù)資源梳理(三)第三步：明確分類(lèi)分級(jí)方法、策略(四)第四步：完成數(shù)據(jù)分類(lèi)(五)第五步：逐類(lèi)完成定級(jí)(六)第六步：形成分類(lèi)分級(jí)目錄(七)第七步：制定數(shù)據(jù)安全策略21五、數(shù)據(jù)安全治理總結(jié)與展望27附錄：數(shù)據(jù)安全治理實(shí)踐案例(一)華泰證券股份有限公司(二)中移信息技術(shù)有限公司(三)中國(guó)聯(lián)通廣東省分公司(四)吉利汽車(chē)集團(tuán)有限公司(五)360數(shù)科28數(shù)據(jù)安全治理實(shí)踐指南2.01一、數(shù)據(jù)安全治理概述發(fā)展數(shù)字經(jīng)濟(jì)、加快培育發(fā)展數(shù)據(jù)要素市場(chǎng)，必須把保障數(shù)據(jù)安全放在突出位置。這就要求我們著力解決數(shù)據(jù)安全領(lǐng)域的突出問(wèn)題，有效提升數(shù)據(jù)安全治理能力。隨著數(shù)據(jù)安全監(jiān)管要求逐漸落地，組織數(shù)據(jù)安全治理動(dòng)力明顯攀升，數(shù)據(jù)安全技術(shù)及服務(wù)供給不斷釋放。整體來(lái)看，數(shù)據(jù)安全治理進(jìn)入快速發(fā)展階段。本章將解析數(shù)據(jù)安全治理概念內(nèi)涵，分析數(shù)據(jù)安全治理要點(diǎn)。((一)數(shù)據(jù)安全治理概念內(nèi)涵為指導(dǎo)行業(yè)數(shù)據(jù)安全治理能力建設(shè)，促進(jìn)行業(yè)數(shù)據(jù)安全治理能力發(fā)展，依據(jù)中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)大數(shù)據(jù)技術(shù)標(biāo)準(zhǔn)推進(jìn)委員會(huì)BDC91-2022《數(shù)據(jù)安全治理能力評(píng)估方法》，梳理數(shù)據(jù)安全治理概念內(nèi)涵，本指南認(rèn)為應(yīng)該從廣義和狹義兩個(gè)角度進(jìn)行理解。狹義地說(shuō)，數(shù)據(jù)安全治理是指在組織數(shù)據(jù)安全戰(zhàn)略的指導(dǎo)下，為確保組織數(shù)據(jù)處于有效保護(hù)和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力，內(nèi)外部相關(guān)方協(xié)作實(shí)施的一系列活動(dòng)集合。包括建立數(shù)據(jù)安全治理組織架構(gòu)，制定數(shù)據(jù)安全制度規(guī)范，構(gòu)建數(shù)據(jù)安全技術(shù)體系，建設(shè)數(shù)據(jù)安全人才梯隊(duì)等。廣義地說(shuō)，數(shù)據(jù)安全治理是在國(guó)家數(shù)據(jù)安全戰(zhàn)略的指導(dǎo)下，為形成全社會(huì)共同維護(hù)數(shù)據(jù)安全、促進(jìn)開(kāi)發(fā)利用和產(chǎn)業(yè)發(fā)展的良好環(huán)境，國(guó)家有關(guān)部門(mén)、行業(yè)組織、科研機(jī)構(gòu)、企業(yè)、個(gè)人共同參與和實(shí)施的一系列活動(dòng)集合。包括完善相關(guān)政策法規(guī)，推動(dòng)政策法規(guī)落地，建設(shè)實(shí)施標(biāo)準(zhǔn)體系，研發(fā)應(yīng)用關(guān)鍵技術(shù)，培養(yǎng)專(zhuān)業(yè)人才等。((二)數(shù)據(jù)安全治理要點(diǎn) (1)以數(shù)據(jù)為中心全生命周期的各個(gè)環(huán)節(jié)，不同環(huán)節(jié)的特性不同，都面臨豐富多樣的數(shù)據(jù)安全威脅與風(fēng)險(xiǎn)。因此，必須構(gòu)建以數(shù)據(jù)為中心的數(shù)據(jù)安全治理體系，根據(jù)具體的業(yè)務(wù)場(chǎng)景和各生數(shù)據(jù)安全治理實(shí)踐指南2.02命周期環(huán)節(jié)，有針對(duì)性地識(shí)別并解決其中存在的數(shù)據(jù)安全問(wèn)題，防范數(shù)據(jù)安全風(fēng)險(xiǎn)。 (2)多元化主體共同參與無(wú)論是從廣義還是狹義的角度出發(fā)，數(shù)據(jù)安全治理不是僅僅依靠一方力量可以開(kāi)展的工作。對(duì)國(guó)家和社會(huì)而言，面對(duì)數(shù)據(jù)安全領(lǐng)域的諸多挑戰(zhàn)，政府、企業(yè)、行業(yè)組織、甚至個(gè)人都需要發(fā)揮各自?xún)?yōu)勢(shì)，緊密配合，承擔(dān)數(shù)據(jù)安全治理主體責(zé)任，共同營(yíng)造適應(yīng)數(shù)字經(jīng)濟(jì)時(shí)代要求的協(xié)同治理模式。這也與《中華人民共和國(guó)數(shù)據(jù)安全法》(以下簡(jiǎn)稱(chēng)《數(shù)據(jù)安全法》)中強(qiáng)調(diào)建立各方共同參與的工作機(jī)制相一致。對(duì)組織機(jī)構(gòu)而言，數(shù)據(jù)安全治理需要從組織戰(zhàn)略層面出發(fā)，協(xié)調(diào)管理層、執(zhí)行層等相關(guān)方，打通不同部門(mén)之間的溝通障礙，統(tǒng)一內(nèi)部數(shù)據(jù)安全共識(shí)，實(shí)現(xiàn)數(shù)據(jù)安全防護(hù)建設(shè)一盤(pán)棋。因此，數(shù)據(jù)安全治理必然是涉及多元化主體共同參與的工作。 (3)兼顧發(fā)展與安全隨著國(guó)內(nèi)數(shù)字化建設(shè)的快速推進(jìn)，無(wú)論是政府部門(mén)，還是其他組織均沉淀了大量的數(shù)據(jù)。數(shù)字經(jīng)濟(jì)時(shí)代的應(yīng)用場(chǎng)景下，數(shù)據(jù)只有在流動(dòng)中才能充分發(fā)揮其價(jià)值，而數(shù)據(jù)流動(dòng)又必須以保障數(shù)據(jù)安全為前提，因此，必須要辯證看待數(shù)據(jù)安全治理。正如《數(shù)據(jù)安全法》提出的“堅(jiān)持以數(shù)據(jù)開(kāi)發(fā)利用和產(chǎn)業(yè)發(fā)展促進(jìn)數(shù)據(jù)安全，以數(shù)據(jù)安全保障數(shù)據(jù)開(kāi)發(fā)利用和產(chǎn)業(yè)發(fā)展?！睌?shù)據(jù)安全治理不是強(qiáng)調(diào)數(shù)據(jù)的絕對(duì)安全，而是需要兼顧發(fā)展與安全的平衡。3數(shù)據(jù)安全治理實(shí)踐指南2.0二、數(shù)據(jù)安全治理總體視圖本指南結(jié)合前期大量調(diào)研和數(shù)據(jù)安全治理能力評(píng)估實(shí)踐，依據(jù)中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)大數(shù)據(jù)技術(shù)標(biāo)準(zhǔn)推進(jìn)委員會(huì)BDC91-2022《數(shù)據(jù)安全治理能力評(píng)估方法》，提煉出一套行之有效的數(shù)據(jù)安全治理總體視圖，用以描繪數(shù)據(jù)安全治理的建設(shè)藍(lán)圖和實(shí)踐路線，如圖1所示。來(lái)源：數(shù)據(jù)安全推進(jìn)計(jì)劃圖1數(shù)據(jù)安全治理總體視圖數(shù)據(jù)安全治理實(shí)踐指南2.04((一)數(shù)據(jù)安全治理目標(biāo)數(shù)據(jù)安全治理目標(biāo)是組織數(shù)據(jù)安全治理工作開(kāi)展的前進(jìn)方向。本指南認(rèn)為其主要包括滿(mǎn)足合規(guī)要求、管理數(shù)據(jù)安全風(fēng)險(xiǎn)、促進(jìn)數(shù)據(jù)開(kāi)發(fā)利用三方面。滿(mǎn)足合規(guī)要求。逐漸細(xì)化的數(shù)據(jù)安全監(jiān)管要求，為組織數(shù)據(jù)安全合規(guī)工作的推進(jìn)提出了更高的要求。及時(shí)發(fā)現(xiàn)合規(guī)差距，協(xié)助組織履行數(shù)據(jù)安全責(zé)任義務(wù)，為業(yè)務(wù)的穩(wěn)定運(yùn)行和規(guī)范化開(kāi)展筑牢根基是數(shù)據(jù)安全治理工作的首要目標(biāo)。管理數(shù)據(jù)安全風(fēng)險(xiǎn)。不斷產(chǎn)出的海量數(shù)據(jù)在動(dòng)態(tài)實(shí)時(shí)流轉(zhuǎn)過(guò)程中，面臨著較大的風(fēng)險(xiǎn)暴露面，數(shù)據(jù)安全威脅及帶來(lái)的影響與日俱增。疊加數(shù)據(jù)安全邊界較為模糊、數(shù)據(jù)安全基礎(chǔ)不夠強(qiáng)韌等問(wèn)題，組織數(shù)據(jù)安全風(fēng)險(xiǎn)的有效管理必然是數(shù)據(jù)安全治理的重要使命。促進(jìn)數(shù)據(jù)開(kāi)發(fā)利用。數(shù)字經(jīng)濟(jì)的高速發(fā)展離不開(kāi)數(shù)據(jù)價(jià)值的充分釋放，數(shù)據(jù)安全則是保障數(shù)據(jù)價(jià)值釋放的重要基石。數(shù)據(jù)安全治理通過(guò)體系化的建設(shè)，完善組織的合規(guī)管理和風(fēng)險(xiǎn)管理工作機(jī)制，提升數(shù)據(jù)安全保護(hù)水平，促進(jìn)數(shù)據(jù)的開(kāi)發(fā)利用。((二)數(shù)據(jù)安全治理體系數(shù)據(jù)安全治理體系是組織達(dá)成數(shù)據(jù)安全治理目標(biāo)需要具備的能力框架，組織應(yīng)圍繞該體系進(jìn)行建設(shè)。本指南提出的數(shù)據(jù)安全治理體系是一個(gè)三層架構(gòu)，分別包括數(shù)據(jù)安全戰(zhàn)略層、數(shù)據(jù)全生命周期安全層和基礎(chǔ)安全層。數(shù)據(jù)安全戰(zhàn)略層是推進(jìn)數(shù)據(jù)安全治理工作開(kāi)展的戰(zhàn)略保障模塊，要求組織在啟動(dòng)各項(xiàng)工作前，應(yīng)制定相應(yīng)的戰(zhàn)略規(guī)劃。數(shù)據(jù)安全戰(zhàn)略從數(shù)據(jù)安全規(guī)劃、機(jī)構(gòu)人員管理兩方面入手，前者確立目標(biāo)任務(wù)，后者組建治理團(tuán)隊(duì)。?數(shù)據(jù)安全規(guī)劃要求根據(jù)國(guó)家政策、組織業(yè)務(wù)發(fā)展需要以及數(shù)據(jù)安全需求等多方面因素明確組織整體數(shù)據(jù)安全規(guī)劃。?機(jī)構(gòu)人員管理要求建立負(fù)責(zé)組織內(nèi)部數(shù)據(jù)安全工作的部門(mén)、崗位和人員，并與人力資源管理部門(mén)進(jìn)行聯(lián)動(dòng)，防范機(jī)構(gòu)人員管理過(guò)程中存在的數(shù)據(jù)安全風(fēng)險(xiǎn)。數(shù)據(jù)全生命周期安全層是評(píng)估組織數(shù)據(jù)安全合規(guī)及風(fēng)險(xiǎn)管理等工作下沉至各業(yè)務(wù)場(chǎng)景能力水平的重要模塊。要求組織以采集、傳輸、存儲(chǔ)、使用、共享、銷(xiāo)毀等環(huán)節(jié)為切入點(diǎn)，設(shè)置管控點(diǎn)和管理流程，保障數(shù)據(jù)安全。具體來(lái)說(shuō)包括：數(shù)據(jù)安全治理實(shí)踐指南2.05?數(shù)據(jù)采集安全是指根據(jù)組織對(duì)數(shù)據(jù)采集的安全要求，建立數(shù)據(jù)采集安全管理措施和安全防護(hù)措施，規(guī)范數(shù)據(jù)采集相關(guān)流程，從而保證數(shù)據(jù)采集的合法、合規(guī)、正當(dāng)和誠(chéng)信。?數(shù)據(jù)傳輸安全是指根據(jù)組織對(duì)內(nèi)和對(duì)外的數(shù)據(jù)傳輸需求，建立不同的數(shù)據(jù)加密保護(hù)策略和安全防護(hù)措施，防止傳輸過(guò)程中的數(shù)據(jù)泄露等風(fēng)險(xiǎn)。?數(shù)據(jù)存儲(chǔ)安全是指根據(jù)組織內(nèi)部數(shù)據(jù)存儲(chǔ)安全要求，提供有效的技術(shù)和管理手段，防止對(duì)存儲(chǔ)介質(zhì)的不當(dāng)使用而可能引發(fā)的數(shù)據(jù)泄露風(fēng)險(xiǎn)，并規(guī)范數(shù)據(jù)存儲(chǔ)的冗余管理流程，保障數(shù)據(jù)可用性，實(shí)現(xiàn)數(shù)據(jù)存儲(chǔ)安全。?數(shù)據(jù)使用安全是指根據(jù)數(shù)據(jù)使用過(guò)程面臨的安全風(fēng)險(xiǎn)，建立有效的數(shù)據(jù)使用安全管控措施和數(shù)據(jù)處理環(huán)境的安全保護(hù)機(jī)制，防止數(shù)據(jù)處理過(guò)程的風(fēng)險(xiǎn)。?數(shù)據(jù)共享安全是指根據(jù)組織對(duì)外提供或交換數(shù)據(jù)的需求，建立有效的數(shù)據(jù)交換安全防護(hù)措施，降低數(shù)據(jù)共享場(chǎng)景下的安全風(fēng)險(xiǎn)。?數(shù)據(jù)銷(xiāo)毀安全是指通過(guò)制定數(shù)據(jù)銷(xiāo)毀機(jī)制，實(shí)現(xiàn)有效的數(shù)據(jù)銷(xiāo)毀管控，防止因?qū)Υ鎯?chǔ)介質(zhì)中的數(shù)據(jù)進(jìn)行恢復(fù)而導(dǎo)致的數(shù)據(jù)泄露風(fēng)險(xiǎn)。基礎(chǔ)安全層作為數(shù)據(jù)全生命周期安全能力建設(shè)的基本支撐模塊，可以在多個(gè)生命周期環(huán)節(jié)內(nèi)復(fù)用，是整個(gè)數(shù)據(jù)安全治理體系建設(shè)的通用要求，能夠?qū)崿F(xiàn)建設(shè)資源的有效整合。具體來(lái)說(shuō)包括：?數(shù)據(jù)分類(lèi)分級(jí)是指根據(jù)法律法規(guī)以及業(yè)務(wù)需求，明確組織內(nèi)部的數(shù)據(jù)分類(lèi)分級(jí)原則及方法，并對(duì)數(shù)據(jù)進(jìn)行分類(lèi)分級(jí)標(biāo)識(shí)，以實(shí)現(xiàn)差異化的數(shù)據(jù)安全管理。?合規(guī)管理是指根據(jù)組織內(nèi)部的業(yè)務(wù)需求和業(yè)務(wù)開(kāi)展場(chǎng)景，明確相關(guān)法律法規(guī)要求，通過(guò)制定管理措施降低組織面臨的合規(guī)風(fēng)險(xiǎn)。?合作方管理是指通過(guò)建立組織的合作方管理機(jī)制，防范組織對(duì)外合作中的數(shù)據(jù)安全風(fēng)險(xiǎn)。?監(jiān)控審計(jì)是指通過(guò)建立監(jiān)控及審計(jì)的工作機(jī)制，有效防范不正當(dāng)?shù)臄?shù)據(jù)訪問(wèn)和操作行為，降低數(shù)據(jù)全生命周期未授權(quán)訪問(wèn)、數(shù)據(jù)濫用、數(shù)據(jù)泄露等安全風(fēng)險(xiǎn)。?身份認(rèn)證與訪問(wèn)控制是指根據(jù)組織的安全合規(guī)要求，建立用戶(hù)身份認(rèn)證和訪問(wèn)控制管理機(jī)制，防止對(duì)數(shù)據(jù)的未授權(quán)訪問(wèn)。?安全風(fēng)險(xiǎn)分析是指根據(jù)組織的業(yè)務(wù)場(chǎng)景建立數(shù)據(jù)安全風(fēng)險(xiǎn)分析體系，將風(fēng)險(xiǎn)控制在可接受的水平，最大限度的保障數(shù)據(jù)安全。?安全事件應(yīng)急是指通過(guò)建立數(shù)據(jù)安全應(yīng)急響應(yīng)體系，確保在發(fā)生數(shù)據(jù)安全事件后能夠及時(shí)止損，保障業(yè)務(wù)的安全和穩(wěn)定運(yùn)行，最大程度降低數(shù)據(jù)安全事件帶來(lái)的影響。數(shù)據(jù)安全治理實(shí)踐指南2.06((三)數(shù)據(jù)安全治理維度以數(shù)據(jù)安全治理目標(biāo)為指引，圍繞數(shù)據(jù)安全治理體系框架，可以從組織架構(gòu)、制度體系、技術(shù)工具和人員能力四個(gè)維度開(kāi)展治理能力建設(shè)工作，以解決“誰(shuí)來(lái)干”、“怎么干”、“干的如何”、“有沒(méi)有能力干”等關(guān)鍵問(wèn)題。1.組織架構(gòu)數(shù)據(jù)安全組織架構(gòu)是數(shù)據(jù)安全治理體系建設(shè)的前提條件。通過(guò)建立專(zhuān)門(mén)的數(shù)據(jù)安全組織，落實(shí)數(shù)據(jù)安全管理責(zé)任，確保數(shù)據(jù)安全相關(guān)工作能夠持續(xù)穩(wěn)定的貫徹執(zhí)行。同時(shí)，因數(shù)據(jù)安全治理是一項(xiàng)多元化主體共同參與的復(fù)雜工作，明確的組織架構(gòu)有助于劃分各參與主體的數(shù)據(jù)安全權(quán)責(zé)邊界，促進(jìn)協(xié)同機(jī)制的建立，實(shí)現(xiàn)組織數(shù)據(jù)安全治理一盤(pán)棋。部門(mén)等都需要參與到數(shù)據(jù)安全治理的具體工作中，相互協(xié)同，共同保障組織的數(shù)據(jù)安全。一種較為典型的數(shù)據(jù)安全治理組織架構(gòu)一般由決策層、管理層、執(zhí)行層與監(jiān)督層構(gòu)成，如圖2所示，各層之間通過(guò)定期會(huì)議溝通等工作機(jī)制實(shí)現(xiàn)緊密合作、相互協(xié)同。決策層指導(dǎo)管理層工作的開(kāi)展，并聽(tīng)取管理層關(guān)于工作情況和重大事項(xiàng)等的匯報(bào)。管理層對(duì)執(zhí)行層的數(shù)據(jù)安全提出管理要求，并聽(tīng)取執(zhí)行層關(guān)于數(shù)據(jù)安全執(zhí)行情況和重大事項(xiàng)的匯報(bào)，形成管理閉環(huán)。監(jiān)督層對(duì)管理層和執(zhí)行層各自職責(zé)范圍內(nèi)的數(shù)據(jù)安全工作情況進(jìn)行監(jiān)督，并聽(tīng)取各方匯報(bào)，形成最終監(jiān)督結(jié)論后同步匯報(bào)至決策層。來(lái)源：數(shù)據(jù)安全推進(jìn)計(jì)劃圖2數(shù)據(jù)安全治理組織架構(gòu)示例數(shù)據(jù)安全治理實(shí)踐指南2.07各層的主要分工和構(gòu)成如表1所示。決策層以虛擬組織的形式存在，如數(shù)據(jù)安全領(lǐng)導(dǎo)小組，該小組一般由組織的高層領(lǐng)導(dǎo)及相關(guān)部門(mén)負(fù)責(zé)人共同構(gòu)成，主要負(fù)責(zé)對(duì)數(shù)據(jù)安全的重大事項(xiàng)進(jìn)行統(tǒng)籌決策。管理層一般由安全部門(mén)或數(shù)據(jù)部門(mén)牽頭，負(fù)責(zé)數(shù)據(jù)安全的管理、建設(shè)、宣貫等工作。執(zhí)行部門(mén)一般由業(yè)務(wù)部門(mén)或數(shù)據(jù)生產(chǎn)部門(mén)構(gòu)成，負(fù)責(zé)在本部門(mén)內(nèi)落實(shí)執(zhí)行各項(xiàng)數(shù)據(jù)安全管理要求。監(jiān)督層涉及到合規(guī)部門(mén)、風(fēng)控部門(mén)、內(nèi)審部門(mén)等，負(fù)責(zé)從不同的角度對(duì)數(shù)據(jù)安全治理工作的開(kāi)展情況進(jìn)行監(jiān)督。表1數(shù)據(jù)安全組織職責(zé)分工表門(mén)//////來(lái)源：數(shù)據(jù)安全推進(jìn)計(jì)劃因不同組織的部門(mén)設(shè)置都有較大不同，涉及到實(shí)際組織體系建設(shè)時(shí)，不同單位還需結(jié)合現(xiàn)有組織架構(gòu)，進(jìn)行適度的調(diào)整和補(bǔ)充。2.制度流程數(shù)據(jù)安全制度流程一般會(huì)從業(yè)務(wù)數(shù)據(jù)安全需求、數(shù)據(jù)安全風(fēng)險(xiǎn)控制需要，以及法律法規(guī)合規(guī)性要求等幾個(gè)方面進(jìn)行梳理，最終確定數(shù)據(jù)安全防護(hù)的目標(biāo)、管理策略及具體的標(biāo)準(zhǔn)、規(guī)范、程序等。數(shù)據(jù)安全管理制度文件可分為四個(gè)層面，一、二級(jí)文件作為上層的管理要求，應(yīng)具備科學(xué)性、合理性、完備性及普適性。三、四級(jí)文件則是對(duì)上層管理要求的細(xì)化解讀，用于指導(dǎo)具體業(yè)務(wù)場(chǎng)景的具體工作。常見(jiàn)的制度體系如圖3所示。數(shù)據(jù)安全治理實(shí)踐指南2.08來(lái)源：數(shù)據(jù)安全推進(jìn)計(jì)劃圖3數(shù)據(jù)安全治理制度體系示例一級(jí)文件是由決策層明確的面向組織的數(shù)據(jù)安全管理方針、政策、目標(biāo)及基本原則。二級(jí)文件是由管理層根據(jù)一級(jí)文件制定的通用管理辦法、制度及標(biāo)準(zhǔn)。三級(jí)文件一般由管理層、執(zhí)行層根據(jù)二級(jí)管理辦法確定各業(yè)務(wù)、各環(huán)節(jié)的具體操作指南、規(guī)范。四級(jí)文件屬于輔助文件，是各項(xiàng)具體制度執(zhí)行時(shí)產(chǎn)生的過(guò)程性文檔，一般包括工作計(jì)劃、申請(qǐng)表單、審核記錄、日志文件、清單列表等內(nèi)容。根據(jù)圖3所示的常見(jiàn)制度體系，圍繞數(shù)據(jù)全生命周期安全要求，可以參考圖4完善組織各級(jí)制度文件內(nèi)容。來(lái)源：數(shù)據(jù)安全推進(jìn)計(jì)劃圖4一套可參考的數(shù)據(jù)安全管理制度體系數(shù)據(jù)安全治理實(shí)踐指南2.093.技術(shù)體系數(shù)據(jù)安全技術(shù)體系并非單一產(chǎn)品或平臺(tái)的構(gòu)建，而是覆蓋數(shù)據(jù)全生命周期，結(jié)合組織自身使用場(chǎng)景的體系建設(shè)。依照組織數(shù)據(jù)安全建設(shè)的方針總則，圍繞數(shù)據(jù)全生命周期各階段的安全要求，建立與制度流程相配套的技術(shù)和工具。一種數(shù)據(jù)安全治理技術(shù)體系如圖5所示。來(lái)源：數(shù)據(jù)安全推進(jìn)計(jì)劃圖5數(shù)據(jù)安全治理技術(shù)體系其中基礎(chǔ)通用技術(shù)工具為數(shù)據(jù)全生命周期的安全提供支撐：?數(shù)據(jù)分類(lèi)分級(jí)相關(guān)工具平臺(tái)主要實(shí)現(xiàn)數(shù)據(jù)資產(chǎn)掃描梳理、數(shù)據(jù)分類(lèi)分級(jí)打標(biāo)和數(shù)據(jù)分類(lèi)分級(jí)管理等功能。?身份認(rèn)證及訪問(wèn)控制相關(guān)工具平臺(tái)，主要實(shí)現(xiàn)在數(shù)據(jù)全生命周期各環(huán)節(jié)中涉及的所有業(yè)務(wù)系統(tǒng)和管理平臺(tái)的身份認(rèn)證和權(quán)限管理。?監(jiān)控審計(jì)相關(guān)工具平臺(tái)接入業(yè)務(wù)系統(tǒng)和管理平臺(tái)，實(shí)現(xiàn)對(duì)數(shù)據(jù)安全風(fēng)險(xiǎn)的實(shí)時(shí)監(jiān)控，并能進(jìn)行統(tǒng)一審計(jì)。?日志管理平臺(tái)收集并分析所有業(yè)務(wù)系統(tǒng)和管理平臺(tái)的日志，并統(tǒng)一日志規(guī)范以支持后續(xù)的風(fēng)險(xiǎn)分析和審計(jì)等工作。?安全及合規(guī)評(píng)估相關(guān)工具平臺(tái)主要用于綜合評(píng)估數(shù)據(jù)安全現(xiàn)狀和合規(guī)風(fēng)險(xiǎn)。數(shù)據(jù)全生命周期安全技術(shù)為生命周期中特定環(huán)節(jié)面臨的風(fēng)險(xiǎn)提供管控技術(shù)保障。整個(gè)數(shù)據(jù)全生命周期可以通過(guò)組合或復(fù)用以下多種技術(shù)實(shí)現(xiàn)數(shù)據(jù)安全：?敏感數(shù)據(jù)識(shí)別通過(guò)對(duì)采集的數(shù)據(jù)進(jìn)行識(shí)別和梳理，發(fā)現(xiàn)其中的敏感數(shù)據(jù)，以便進(jìn)數(shù)據(jù)安全治理實(shí)踐指南2.0行安全管理。?備份與恢復(fù)技術(shù)是防止數(shù)據(jù)破壞、丟失的的有效手段，用于保證數(shù)據(jù)可用性和完?數(shù)據(jù)加密相關(guān)工具平臺(tái)通過(guò)提供常見(jiàn)的加密模塊及密鑰管理能力，落地?cái)?shù)據(jù)的加?數(shù)據(jù)脫敏是通過(guò)一定的規(guī)則對(duì)特定數(shù)據(jù)對(duì)象進(jìn)行變形的一類(lèi)技術(shù)，用于防止數(shù)據(jù)泄露和違規(guī)使用等。?數(shù)據(jù)水印技術(shù)通過(guò)對(duì)數(shù)據(jù)進(jìn)行處理使其承載特定信息，使得數(shù)據(jù)具備追溯數(shù)據(jù)所有者與分發(fā)對(duì)象等信息的能力。在數(shù)據(jù)處理過(guò)程中起到威懾及追責(zé)的作用。?數(shù)據(jù)泄密防護(hù)技術(shù)通過(guò)終端防泄露技術(shù)、郵件防泄露技術(shù)、網(wǎng)絡(luò)防泄露技術(shù)，防止敏感數(shù)據(jù)在違反安全策略規(guī)定的情況下流出企業(yè)。?API安全管理相關(guān)工具平臺(tái)提供內(nèi)部接口和外部接口的安全管控和監(jiān)控審計(jì)能力，保障數(shù)據(jù)傳輸接口安全。?數(shù)據(jù)刪除是一種邏輯刪除技術(shù)，為保證刪除數(shù)據(jù)的不可恢復(fù)，一般會(huì)采取數(shù)據(jù)多次的覆寫(xiě)、清除等操作。?介質(zhì)銷(xiāo)毀一般通過(guò)消磁機(jī)或者物理?yè)v毀等方式對(duì)數(shù)據(jù)所在的介質(zhì)進(jìn)行物理銷(xiāo)毀。?隱私計(jì)算通過(guò)實(shí)現(xiàn)數(shù)據(jù)的可用不可見(jiàn)，從而滿(mǎn)足隱私安全保護(hù)、價(jià)值轉(zhuǎn)化及釋放。4.人員能力數(shù)據(jù)安全治理離不開(kāi)相應(yīng)人員的具體執(zhí)行，人員的技術(shù)能力、管理能力等都影響到數(shù)據(jù)安全策略的執(zhí)行和效果。因此，加強(qiáng)對(duì)數(shù)據(jù)安全人才的培養(yǎng)是數(shù)據(jù)安全治理的應(yīng)有之義。組織需要根據(jù)崗位職責(zé)、人員角色，明確相應(yīng)的能力要求，并從意識(shí)和能力兩方面著手建立適配的數(shù)據(jù)安全能力培養(yǎng)機(jī)制，如表2所示。意識(shí)能力培養(yǎng)方式?？梢越Y(jié)合業(yè)務(wù)開(kāi)展的實(shí)際場(chǎng)景，以及數(shù)據(jù)安全事件實(shí)際案例，表2不同類(lèi)型人員的數(shù)據(jù)安全能力要求和培養(yǎng)機(jī)制安全操作規(guī)范律法規(guī)政策能力、合規(guī)能力來(lái)源：數(shù)據(jù)安全推進(jìn)計(jì)劃數(shù)據(jù)安全治理實(shí)踐指南2.0通過(guò)數(shù)據(jù)安全事件宣導(dǎo)、數(shù)據(jù)安全事件場(chǎng)景還原、數(shù)據(jù)安全宣傳海報(bào)、數(shù)據(jù)安全月活動(dòng)等方式，定期為員工開(kāi)展數(shù)據(jù)安全意識(shí)培訓(xùn)，糾正工作中的不良習(xí)慣，降低因意識(shí)不足帶來(lái)的數(shù)據(jù)安全風(fēng)險(xiǎn)。技術(shù)能力培養(yǎng)方式。一方面，構(gòu)建組織內(nèi)部的數(shù)據(jù)安全學(xué)習(xí)專(zhuān)區(qū)，營(yíng)造培訓(xùn)環(huán)境，通過(guò)線上視頻、線下授課相結(jié)合的方式，按計(jì)劃、有主題的定期開(kāi)展數(shù)據(jù)安全技能培訓(xùn)，夯實(shí)理論知識(shí)。另一方面，通過(guò)開(kāi)展數(shù)據(jù)安全攻防對(duì)抗等實(shí)戰(zhàn)演練，將以教學(xué)為主的靜態(tài)培訓(xùn)轉(zhuǎn)為以實(shí)踐為主的動(dòng)態(tài)培訓(xùn)，提高人員參與積極性，有助于理論向?qū)嵺`轉(zhuǎn)化，切實(shí)提高人員數(shù)據(jù)安全技能。為保障培訓(xùn)效果，形成人員能力培養(yǎng)的管理閉環(huán)，還需要結(jié)合能力考核的管理機(jī)制。通過(guò)結(jié)合人員角色及崗位職責(zé)，構(gòu)建數(shù)據(jù)安全能力考核試題庫(kù)，通過(guò)考核平臺(tái)分發(fā)日常測(cè)驗(yàn)及各項(xiàng)考核內(nèi)容，評(píng)估人員數(shù)據(jù)安全理論基礎(chǔ)。同時(shí)將人員在實(shí)戰(zhàn)演練中的實(shí)際操作能力作為重要考核指標(biāo)，以綜合評(píng)估數(shù)據(jù)安全人員能力水平。((四)數(shù)據(jù)安全治理實(shí)踐數(shù)據(jù)安全治理體系給出了組織數(shù)據(jù)安全治理的建設(shè)框架，如何將整套框架切實(shí)應(yīng)用于建設(shè)過(guò)程，離不開(kāi)實(shí)踐路線的繪制。本指南基于行業(yè)發(fā)展現(xiàn)狀，提煉出“全局體系規(guī)劃，場(chǎng)景有序落地，運(yùn)營(yíng)持續(xù)加強(qiáng)，評(píng)估助力優(yōu)化”的數(shù)據(jù)安全治理實(shí)踐理念，并進(jìn)一步豐富形成“規(guī)劃—建設(shè)—運(yùn)營(yíng)—優(yōu)化”的閉環(huán)路線，用以指導(dǎo)各行業(yè)組織數(shù)據(jù)安全治理工作的落地推進(jìn)。該實(shí)踐路線將在下一章展開(kāi)論述。數(shù)據(jù)安全治理實(shí)踐指南2.0三、數(shù)據(jù)安全治理實(shí)踐路線基于以上數(shù)據(jù)安全治理實(shí)踐理念，可以按照自頂向下和自底向上相結(jié)合的思路推優(yōu)化為主線，圍繞構(gòu)建數(shù)據(jù)安全治理體系這一核心，從組織架構(gòu)、制度流程、技術(shù)工具和人員能力四個(gè)維度構(gòu)建全局建設(shè)思路。另一方面，組織自底向上，針對(duì)各業(yè)務(wù)場(chǎng)景敏捷落地相關(guān)數(shù)據(jù)安全能力點(diǎn)，以快速滿(mǎn)足業(yè)務(wù)場(chǎng)景的數(shù)據(jù)安全需求，降低數(shù)據(jù)安全治理的長(zhǎng)期性對(duì)業(yè)務(wù)開(kāi)展的影響。通過(guò)各個(gè)場(chǎng)景的建設(shè)與完善，最終全面覆蓋組織的所有數(shù)據(jù)處理活動(dòng)。以上的實(shí)踐過(guò)程可以有效避免管理和技術(shù)的“兩張皮”問(wèn)題。((一)數(shù)據(jù)安全規(guī)劃數(shù)據(jù)安全規(guī)劃階段主要確定組織數(shù)據(jù)安全治理工作的總體定位和愿景，根據(jù)組織整體發(fā)展戰(zhàn)略?xún)?nèi)容，結(jié)合實(shí)際情況進(jìn)行現(xiàn)狀分析，制定數(shù)據(jù)安全規(guī)劃，并對(duì)規(guī)劃進(jìn)行充分論證。1.現(xiàn)狀分析組織應(yīng)通過(guò)現(xiàn)狀分析找到數(shù)據(jù)安全治理的核心訴求及差距項(xiàng)，以此作為規(guī)劃設(shè)計(jì)的依據(jù)?？梢詮陌踩弦?guī)對(duì)標(biāo)、風(fēng)險(xiǎn)現(xiàn)狀分析、行業(yè)最佳實(shí)踐對(duì)比入手。一是數(shù)據(jù)安全合規(guī)對(duì)標(biāo)。數(shù)據(jù)安全合規(guī)是組織履行數(shù)據(jù)安全相關(guān)責(zé)任義務(wù)的底線要求。不同組織應(yīng)對(duì)組織適用的外部法律法規(guī)、監(jiān)管要求、標(biāo)準(zhǔn)規(guī)范等進(jìn)行梳理，將重要條款與現(xiàn)有情況進(jìn)行對(duì)比，分析其差距，確定合規(guī)需求。二是數(shù)據(jù)安全風(fēng)險(xiǎn)現(xiàn)狀分析。有效的數(shù)據(jù)安全風(fēng)險(xiǎn)管理是組織推進(jìn)業(yè)務(wù)發(fā)展的重要保障。不同組織需結(jié)合其業(yè)務(wù)場(chǎng)景，基于數(shù)據(jù)全生命周期安全防護(hù)要求，通過(guò)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估等方式識(shí)別數(shù)據(jù)面臨的安全威脅及所在環(huán)境的脆弱性，形成風(fēng)險(xiǎn)問(wèn)題清單，提煉數(shù)據(jù)安全建設(shè)需求點(diǎn)。三是行業(yè)最佳實(shí)踐對(duì)比。行業(yè)對(duì)比是組織經(jīng)營(yíng)決策的主要參考。通過(guò)分析同行業(yè)的數(shù)據(jù)安全建設(shè)先進(jìn)案例，并與組織現(xiàn)狀進(jìn)行橫向?qū)Ρ龋兄谔釤挸龈舆m宜的數(shù)據(jù)安全建設(shè)方向和建設(shè)思路。數(shù)據(jù)安全治理實(shí)踐指南2.02.方案規(guī)劃組織應(yīng)根據(jù)現(xiàn)狀分析結(jié)果，結(jié)合數(shù)據(jù)安全治理目標(biāo)，給出可落地實(shí)施的數(shù)據(jù)安全治理規(guī)劃方案，并提煉重點(diǎn)目標(biāo)和任務(wù)，分階段落實(shí)到工程實(shí)施中。方案規(guī)劃可以從前文所述的四個(gè)數(shù)據(jù)安全治理維度入手，通過(guò)對(duì)組織架構(gòu)、制度流程、技術(shù)工具、人員能力的不斷建設(shè)與完善達(dá)成建設(shè)目標(biāo)。以一個(gè)數(shù)據(jù)安全治理建設(shè)剛起步的企業(yè)為例，一般來(lái)說(shuō)，可以將數(shù)據(jù)安全規(guī)劃分為三個(gè)階段，如圖6所示。來(lái)源：數(shù)據(jù)安全推進(jìn)計(jì)劃圖6數(shù)據(jù)安全治理規(guī)劃示例第一階段，組織尚處于數(shù)據(jù)安全治理建設(shè)初期，急需在內(nèi)部明確數(shù)據(jù)安全治理職責(zé)分工和管理要求，因而建議主要完成初步的數(shù)據(jù)安全治理體系建設(shè)工作，包括數(shù)據(jù)安全組織機(jī)構(gòu)的建立、數(shù)據(jù)安全制度體系的編制、數(shù)據(jù)安全基礎(chǔ)能力建設(shè)以及數(shù)據(jù)安全意識(shí)培訓(xùn)宣貫。同時(shí)數(shù)據(jù)分類(lèi)分級(jí)作為實(shí)施數(shù)據(jù)安全管理措施和技術(shù)措施的前提，是一個(gè)需要提前布局且長(zhǎng)期推進(jìn)的工作。第二階段，組織有了一定的數(shù)據(jù)安全治理基礎(chǔ)，可以在這一階段著重完善數(shù)據(jù)安全技術(shù)能力體系，通過(guò)建設(shè)統(tǒng)一的管理平臺(tái)，全面落實(shí)數(shù)據(jù)安全管理規(guī)范及策略要求，并通過(guò)常態(tài)化數(shù)據(jù)安全運(yùn)營(yíng)，實(shí)現(xiàn)持續(xù)的數(shù)據(jù)安全保障能力。同時(shí)，應(yīng)加強(qiáng)數(shù)據(jù)安全能力培訓(xùn)體系的構(gòu)建，培養(yǎng)復(fù)合型數(shù)據(jù)安全專(zhuān)業(yè)人才，壯大數(shù)據(jù)安全人才隊(duì)伍。第三階段，組織已經(jīng)初步建成數(shù)據(jù)安全治理體系，這一階段以持續(xù)優(yōu)化為主要目標(biāo)，重在建立數(shù)據(jù)安全治理的量化評(píng)估體系，定期開(kāi)展數(shù)據(jù)安全評(píng)估評(píng)測(cè)，監(jiān)測(cè)各項(xiàng)指標(biāo)的達(dá)標(biāo)情況。再根據(jù)評(píng)估評(píng)測(cè)結(jié)果及時(shí)優(yōu)化建設(shè)內(nèi)容，最終達(dá)到較高的數(shù)據(jù)安全治理水平。同時(shí)，通過(guò)提煉并輸出成功經(jīng)驗(yàn)，促進(jìn)行業(yè)共同進(jìn)步。數(shù)據(jù)安全治理實(shí)踐指南2.03.方案論證為保障規(guī)劃方案在建設(shè)過(guò)程的順利實(shí)施，應(yīng)從以下方面進(jìn)行論證分析。一是可行安全管理機(jī)制和技術(shù)能力建設(shè)與業(yè)務(wù)系統(tǒng)之間的分歧，確保在業(yè)務(wù)發(fā)展與安全保障之間達(dá)到平衡。二是安全性分析，方案在正式實(shí)施前，要進(jìn)行詳細(xì)的方案論證分析，確?？梢栽跇I(yè)務(wù)穩(wěn)定運(yùn)行的前提下實(shí)施治理建設(shè)，同時(shí)要考慮治理過(guò)程中可能產(chǎn)生的新風(fēng)險(xiǎn)，避免未知風(fēng)險(xiǎn)的引入。三是可持續(xù)性分析，數(shù)據(jù)安全治理是持續(xù)性過(guò)程，隨著業(yè)務(wù)拓展和技術(shù)進(jìn)步，規(guī)劃方案在保證與當(dāng)前組織現(xiàn)有體系兼容的同時(shí)，也要考慮與后續(xù)的發(fā)展相適應(yīng)。因此數(shù)據(jù)安全治理方案不僅要考慮當(dāng)下，還要著眼于未來(lái)。在滿(mǎn)足當(dāng)前數(shù)據(jù)安全需求的同時(shí)，還要適應(yīng)后續(xù)的持續(xù)發(fā)展。((二)數(shù)據(jù)安全建設(shè)數(shù)據(jù)安全建設(shè)階段主要對(duì)數(shù)據(jù)安全規(guī)劃進(jìn)行落地實(shí)施，建成與組織相適應(yīng)的數(shù)據(jù)安全治理能力，包括組織架構(gòu)的建設(shè)、制度體系的完善、技術(shù)工具的建立和人員能力的培養(yǎng)等。通過(guò)數(shù)據(jù)安全規(guī)劃，組織對(duì)如何從零開(kāi)始建設(shè)數(shù)據(jù)安全治理體系有了一定認(rèn)知，同時(shí)也應(yīng)意識(shí)到數(shù)據(jù)安全治理的建設(shè)是一項(xiàng)需要長(zhǎng)期開(kāi)展和持續(xù)投入的工作，無(wú)法一蹴而就。為了快速響應(yīng)不同業(yè)務(wù)場(chǎng)景下不同的數(shù)據(jù)安全策略要求，應(yīng)基于場(chǎng)景需要選擇性部署技術(shù)工具，編制三級(jí)操作指南文件，形成四級(jí)記錄模板。通過(guò)逐個(gè)場(chǎng)景的數(shù)據(jù)安全建設(shè)，最終推動(dòng)數(shù)據(jù)安全治理體系在組織內(nèi)的全面落地。本指南梳理了場(chǎng)景化數(shù)據(jù)安全治理建設(shè)的總體路線，如圖7所示。來(lái)源：數(shù)據(jù)安全推進(jìn)計(jì)劃圖7場(chǎng)景化數(shù)據(jù)安全建設(shè)五步走數(shù)據(jù)安全治理實(shí)踐指南2.0第一步：全面梳理業(yè)務(wù)場(chǎng)景梳理數(shù)據(jù)資產(chǎn)和業(yè)務(wù)場(chǎng)景是組織進(jìn)行場(chǎng)景化數(shù)據(jù)安全治理建設(shè)的前提，可以幫助組織了解數(shù)據(jù)安全治理對(duì)象全貌，為組織場(chǎng)景化數(shù)據(jù)安全治理提供行動(dòng)地圖。目前，對(duì)業(yè)務(wù)場(chǎng)景的劃分尚未有統(tǒng)一的標(biāo)準(zhǔn)，本指南根據(jù)對(duì)數(shù)據(jù)安全供應(yīng)側(cè)及需求側(cè)的調(diào)研，將場(chǎng)景劃分方法歸類(lèi)為基于數(shù)據(jù)全生命周期和基于業(yè)務(wù)運(yùn)行環(huán)境兩種劃分方式。 (1)基于數(shù)據(jù)全生命周期的場(chǎng)景劃分基于數(shù)據(jù)全生命周期的場(chǎng)景劃分是分別在采集、傳輸、存儲(chǔ)、使用、共享、銷(xiāo)毀各環(huán)節(jié)抽象出典型應(yīng)用場(chǎng)景，如圖8所示。?數(shù)據(jù)采集環(huán)節(jié)主要有個(gè)人信息主體數(shù)據(jù)采集、外部機(jī)構(gòu)數(shù)據(jù)采集、數(shù)據(jù)產(chǎn)生等場(chǎng)景。?數(shù)據(jù)傳輸環(huán)節(jié)主要有內(nèi)部系統(tǒng)數(shù)據(jù)傳輸、外部機(jī)構(gòu)數(shù)據(jù)傳輸?shù)葓?chǎng)景。?數(shù)據(jù)存儲(chǔ)環(huán)節(jié)主要有數(shù)據(jù)加密存儲(chǔ)、數(shù)據(jù)庫(kù)安全等場(chǎng)景。?數(shù)據(jù)使用環(huán)節(jié)主要有應(yīng)用訪問(wèn)、數(shù)據(jù)運(yùn)維、測(cè)試和開(kāi)發(fā)、網(wǎng)絡(luò)和終端安全、數(shù)據(jù)準(zhǔn)入、數(shù)據(jù)分析與挖掘等場(chǎng)景。?數(shù)據(jù)共享環(huán)節(jié)主要有內(nèi)部共享和外部共享等場(chǎng)景。?數(shù)據(jù)銷(xiāo)毀環(huán)節(jié)有邏輯刪除、物理銷(xiāo)毀和數(shù)據(jù)退役等場(chǎng)景。?此外還有一些基礎(chǔ)性的工作，如數(shù)據(jù)分類(lèi)分級(jí)應(yīng)該作為單獨(dú)的場(chǎng)景納入到整體的場(chǎng)來(lái)源：數(shù)據(jù)安全推進(jìn)計(jì)劃圖8基于數(shù)據(jù)全生命周期的場(chǎng)景劃分?jǐn)?shù)據(jù)安全治理實(shí)踐指南2.0基于數(shù)據(jù)全生命周期的場(chǎng)景劃分方式，一方面能更好地契合當(dāng)前法律法規(guī)中關(guān)于數(shù)據(jù)全生命周期的安全要求，一方面更加匹配當(dāng)前主流的數(shù)據(jù)安全治理體系框架。 (2)基于業(yè)務(wù)運(yùn)行環(huán)境的場(chǎng)景劃分組織的業(yè)務(wù)雖然各有不同，但是其業(yè)務(wù)運(yùn)行環(huán)境的劃分基本相同，據(jù)此可以將業(yè)務(wù)場(chǎng)景劃分為：辦公場(chǎng)景、生產(chǎn)場(chǎng)景、研發(fā)場(chǎng)景、運(yùn)維場(chǎng)景等。還可以基于支撐業(yè)務(wù)運(yùn)行的基礎(chǔ)設(shè)置進(jìn)一步細(xì)分為云、終端等場(chǎng)景，如圖9所示。來(lái)源：數(shù)據(jù)安全推進(jìn)計(jì)劃圖9基于業(yè)務(wù)運(yùn)行環(huán)境的場(chǎng)景劃分基于業(yè)務(wù)運(yùn)行環(huán)境的場(chǎng)景劃分方式，一方面與業(yè)務(wù)的研發(fā)上線緊密關(guān)聯(lián)，有利于場(chǎng)景的識(shí)別，另一方面兼容組織安全域的劃分，有利于充分利用原有的網(wǎng)絡(luò)安全能力。第二步：確定業(yè)務(wù)場(chǎng)景治理優(yōu)先級(jí)在業(yè)務(wù)場(chǎng)景梳理完成后，組織需要綜合考慮監(jiān)管要求、數(shù)據(jù)安全風(fēng)險(xiǎn)和業(yè)務(wù)發(fā)展需要，明確業(yè)務(wù)場(chǎng)景治理的開(kāi)展優(yōu)先級(jí)。以上文提到的基于數(shù)據(jù)全生命周期的場(chǎng)景劃分方式為例，數(shù)據(jù)分類(lèi)分級(jí)是數(shù)據(jù)安全的基礎(chǔ)性工作基本已經(jīng)成為行業(yè)共識(shí)，隨著行業(yè)數(shù)據(jù)分類(lèi)分級(jí)指南的不斷建立和完善，組織應(yīng)跟緊行業(yè)發(fā)展步伐，前置數(shù)據(jù)分類(lèi)分級(jí)工作的優(yōu)先級(jí)。其次，數(shù)據(jù)采集環(huán)節(jié)中個(gè)人信息主體數(shù)據(jù)采集、外部機(jī)構(gòu)數(shù)據(jù)采集等場(chǎng)景均涉及到個(gè)人信息權(quán)益保護(hù)，是當(dāng)前數(shù)據(jù)安全合規(guī)出現(xiàn)問(wèn)題的高危場(chǎng)景，容易影響組織品牌形象，因而需要優(yōu)先治理。此外，數(shù)字經(jīng)濟(jì)的繁榮發(fā)展離不開(kāi)數(shù)據(jù)的流通共享，隨之而來(lái)的風(fēng)險(xiǎn)也在不斷顯現(xiàn)，對(duì)數(shù)據(jù)流通的安全保護(hù)勢(shì)在必行，因而也應(yīng)著重進(jìn)行相關(guān)場(chǎng)景的安全建設(shè)。數(shù)據(jù)安全治理實(shí)踐指南2.0第三步：評(píng)估業(yè)務(wù)場(chǎng)景數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估業(yè)務(wù)場(chǎng)景的數(shù)據(jù)安全風(fēng)險(xiǎn)是指針對(duì)具體場(chǎng)景，綜合考慮合規(guī)要求、數(shù)據(jù)資源重要程度、面臨的數(shù)據(jù)安全威脅等因素，將數(shù)據(jù)流動(dòng)過(guò)程的風(fēng)險(xiǎn)點(diǎn)梳理出來(lái)，并明確數(shù)據(jù)安全風(fēng)險(xiǎn)等級(jí)。業(yè)務(wù)方應(yīng)根據(jù)此項(xiàng)評(píng)估結(jié)果，確定要進(jìn)行整改的風(fēng)險(xiǎn)點(diǎn)，并將其作為數(shù)據(jù)安全治理建設(shè)需求的輸入，為制定場(chǎng)景化數(shù)據(jù)安全解決方案提供依據(jù)。第四步：制定并實(shí)施業(yè)務(wù)場(chǎng)景解決方案結(jié)合業(yè)務(wù)場(chǎng)景的數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估結(jié)果，組織可以根據(jù)相關(guān)政策及標(biāo)準(zhǔn)要求，申請(qǐng)充分的資源保障，并制定可落地的解決方案。目前，對(duì)于部分場(chǎng)景，業(yè)界已經(jīng)形成了一些公認(rèn)的典型解決方案，例如在數(shù)據(jù)加密存儲(chǔ)場(chǎng)景中使用加解密系統(tǒng)，并在算法的選擇上避開(kāi)不安全的MD5、AES-ECB、SHA1等算法；在終端場(chǎng)景下部署終端DLP等。但更多情況下，組織需要根據(jù)實(shí)際情況通過(guò)自研解決方案或者甄選適宜的供應(yīng)側(cè)解決方案。第五步：完善業(yè)務(wù)場(chǎng)景操作規(guī)范為規(guī)范業(yè)務(wù)場(chǎng)景日常的數(shù)據(jù)安全管理和運(yùn)營(yíng)工作，組織應(yīng)督促業(yè)務(wù)部門(mén)在實(shí)施具體的技術(shù)措施后，及時(shí)完善組織整體數(shù)據(jù)安全制度體系中關(guān)于三級(jí)與四級(jí)的制度文件，如《遠(yuǎn)程訪問(wèn)操作規(guī)范》、《數(shù)據(jù)備份操作規(guī)范》、《數(shù)據(jù)防泄露操作規(guī)范》、《堡壘機(jī)操作規(guī)范》等，以保持制度流程和技術(shù)落地的一致性。((三)數(shù)據(jù)安全運(yùn)營(yíng)數(shù)據(jù)安全運(yùn)營(yíng)階段通過(guò)不斷適配業(yè)務(wù)環(huán)境和風(fēng)險(xiǎn)管理需求，持續(xù)優(yōu)化安全策略措施，強(qiáng)化整個(gè)數(shù)據(jù)安全治理體系的有效運(yùn)轉(zhuǎn)。1.風(fēng)險(xiǎn)防范數(shù)據(jù)安全治理的目標(biāo)之一是降低數(shù)據(jù)安全風(fēng)險(xiǎn)，因此建立有效的風(fēng)險(xiǎn)防范手段，對(duì)于預(yù)防數(shù)據(jù)安全事件發(fā)生有重要作用，可以從數(shù)據(jù)安全策略制定、數(shù)據(jù)安全基線掃描、數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估三方面入手。數(shù)據(jù)安全策略制定。一方面，根據(jù)數(shù)據(jù)全生命周期各項(xiàng)管理要求，制定通用安全數(shù)據(jù)安全治理實(shí)踐指南2.0策略，另一方面，結(jié)合各業(yè)務(wù)場(chǎng)景安全需要，制定針對(duì)性的安全策略。通過(guò)將通用策略和針對(duì)性策略結(jié)合部署，實(shí)現(xiàn)對(duì)數(shù)據(jù)流轉(zhuǎn)過(guò)程的安全防護(hù)。數(shù)據(jù)安全基線掃描?；诿媾R的風(fēng)險(xiǎn)形勢(shì)，定期梳理、更新相關(guān)安全規(guī)范及安全策略，并轉(zhuǎn)化為安全基線，同時(shí)直接落實(shí)到監(jiān)控審計(jì)平臺(tái)進(jìn)行定期掃描。安全基線是組織數(shù)據(jù)安全防護(hù)的最低要求，各業(yè)務(wù)的開(kāi)展必須滿(mǎn)足。數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估。通過(guò)將日?；ㄆ陂_(kāi)展的數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估結(jié)果與安全基線進(jìn)行對(duì)標(biāo)，發(fā)現(xiàn)不滿(mǎn)足基線要求的評(píng)估項(xiàng)，再通過(guò)改進(jìn)業(yè)務(wù)方案或強(qiáng)化安全技術(shù)手段的方式實(shí)現(xiàn)風(fēng)險(xiǎn)防范。2.監(jiān)控預(yù)警數(shù)據(jù)安全保護(hù)以知曉數(shù)據(jù)在組織內(nèi)的安全狀態(tài)為前提，需要組織在數(shù)據(jù)全生命周期各階段開(kāi)展安全監(jiān)控和審計(jì)，以實(shí)現(xiàn)對(duì)數(shù)據(jù)安全風(fēng)險(xiǎn)的防控?？梢酝ㄟ^(guò)態(tài)勢(shì)監(jiān)控、日常審計(jì)、專(zhuān)項(xiàng)審計(jì)等方式對(duì)相關(guān)風(fēng)險(xiǎn)點(diǎn)進(jìn)行防控，從而降低數(shù)據(jù)安全風(fēng)險(xiǎn)。態(tài)勢(shì)監(jiān)控。根據(jù)數(shù)據(jù)全生命周期的各項(xiàng)安全管理要求，建立組織內(nèi)部統(tǒng)一的數(shù)據(jù)安全監(jiān)控審計(jì)平臺(tái)，對(duì)風(fēng)險(xiǎn)點(diǎn)的安全態(tài)勢(shì)進(jìn)行實(shí)時(shí)監(jiān)測(cè)。一旦出現(xiàn)安全威脅，能夠?qū)崿F(xiàn)及時(shí)告警及初步阻斷。日常審計(jì)。針對(duì)賬號(hào)使用、權(quán)限分配、密碼管理、漏洞修復(fù)等日常工作的安全管理要求，利用監(jiān)控審計(jì)平臺(tái)開(kāi)展審計(jì)工作，從而發(fā)現(xiàn)問(wèn)題并及時(shí)處置。審計(jì)內(nèi)容包括但不限于表3所示內(nèi)容。表3日常審計(jì)項(xiàng)目示例口令、異常登錄加密存儲(chǔ)加密傳輸?shù)玫绞跈?quán)脫敏使用確落實(shí)的落實(shí)情況督來(lái)源：中國(guó)信息通信研究院數(shù)據(jù)安全治理實(shí)踐指南2.0專(zhuān)項(xiàng)審計(jì)。以業(yè)務(wù)線為審計(jì)對(duì)象，定期開(kāi)展專(zhuān)項(xiàng)數(shù)據(jù)安全審計(jì)工作。審計(jì)內(nèi)容包括數(shù)據(jù)全生命周期安全、隱私合規(guī)、合作方管理、鑒別訪問(wèn)、風(fēng)險(xiǎn)分析、數(shù)據(jù)安全事件應(yīng)急等多方面內(nèi)容，從而全面評(píng)價(jià)數(shù)據(jù)安全工作執(zhí)行情況，發(fā)現(xiàn)執(zhí)行問(wèn)題并統(tǒng)籌改進(jìn)。3.應(yīng)急處理一旦風(fēng)險(xiǎn)防范及監(jiān)控預(yù)警措施失效，導(dǎo)致發(fā)生數(shù)據(jù)安全事件，組織應(yīng)立即進(jìn)行應(yīng)急處置、復(fù)盤(pán)整改，并在內(nèi)部進(jìn)行宣貫宣導(dǎo)，防范安全事件的再次發(fā)生。數(shù)據(jù)安全事件應(yīng)急處置。根據(jù)數(shù)據(jù)安全事件應(yīng)急預(yù)案對(duì)正在發(fā)生的各類(lèi)數(shù)據(jù)安全攻擊警告、數(shù)據(jù)安全威脅警報(bào)等進(jìn)行緊急處置，確保第一時(shí)間阻斷數(shù)據(jù)安全威脅。數(shù)據(jù)安全事件復(fù)盤(pán)整改。應(yīng)急處置完成后，應(yīng)盡快在業(yè)務(wù)側(cè)組織復(fù)盤(pán)分析，明確事件發(fā)生的根本原因，做好應(yīng)急總結(jié)，沉淀應(yīng)急手段，跟進(jìn)落實(shí)整改，并完善相應(yīng)應(yīng)急預(yù)案。數(shù)據(jù)安全應(yīng)急預(yù)案宣貫宣導(dǎo)。根據(jù)數(shù)據(jù)安全事件的類(lèi)別和級(jí)別，在相關(guān)業(yè)務(wù)部門(mén)或全線業(yè)務(wù)部門(mén)定期開(kāi)展應(yīng)急預(yù)案的宣貫宣導(dǎo)，降低發(fā)生類(lèi)似數(shù)據(jù)安全事件的風(fēng)險(xiǎn)。((四)數(shù)據(jù)安全評(píng)估優(yōu)化數(shù)據(jù)安全評(píng)估優(yōu)化階段主要是通過(guò)內(nèi)部評(píng)估與第三方評(píng)估相結(jié)合的方式，對(duì)組織的數(shù)據(jù)安全治理能力進(jìn)行評(píng)估分析，總結(jié)不足并動(dòng)態(tài)糾偏，實(shí)現(xiàn)數(shù)據(jù)安全治理的持續(xù)優(yōu)化及閉環(huán)工作機(jī)制的建立。1.內(nèi)部評(píng)估組織應(yīng)形成周期性的內(nèi)部評(píng)估工作機(jī)制，內(nèi)部評(píng)估應(yīng)由管理層牽頭，執(zhí)行層和監(jiān)督層配合執(zhí)行，確保評(píng)估工作的有效執(zhí)行，并應(yīng)將評(píng)估結(jié)果與組織的績(jī)效考核掛鉤，避免評(píng)估流于形式。常見(jiàn)的內(nèi)部評(píng)估手段包括評(píng)估自查、應(yīng)急演練、對(duì)抗模擬等。評(píng)估自查通過(guò)設(shè)計(jì)評(píng)估問(wèn)卷、調(diào)研表、定期執(zhí)行檢查工具等形式，在組織內(nèi)部開(kāi)展評(píng)估，主要評(píng)估內(nèi)容至少應(yīng)包括數(shù)據(jù)全生命周期的安全控制策略、風(fēng)險(xiǎn)需求分析、監(jiān)控審計(jì)執(zhí)行、應(yīng)急處置措施、安全合規(guī)要求等內(nèi)容。應(yīng)急演練通過(guò)構(gòu)建內(nèi)部人員泄露、外部黑客攻擊等場(chǎng)景，驗(yàn)證組織數(shù)據(jù)安全治理措施的有效性和及時(shí)止損的能力，并通過(guò)在應(yīng)急演練后開(kāi)展復(fù)盤(pán)總結(jié)，不斷改進(jìn)應(yīng)急數(shù)據(jù)安全治理實(shí)踐指南2.0預(yù)案及數(shù)據(jù)安全防護(hù)能力。應(yīng)急演練可采用實(shí)戰(zhàn)、桌面推演等方式，旨在驗(yàn)證數(shù)據(jù)安全事件應(yīng)急的流程機(jī)制是否順暢、技術(shù)工具是否實(shí)用、安全處置是否及時(shí)等，進(jìn)一步完善應(yīng)急預(yù)案，補(bǔ)足能力短板。對(duì)抗模擬通過(guò)搭建仿真環(huán)境開(kāi)展紅藍(lán)對(duì)抗，或模擬黑產(chǎn)對(duì)抗，幫助組織面對(duì)內(nèi)外部數(shù)據(jù)安全風(fēng)險(xiǎn)時(shí)實(shí)現(xiàn)以攻促防，沉著應(yīng)對(duì)，并在這個(gè)過(guò)程中不斷挖掘組織數(shù)據(jù)安全可能存在的攻擊面和滲透點(diǎn)，尤其是面對(duì)組織內(nèi)部數(shù)據(jù)泄露風(fēng)險(xiǎn)，可以有針對(duì)性的完善數(shù)據(jù)安全治理工作機(jī)制和技術(shù)能力。2.第三方評(píng)估除了內(nèi)部評(píng)估外，組織還應(yīng)引入第三方評(píng)估。第三方評(píng)估以國(guó)家、行業(yè)及團(tuán)體標(biāo)準(zhǔn)等為執(zhí)行準(zhǔn)則，能客觀、公正、真實(shí)地反映組織數(shù)據(jù)安全治理水平，實(shí)現(xiàn)對(duì)標(biāo)差距分析。如中國(guó)信息通信研究院2020年底推出的國(guó)內(nèi)首個(gè)數(shù)據(jù)安全治理能力評(píng)估服務(wù)，結(jié)合業(yè)務(wù)場(chǎng)景和全生命周期數(shù)據(jù)流，從組織架構(gòu)、制度流程、技術(shù)工具、人員能力的建設(shè)情況入手，綜合考察組織數(shù)據(jù)安全治理能力的持續(xù)運(yùn)轉(zhuǎn)及自我改進(jìn)能力。目前該評(píng)估服務(wù)已在金融、電信、互聯(lián)網(wǎng)、汽車(chē)等多個(gè)行業(yè)領(lǐng)域獲得廣泛認(rèn)可，是組織進(jìn)行全面摸排、橫向?qū)Ρ鹊闹匾ナ?。?shù)據(jù)安全治理實(shí)踐指南2.0四、數(shù)據(jù)分類(lèi)分級(jí)場(chǎng)景建設(shè)思路數(shù)據(jù)分類(lèi)分級(jí)是數(shù)據(jù)安全治理實(shí)踐過(guò)程中的關(guān)鍵場(chǎng)景，是數(shù)據(jù)安全工作的橋頭堡和必選題。本指南結(jié)合行業(yè)實(shí)踐，提出如圖10所示的七步走建設(shè)思路，可供剛開(kāi)展數(shù)據(jù)分類(lèi)分級(jí)工作的組織參考。來(lái)來(lái)源：中國(guó)信息通信研究院圖10數(shù)據(jù)分類(lèi)分級(jí)“七步走”建設(shè)思路((一)第一步：建立組織保障對(duì)組織而言，數(shù)據(jù)分類(lèi)分級(jí)工作是一項(xiàng)復(fù)雜的長(zhǎng)期性工作，是業(yè)務(wù)知識(shí)、數(shù)據(jù)知識(shí)和安全知識(shí)的交叉領(lǐng)域，需要相關(guān)部門(mén)協(xié)作開(kāi)展。這就需要通過(guò)明確數(shù)據(jù)分類(lèi)分級(jí)工作的組織架構(gòu)，劃分各部門(mén)職責(zé)分工，為數(shù)據(jù)分類(lèi)分級(jí)工作的協(xié)同開(kāi)展提供支撐。在實(shí)際工作中，我們看到各組織一般有數(shù)據(jù)安全管理的牽頭部門(mén)或團(tuán)隊(duì)統(tǒng)籌數(shù)據(jù)分類(lèi)分級(jí)工作的開(kāi)展，而在職責(zé)分工上，則體現(xiàn)出一定的差異性。?以某電信運(yùn)營(yíng)商為例，在職責(zé)劃分方面，明確了由數(shù)據(jù)安全的管理部門(mén)負(fù)責(zé)制定數(shù)據(jù)分類(lèi)分級(jí)的方法及策略，規(guī)范數(shù)據(jù)資產(chǎn)梳理工作，并監(jiān)督數(shù)據(jù)分類(lèi)分級(jí)工作的落實(shí)。而各數(shù)據(jù)生產(chǎn)運(yùn)營(yíng)和使用的責(zé)任部門(mén)則需要維護(hù)本部門(mén)的數(shù)據(jù)資源清單、梳理部門(mén)的重要數(shù)據(jù)安全治理實(shí)踐指南2.0數(shù)據(jù)目錄、并按照數(shù)據(jù)安全管理部門(mén)制定的標(biāo)準(zhǔn)執(zhí)行數(shù)據(jù)分類(lèi)分級(jí)規(guī)定動(dòng)作，制定并落實(shí)差異化管控措施等。?以某金融機(jī)構(gòu)為例，在職責(zé)劃分方面，明確了由數(shù)據(jù)安全的管理部門(mén)牽頭開(kāi)展數(shù)度流程，并建設(shè)數(shù)據(jù)分類(lèi)分級(jí)技術(shù)能力。由于建設(shè)了數(shù)據(jù)中部門(mén)僅需配合數(shù)據(jù)分類(lèi)分級(jí)評(píng)估工作，對(duì)數(shù)據(jù)分類(lèi)分級(jí)結(jié)果?以某互聯(lián)網(wǎng)公司為例，在職責(zé)劃分方面，明確了由數(shù)據(jù)安全管理部門(mén)負(fù)責(zé)各類(lèi)數(shù)據(jù)的分類(lèi)、匯總和管理等工作。其他部門(mén)主要負(fù)責(zé)識(shí)別本部門(mén)的各類(lèi)敏感數(shù)據(jù)并同步至數(shù)據(jù)安全管理部門(mén)，同時(shí)負(fù)責(zé)本部門(mén)敏感數(shù)據(jù)相關(guān)數(shù)據(jù)安全管控措施的制定。((二)第二步：進(jìn)行數(shù)據(jù)資源梳理在進(jìn)行數(shù)據(jù)分類(lèi)分級(jí)之前，需要對(duì)組織內(nèi)的全部數(shù)據(jù)資源進(jìn)行識(shí)別、梳理，明確當(dāng)前組織內(nèi)部存儲(chǔ)了哪些數(shù)據(jù)、數(shù)據(jù)存儲(chǔ)的格式、數(shù)據(jù)范圍、數(shù)據(jù)流轉(zhuǎn)形式、數(shù)據(jù)訪問(wèn)控制方式、數(shù)據(jù)價(jià)值高低等問(wèn)題，并形成數(shù)據(jù)資源清單。在實(shí)際工作中，數(shù)據(jù)資源的梳理有兩種常見(jiàn)的工作思路。一種是站在數(shù)據(jù)治理的角度，為了達(dá)到對(duì)數(shù)據(jù)質(zhì)量進(jìn)行管理的首要目標(biāo)而進(jìn)行全量數(shù)據(jù)的盤(pán)點(diǎn)梳理，與此同時(shí)，梳理的結(jié)果可以復(fù)用于數(shù)據(jù)分類(lèi)分級(jí)工作。一種是站在數(shù)據(jù)安全的角度，先對(duì)敏感數(shù)據(jù)進(jìn)行識(shí)別梳理，以快速響應(yīng)相關(guān)安全管理要求，再逐漸擴(kuò)展至全域數(shù)據(jù)范圍。((三)第三步：明確分類(lèi)分級(jí)方法、策略數(shù)據(jù)分類(lèi)分級(jí)的方法、策略是指導(dǎo)此項(xiàng)工作開(kāi)展的重要依據(jù)。組織需要參考國(guó)家及行業(yè)相關(guān)數(shù)據(jù)分類(lèi)分級(jí)要求及規(guī)范，并結(jié)合自身業(yè)務(wù)屬性與管理特點(diǎn)，明確數(shù)據(jù)分類(lèi)分級(jí)的方法、策略，如明確數(shù)據(jù)分類(lèi)與定級(jí)的基本原則、基本方法等。當(dāng)前，為指導(dǎo)數(shù)據(jù)分類(lèi)分級(jí)工作的推進(jìn)落實(shí)，各行業(yè)、各領(lǐng)域紛紛制定相關(guān)標(biāo)準(zhǔn)規(guī)范，如表4所示。通過(guò)明確數(shù)據(jù)分類(lèi)分級(jí)工作的原則、方法、定義，并在此基礎(chǔ)上給出部分示例，進(jìn)一步細(xì)化國(guó)家關(guān)于數(shù)據(jù)分類(lèi)分級(jí)工作的要求，推動(dòng)該項(xiàng)工作在不同行業(yè)企業(yè)及組織機(jī)構(gòu)的落地實(shí)施。數(shù)據(jù)安全治理實(shí)踐指南2.0表4近幾年數(shù)據(jù)分類(lèi)分級(jí)相關(guān)規(guī)范《工業(yè)數(shù)據(jù)分類(lèi)分級(jí)指南(試行)》委員會(huì)理局《重慶市公共數(shù)據(jù)分類(lèi)分級(jí)指南(試行)》理局準(zhǔn)化技術(shù)委員 委員會(huì) 委員會(huì)來(lái)源：中國(guó)信息通信研究院((四)第四步：完成數(shù)據(jù)分類(lèi)組織應(yīng)根據(jù)已制定的數(shù)據(jù)分類(lèi)原則，定義包含多個(gè)層級(jí)的數(shù)據(jù)類(lèi)別清單，再對(duì)數(shù)據(jù)資源清單中的數(shù)據(jù)逐個(gè)進(jìn)行分類(lèi)。在實(shí)際工作中，如表5所示，基礎(chǔ)電信、證券期貨、工業(yè)行業(yè)等領(lǐng)域制定了較為明確的分類(lèi)方法和示例，有利于行業(yè)組織參考。對(duì)于暫未形成分類(lèi)模板的行業(yè)，組織數(shù)據(jù)安全治理實(shí)踐指南2.0可以從經(jīng)營(yíng)維度按照通用分類(lèi)模板進(jìn)行分類(lèi)1。另外，針對(duì)個(gè)人信息的分類(lèi)方式，組織也可以結(jié)合GB/T35273-2020《信息安全技術(shù)個(gè)人信息安全規(guī)范》給出的規(guī)范進(jìn)行完善?？傮w來(lái)說(shuō)，類(lèi)別定義一般會(huì)根據(jù)行業(yè)領(lǐng)域的不同而產(chǎn)生不同的子類(lèi)劃分方式，需要注意的是不同類(lèi)別之間不能重復(fù)和交叉。表5各行業(yè)數(shù)據(jù)分類(lèi)示例、用戶(hù)統(tǒng)計(jì)分析類(lèi)數(shù)據(jù)據(jù)、其他數(shù)據(jù)行情、資訊、投資者管理、產(chǎn)品管理稽核研究報(bào)告理、綜合管理 開(kāi)發(fā)測(cè)試數(shù)據(jù)等狀態(tài)、工藝參數(shù)、系統(tǒng)日志等品售后服務(wù)數(shù)據(jù)等業(yè)務(wù)統(tǒng)計(jì)數(shù)據(jù)等知識(shí)庫(kù)模型庫(kù)數(shù)據(jù)、研發(fā)數(shù)據(jù)等作數(shù)據(jù)、人事財(cái)務(wù)數(shù)據(jù)等/////來(lái)源：數(shù)據(jù)安全推進(jìn)計(jì)劃數(shù)據(jù)安全治理實(shí)踐指南2.0((五)第五步：逐類(lèi)完成定級(jí)數(shù)據(jù)分級(jí)主要從數(shù)據(jù)安全保護(hù)的角度，考慮影響對(duì)象、影響程度兩個(gè)要素對(duì)數(shù)據(jù)所在的安全級(jí)別進(jìn)行判定。不同行業(yè)分級(jí)標(biāo)準(zhǔn)在影響對(duì)象和影響程度的劃分上有所不同，從而也導(dǎo)致了分級(jí)結(jié)果的差異性。組織應(yīng)根據(jù)實(shí)際情況完成定級(jí)工作，常見(jiàn)的數(shù)據(jù)定級(jí)示例如表6所示。表6各行業(yè)數(shù)據(jù)分級(jí)示例分級(jí)示例(從高到低)利益、低損害、輕無(wú)損害、客戶(hù)輕微、無(wú)4(極高)、3(高)、2(中)、1(低)/據(jù)來(lái)源：數(shù)據(jù)安全推進(jìn)計(jì)劃((六)第六步：形成分類(lèi)分級(jí)目錄基于上述工作，組織還需形成整體的數(shù)據(jù)分類(lèi)分級(jí)目錄，明確數(shù)據(jù)類(lèi)別和級(jí)別的對(duì)應(yīng)關(guān)系，為各部門(mén)落實(shí)數(shù)據(jù)分類(lèi)分級(jí)工作提供依據(jù)。金融機(jī)構(gòu)典型數(shù)據(jù)分類(lèi)分級(jí)目錄如圖11所示。((七)第七步：制定數(shù)據(jù)安全策略在完成數(shù)據(jù)分類(lèi)定級(jí)的基礎(chǔ)上，還需要依據(jù)國(guó)家及行業(yè)領(lǐng)域給出的安全保護(hù)要求，建立數(shù)據(jù)分類(lèi)分級(jí)保護(hù)策略，對(duì)數(shù)據(jù)實(shí)施全流程分類(lèi)分級(jí)管理和保護(hù)。如某電信運(yùn)營(yíng)商建立了如表7所示的數(shù)據(jù)分類(lèi)分級(jí)保護(hù)要求映射表。數(shù)據(jù)安全治理實(shí)踐指南2.0來(lái)源：中國(guó)人民銀行圖11金融業(yè)機(jī)構(gòu)典型數(shù)據(jù)定級(jí)規(guī)則示例表7數(shù)據(jù)分類(lèi)分級(jí)保護(hù)要求映射表示例123451VVVVVVVVVVV來(lái)源：數(shù)據(jù)安全推進(jìn)計(jì)劃數(shù)據(jù)安全治理實(shí)踐指南2.0五、數(shù)據(jù)安全治理總結(jié)與展望根據(jù)數(shù)據(jù)安全推進(jìn)計(jì)劃發(fā)布的《2022年數(shù)據(jù)安全行業(yè)調(diào)研報(bào)告》，六成以上參與調(diào)研的需求側(cè)企業(yè)在制度文件編制、合規(guī)工作開(kāi)展、技術(shù)工具部署等方面推進(jìn)了相關(guān)工作。由此看出，隨著數(shù)據(jù)安全合規(guī)要求的逐步完善，數(shù)據(jù)安全治理工作正在高速發(fā)展、有力推進(jìn)。未來(lái)：政策引領(lǐng)與戰(zhàn)略自驅(qū)齊頭并進(jìn)，推進(jìn)數(shù)據(jù)安全治理不斷深入。根據(jù)調(diào)研，“合規(guī)需求”、“防范數(shù)據(jù)安全風(fēng)險(xiǎn)”、“企業(yè)自身發(fā)展需要”是組織開(kāi)展數(shù)據(jù)安全能力建設(shè)的主要驅(qū)動(dòng)因素。這說(shuō)明，一方面，政策驅(qū)動(dòng)的合規(guī)需求對(duì)組織數(shù)據(jù)安全建設(shè)具有強(qiáng)推進(jìn)作用；另一方面，保障數(shù)據(jù)安全在推動(dòng)業(yè)務(wù)健康運(yùn)營(yíng)方面的重要作用愈加明顯。因此，政策引領(lǐng)的外部驅(qū)動(dòng)與發(fā)展戰(zhàn)略的內(nèi)部驅(qū)動(dòng)將成為數(shù)據(jù)安全治理工作不斷深入的助推劑。數(shù)據(jù)驅(qū)動(dòng)的業(yè)務(wù)發(fā)展，激勵(lì)數(shù)據(jù)安全治理組織從“有型”到“有效”。根據(jù)數(shù)據(jù)安全推進(jìn)計(jì)劃發(fā)布的《2022年數(shù)據(jù)安全行業(yè)調(diào)研報(bào)告》，98.2%的受訪者建立了專(zhuān)門(mén)的數(shù)據(jù)安全牽頭管理團(tuán)隊(duì)，數(shù)據(jù)安全治理組織架構(gòu)逐漸明晰。但由于數(shù)據(jù)與業(yè)務(wù)密切相關(guān)，其在實(shí)時(shí)產(chǎn)生及流動(dòng)過(guò)程中涉及的主體很多，導(dǎo)致數(shù)據(jù)安全主體責(zé)任邊界的實(shí)際劃分及管理仍然存在較大挑戰(zhàn)，如何在不同部門(mén)之間建立有效溝通機(jī)制，保障業(yè)務(wù)的安全合規(guī)開(kāi)展是下一步關(guān)注重點(diǎn)。數(shù)據(jù)安全風(fēng)險(xiǎn)治理能力的建設(shè)與提升，成為數(shù)據(jù)安全治理的重要組成。由于數(shù)據(jù)本身具備流動(dòng)性、泛在性等特點(diǎn)，過(guò)長(zhǎng)的流轉(zhuǎn)鏈條、過(guò)大的威脅暴露面、過(guò)多的數(shù)據(jù)處理活動(dòng)等，都為數(shù)據(jù)安全風(fēng)險(xiǎn)管控帶來(lái)挑戰(zhàn)，并進(jìn)一步影響到數(shù)據(jù)安全治理的整體成效。為了進(jìn)一步防范數(shù)據(jù)泄露、數(shù)據(jù)篡改等安全事件的發(fā)生，落實(shí)數(shù)據(jù)安全風(fēng)險(xiǎn)的源頭管控，常態(tài)化數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估提上日程，基于風(fēng)險(xiǎn)的治理能力建設(shè)與提升也成為數(shù)據(jù)安全治理工作的重要組成部分。第三方數(shù)據(jù)安全評(píng)估認(rèn)證作為提升數(shù)據(jù)安全治理能力的主要抓手，將被更多行業(yè)組織引入。在國(guó)家層面的支持下，第三方數(shù)據(jù)安全評(píng)估、認(rèn)證服務(wù)市場(chǎng)正在蓬勃發(fā)展。中國(guó)信息通信研究院推出的首款市場(chǎng)化數(shù)據(jù)安全治理能力評(píng)估服務(wù)，自2020年進(jìn)入市場(chǎng)以來(lái)，共完成了4批次43家組織機(jī)構(gòu)的評(píng)估，廣受好評(píng)。同時(shí)，國(guó)家市場(chǎng)監(jiān)督管理總局與國(guó)家互聯(lián)網(wǎng)信息辦公室推出的數(shù)據(jù)安全管理認(rèn)證、個(gè)人信息保護(hù)認(rèn)證等工作也在穩(wěn)步推進(jìn)。越來(lái)越多的行業(yè)組織將通過(guò)引入第三方評(píng)估認(rèn)證工作，持續(xù)優(yōu)化自身數(shù)據(jù)安全治理能力。數(shù)據(jù)安全治理實(shí)踐指南2.0附錄：數(shù)據(jù)安全治理實(shí)踐案例((一)華泰證券股份有限公司1.建設(shè)思路 (1)厘清數(shù)據(jù)安全風(fēng)險(xiǎn)，明確安全治理方向證券行業(yè)是產(chǎn)生和積累數(shù)據(jù)量最大、數(shù)據(jù)類(lèi)型最豐富的領(lǐng)域之一，隨著證券行業(yè)數(shù)字化轉(zhuǎn)型、深化，證券業(yè)數(shù)據(jù)有著更加廣泛的應(yīng)用場(chǎng)景、應(yīng)用范圍，有著更高的應(yīng)據(jù)攻擊、數(shù)據(jù)權(quán)限濫用等安全問(wèn)題也層出不窮。如何更加安全地保障企業(yè)的數(shù)字化轉(zhuǎn)型，降低數(shù)據(jù)安全風(fēng)險(xiǎn)，釋放數(shù)據(jù)價(jià)值，成為了諸多轉(zhuǎn)型企業(yè)中的重點(diǎn)工作。面對(duì)新形勢(shì)帶來(lái)的安全挑戰(zhàn)，華泰證券積極應(yīng)對(duì)，從外部攻擊風(fēng)險(xiǎn)、內(nèi)部數(shù)據(jù)濫用風(fēng)險(xiǎn)、外部渠道數(shù)據(jù)泄露風(fēng)險(xiǎn)三個(gè)方面，厘清當(dāng)前面臨的數(shù)據(jù)安全風(fēng)險(xiǎn)，梳理的風(fēng)險(xiǎn)點(diǎn)覆蓋管理體系、制度流程、技術(shù)手段、運(yùn)營(yíng)機(jī)制四個(gè)層面。面對(duì)上述的數(shù)據(jù)安全風(fēng)險(xiǎn)，華泰證券開(kāi)展了新一輪的數(shù)據(jù)安全治理工作。從完善數(shù)據(jù)安全制度管理體系、建立數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估機(jī)制、建設(shè)分層分級(jí)的數(shù)據(jù)權(quán)限管控體系、提升數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)和響應(yīng)能力、強(qiáng)化外部渠道數(shù)據(jù)泄露跟蹤調(diào)查能力五個(gè)方面著手，全方位保護(hù)公司重要數(shù)據(jù)資產(chǎn)以及客戶(hù)信息，為公司數(shù)字化轉(zhuǎn)型保駕護(hù)航。 (2)構(gòu)建數(shù)據(jù)安全治理體系，夯實(shí)數(shù)字化轉(zhuǎn)型基礎(chǔ)華泰證券從頂層明確公司數(shù)據(jù)安全管理戰(zhàn)略，強(qiáng)化公司數(shù)據(jù)安全管理體系，以貫徹國(guó)家網(wǎng)絡(luò)空間安全戰(zhàn)略、滿(mǎn)足政策合規(guī)要求、統(tǒng)籌全體系數(shù)據(jù)安全為目標(biāo)，推進(jìn)公司整體安全管控水平不斷提升，為業(yè)務(wù)發(fā)展保駕護(hù)航。華泰證券以數(shù)字化轉(zhuǎn)型戰(zhàn)略為指引，以數(shù)據(jù)安全管理為保障，以技術(shù)體系為支撐，建立了覆蓋數(shù)據(jù)全生命周期的企業(yè)級(jí)數(shù)據(jù)安全治理體系，如圖12所示。華泰證券對(duì)標(biāo)國(guó)家行業(yè)標(biāo)準(zhǔn)，并結(jié)合自身數(shù)據(jù)安全戰(zhàn)略、數(shù)據(jù)安全管理體系，建立了基于數(shù)據(jù)全生命周期的數(shù)據(jù)安全管理三層框架體系，從管控層、技術(shù)支撐層、運(yùn)營(yíng)層三個(gè)維度開(kāi)展數(shù)據(jù)全生命周期安全管理工作。數(shù)據(jù)安全治理實(shí)踐指南2.0 (3)共享行業(yè)經(jīng)驗(yàn)，共建數(shù)據(jù)安全生態(tài)華泰證券作為數(shù)據(jù)安全推進(jìn)計(jì)劃成員單位，積極參與行業(yè)數(shù)據(jù)安全交流，分享數(shù)據(jù)安全治理經(jīng)驗(yàn)，參加業(yè)界數(shù)據(jù)安全相關(guān)標(biāo)準(zhǔn)建設(shè)工作，如參與編寫(xiě)《證券期貨業(yè)數(shù)據(jù)安全風(fēng)險(xiǎn)防控?cái)?shù)據(jù)分類(lèi)分級(jí)指引》，共同推進(jìn)行業(yè)數(shù)據(jù)安全生態(tài)建設(shè)。來(lái)源：華泰證券圖12華泰證券數(shù)據(jù)安全治理體系2.治理實(shí)踐及亮點(diǎn)華泰證券嚴(yán)格按照國(guó)家《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》等法律法規(guī)、行業(yè)規(guī)范和監(jiān)管規(guī)定，落實(shí)數(shù)據(jù)安全相關(guān)工作，通過(guò)建立健全數(shù)據(jù)安全管理機(jī)制，基于“制度、組織、人員、技術(shù)”為核心的管理框架，規(guī)范數(shù)據(jù)處理活動(dòng)，強(qiáng)化公司經(jīng)營(yíng)活動(dòng)中相關(guān)數(shù)據(jù)處理的合法合規(guī)性，從數(shù)據(jù)安全管理體系、數(shù)據(jù)安全技術(shù)體系、數(shù)據(jù)安全運(yùn)營(yíng)體系等方面推進(jìn)數(shù)據(jù)安全治理實(shí)踐，打造證券行業(yè)數(shù)據(jù)安全治理標(biāo)桿。 (1)建立規(guī)范化的數(shù)據(jù)安全管理體系華泰證券從數(shù)據(jù)安全組織架構(gòu)、數(shù)據(jù)安全制度體系兩個(gè)方面開(kāi)展數(shù)據(jù)安全治理工作，以滿(mǎn)足監(jiān)管要求以及風(fēng)險(xiǎn)管理需要。組織架構(gòu)方面，華泰證券建立了完備的數(shù)據(jù)安全組織架構(gòu)體系，設(shè)立公司數(shù)據(jù)治理委員會(huì)，在經(jīng)營(yíng)管理層的領(lǐng)導(dǎo)下，負(fù)責(zé)統(tǒng)籌和領(lǐng)導(dǎo)數(shù)據(jù)安全工作；數(shù)據(jù)治理委員會(huì)下轄數(shù)據(jù)安全與個(gè)人信息保護(hù)工作小組，由信息技術(shù)部門(mén)、業(yè)務(wù)部門(mén)、合規(guī)風(fēng)控部門(mén)派員參與，多部門(mén)協(xié)同推進(jìn)數(shù)據(jù)安全工作，將數(shù)據(jù)安全責(zé)任落實(shí)到每個(gè)部門(mén)、每個(gè)業(yè)務(wù)、數(shù)據(jù)安全治理實(shí)踐指南2.0每個(gè)系統(tǒng)和每個(gè)員工。加強(qiáng)數(shù)據(jù)安全人才培養(yǎng)，建立起一支具備數(shù)據(jù)安全管理、數(shù)據(jù)安全建設(shè)、數(shù)據(jù)安全運(yùn)營(yíng)等專(zhuān)業(yè)安全能力的自有人才隊(duì)伍。制度體系方面，華泰證券深入研究國(guó)家關(guān)于數(shù)據(jù)安全、個(gè)人信息保護(hù)相關(guān)的法律法規(guī)和標(biāo)準(zhǔn)，結(jié)合公司實(shí)際情況，建立了公司的數(shù)據(jù)安全三層制度體系，包括：頂層的公司級(jí)數(shù)據(jù)安全管理辦法、圍繞數(shù)據(jù)全生命周期的安全管理規(guī)范、以及細(xì)化的各類(lèi)數(shù)據(jù)安全細(xì)則，對(duì)數(shù)據(jù)安全管理職責(zé)分工、數(shù)據(jù)全生命周期安全保護(hù)要求、個(gè)人信息保護(hù)要求、數(shù)據(jù)安全實(shí)施細(xì)則等進(jìn)行了明確，實(shí)現(xiàn)對(duì)數(shù)據(jù)全生命周期安全防護(hù)保障以及對(duì)數(shù)據(jù)安全管理和運(yùn)營(yíng)的支撐。 (2)建設(shè)覆蓋數(shù)據(jù)全生命周期的數(shù)據(jù)安全技術(shù)體系華泰證券以防范外部數(shù)據(jù)竊取、防范內(nèi)部數(shù)據(jù)濫用和防范外部渠道泄露為抓手，依托數(shù)據(jù)安全可視化能力、數(shù)據(jù)安全運(yùn)營(yíng)能力、數(shù)據(jù)安全平臺(tái)能力，構(gòu)建如圖13所示的公司數(shù)據(jù)安全三層技術(shù)體系，進(jìn)一步加強(qiáng)數(shù)據(jù)安全保護(hù)能力，防范信息泄露。來(lái)源：華泰證券圖13華泰證券數(shù)據(jù)安全技術(shù)體系成風(fēng)險(xiǎn)識(shí)別、安全評(píng)估、安全防御、安全監(jiān)測(cè)、安全響應(yīng)五大服務(wù)能力。數(shù)據(jù)安全運(yùn)營(yíng)能力，包括數(shù)據(jù)安全管理、能力運(yùn)營(yíng)、策略管理、安全事件分析四個(gè)方面。數(shù)據(jù)安全管理方面，通過(guò)深度分析各類(lèi)法律法規(guī)和標(biāo)準(zhǔn)，形成數(shù)據(jù)安全基線和風(fēng)險(xiǎn)矩陣，為能力運(yùn)營(yíng)、策略管理和安全事件分析提供指引。能力運(yùn)營(yíng)方面，基于數(shù)據(jù)安全平臺(tái)能力，開(kāi)展安全評(píng)估、安全監(jiān)測(cè)、安全檢測(cè)和應(yīng)急處置。策略管理方面，根據(jù)公司數(shù)據(jù)安全態(tài)勢(shì)，動(dòng)態(tài)調(diào)整數(shù)據(jù)安全管控策略，保障數(shù)據(jù)安全高效流轉(zhuǎn)。安全事件分析方面，對(duì)數(shù)據(jù)安全告警、數(shù)據(jù)流轉(zhuǎn)記錄、用戶(hù)行為日志等進(jìn)行分析溯源，發(fā)數(shù)據(jù)安全治理實(shí)踐指南2.0現(xiàn)數(shù)據(jù)安全風(fēng)險(xiǎn)。數(shù)據(jù)安全可視化能力，基于數(shù)據(jù)安全平臺(tái)能力和運(yùn)營(yíng)能力，繪制展示公司數(shù)據(jù)地圖、數(shù)據(jù)流向圖，依托態(tài)勢(shì)感知能力展現(xiàn)數(shù)據(jù)安全風(fēng)險(xiǎn)態(tài)勢(shì)、用戶(hù)行為畫(huà)像。 (3)實(shí)施精細(xì)化的數(shù)據(jù)安全運(yùn)營(yíng)體系華泰證券從風(fēng)險(xiǎn)防范、監(jiān)控預(yù)警、應(yīng)急處置三個(gè)方面，構(gòu)建“感知風(fēng)險(xiǎn)、看見(jiàn)威脅、抵御攻擊”的數(shù)據(jù)安全運(yùn)營(yíng)體系，為公司數(shù)字化轉(zhuǎn)型保駕護(hù)航。業(yè)標(biāo)準(zhǔn)、實(shí)踐指南為切入點(diǎn)，將數(shù)據(jù)安全評(píng)估過(guò)程嵌入業(yè)務(wù)原有生產(chǎn)流程并在早期介入風(fēng)險(xiǎn)管理，降低業(yè)務(wù)數(shù)據(jù)安全風(fēng)險(xiǎn)，如圖14所示。來(lái)源：華泰證券圖14數(shù)據(jù)安全評(píng)估基線化方案監(jiān)控預(yù)警，依托數(shù)據(jù)安全技術(shù)體系，動(dòng)態(tài)監(jiān)控公司內(nèi)部跨網(wǎng)、跨域、跨實(shí)體流轉(zhuǎn)的數(shù)據(jù)，實(shí)時(shí)發(fā)現(xiàn)數(shù)據(jù)安全威脅并預(yù)警，快速溯源處置安全事件。應(yīng)急處置，建立數(shù)據(jù)安全事件應(yīng)急響應(yīng)機(jī)制，編制應(yīng)急預(yù)案，開(kāi)展應(yīng)急演練，確保事件發(fā)生后可以快速響應(yīng)，及時(shí)恢復(fù)，最大程度上減少損失，并降低事件造成的消極影響。數(shù)據(jù)安全治理實(shí)踐指南2.0((二)中移信息技術(shù)有限公司1.建設(shè)思路為落實(shí)國(guó)家、上級(jí)單位“十四五”規(guī)劃要求，堅(jiān)持營(yíng)造良好數(shù)字生態(tài)，中移信息技術(shù)有限公司啟動(dòng)“十四五”IT領(lǐng)域數(shù)據(jù)安全發(fā)展規(guī)劃制定工作。主要包含7大能力，1個(gè)黨建引領(lǐng)保障，31項(xiàng)關(guān)鍵任務(wù)，以加強(qiáng)基礎(chǔ)保障能力建設(shè)、安全系統(tǒng)建設(shè)。并且梳理總結(jié)了9個(gè)發(fā)力點(diǎn)，分別是構(gòu)建網(wǎng)絡(luò)安全態(tài)勢(shì)監(jiān)測(cè)與感知體系、加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)、增強(qiáng)統(tǒng)一調(diào)度指揮能力、強(qiáng)化安全融合保障、遵從網(wǎng)絡(luò)安全法規(guī)、提升新型數(shù)字基礎(chǔ)設(shè)施安全管理水平、完善技術(shù)手段建設(shè)、強(qiáng)化數(shù)據(jù)安全保護(hù)、加大核心技術(shù)安全可控。如圖15所示，公司通過(guò)結(jié)合IPDRR的安全框架和數(shù)據(jù)全生命周期的治理理念，來(lái)貫徹十四五規(guī)劃，并且通過(guò)整合IT安全能力，全面構(gòu)建了數(shù)據(jù)安全全生命周期的能力體系，實(shí)現(xiàn)數(shù)據(jù)安全的可管可控。在數(shù)據(jù)采集、傳輸、存儲(chǔ)、使用、共享、銷(xiāo)毀各個(gè)環(huán)節(jié)部署相應(yīng)的安全技術(shù)，并對(duì)全流程進(jìn)行持續(xù)監(jiān)測(cè)、違規(guī)分析及告警處置。來(lái)源：中移信息技術(shù)有限公司圖15中移信息數(shù)據(jù)安全全生命周期能力體系數(shù)據(jù)安全治理實(shí)踐指南2.02.治理實(shí)踐公司通過(guò)組織架構(gòu)、制度流程、技術(shù)體系等方面作為抓手，落實(shí)“十四五”安全戰(zhàn)略規(guī)劃。在組織架構(gòu)方面，公司設(shè)立安全管理中心，負(fù)責(zé)統(tǒng)籌安全規(guī)劃、建設(shè)安全平臺(tái)、監(jiān)督安全工作、考核執(zhí)行情況，如圖16所示。各個(gè)業(yè)務(wù)部門(mén)依據(jù)安全管理中心的要求，設(shè)立專(zhuān)人專(zhuān)崗負(fù)責(zé)數(shù)據(jù)安全管理、安全審計(jì)、系統(tǒng)管理及應(yīng)用管理。2018年，為了推進(jìn)安全工作部署和落實(shí)，中移信息技術(shù)有限公司成立網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組，領(lǐng)導(dǎo)小組包括公司高層領(lǐng)導(dǎo)，辦公室設(shè)在安全管理中心。根據(jù)《數(shù)據(jù)安全管理辦法》，網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組兼顧數(shù)據(jù)安全領(lǐng)導(dǎo)職責(zé)。來(lái)源：中移信息技術(shù)有限公司圖16中移信息數(shù)據(jù)安全組織架構(gòu)在制度流程方面，公司依據(jù)法律法規(guī)、監(jiān)管要求、行業(yè)要求、業(yè)務(wù)數(shù)據(jù)安全需求和數(shù)據(jù)安全風(fēng)險(xiǎn)控制需要等幾個(gè)方面進(jìn)行梳理，確定數(shù)據(jù)安全防護(hù)的目標(biāo)、管理策略及具體的標(biāo)準(zhǔn)、規(guī)范、制度等，實(shí)現(xiàn)定責(zé)到人的管理機(jī)制。針對(duì)各個(gè)領(lǐng)域的安全管控制定了安全制度和流程規(guī)范，并建立了制度匯編模塊展示公司的總體制度建設(shè)，全體人員可查閱，如圖17所示。數(shù)據(jù)安全治理實(shí)踐指南2.0來(lái)源：中移信息技術(shù)有限公司圖17中移信息數(shù)據(jù)安全制度體系在技術(shù)體系方面，公司參照數(shù)據(jù)全生命周期安全管控的理念建設(shè)安全能力平臺(tái)，構(gòu)建數(shù)據(jù)安全技術(shù)支撐體系，如圖18所示。遵循對(duì)不同級(jí)別的數(shù)據(jù)進(jìn)行分級(jí)管控的原則，將安全技術(shù)體系貫穿數(shù)據(jù)全生命周期的6個(gè)階段，實(shí)現(xiàn)數(shù)據(jù)安全保護(hù)目標(biāo)。來(lái)源：中移信息技術(shù)有限公司圖18中移信息數(shù)據(jù)安全技術(shù)體系3.實(shí)踐亮點(diǎn)亮點(diǎn)一：如圖19所示，為了打造安全的數(shù)據(jù)環(huán)境，保證數(shù)據(jù)在流動(dòng)過(guò)程中時(shí)刻可以被管控，公司以數(shù)據(jù)分類(lèi)分級(jí)作為治理基礎(chǔ)，建立了事前主動(dòng)納入、事中自動(dòng)發(fā)現(xiàn)、事后人工核查的閉環(huán)管理機(jī)制，實(shí)現(xiàn)數(shù)據(jù)在使用過(guò)程中自動(dòng)化完成分級(jí)分類(lèi)及敏感數(shù)據(jù)的流轉(zhuǎn)監(jiān)控。同時(shí)，建立了基于數(shù)據(jù)分類(lèi)分級(jí)機(jī)制和數(shù)據(jù)流轉(zhuǎn)流量分析的數(shù)據(jù)治理數(shù)據(jù)安全治理實(shí)踐指南2.0平臺(tái)和數(shù)據(jù)安全管控平臺(tái)，達(dá)到數(shù)據(jù)標(biāo)簽明確化，數(shù)據(jù)使用可控化的目標(biāo)。來(lái)源：中移信息技術(shù)有限公司圖19中移信息數(shù)據(jù)流動(dòng)安全閉環(huán)管理機(jī)制亮點(diǎn)二：如圖20所示，為了保證數(shù)據(jù)靜態(tài)安全，公司對(duì)存儲(chǔ)的全量數(shù)據(jù)敏感字段進(jìn)行加密處理，采用國(guó)密SM4等算法實(shí)現(xiàn)靜態(tài)加密，全部四級(jí)敏感表以及個(gè)人信息字段均完成加密存儲(chǔ)。在密鑰管控工作中，遵循隱私保密原則，按需實(shí)時(shí)請(qǐng)求、不落地，進(jìn)一步提升系統(tǒng)安全。數(shù)據(jù)在存儲(chǔ)使用及對(duì)外共享使用過(guò)程中也嚴(yán)格遵循以下原則：①保證數(shù)據(jù)需求通過(guò)嚴(yán)格的審批流程后，脫敏處理提供；②為了保證數(shù)據(jù)安全，大數(shù)據(jù)存儲(chǔ)按分類(lèi)分級(jí)標(biāo)準(zhǔn)，依據(jù)不同數(shù)據(jù)敏感等級(jí)進(jìn)行差異化加密處理。來(lái)源：中移信息技術(shù)有限公司圖20中移信息數(shù)據(jù)靜態(tài)安全管理機(jī)制數(shù)據(jù)安全治理實(shí)踐指南2.0亮點(diǎn)三：公司建設(shè)了如圖21所示的共享操作實(shí)時(shí)管控體系，使用實(shí)時(shí)監(jiān)控技術(shù)手段，建立數(shù)據(jù)下載行為分析引擎，實(shí)現(xiàn)對(duì)涉敏數(shù)據(jù)下載實(shí)時(shí)監(jiān)控、高風(fēng)險(xiǎn)操作實(shí)時(shí)告警能力。同時(shí)，規(guī)范監(jiān)控運(yùn)營(yíng)機(jī)制，組建涉敏數(shù)據(jù)下載監(jiān)控運(yùn)營(yíng)團(tuán)隊(duì)，實(shí)現(xiàn)告警、確認(rèn)、處置全流程的閉環(huán)運(yùn)營(yíng)模式，確保高風(fēng)險(xiǎn)操作得到及時(shí)排查和處置，提升數(shù)據(jù)下載(共享)環(huán)節(jié)的數(shù)據(jù)安全治理能力。來(lái)源：中移信息技術(shù)有限公司圖21中移信息數(shù)據(jù)共享實(shí)時(shí)管控平臺(tái)數(shù)據(jù)安全治理實(shí)踐指南2.0((三)中國(guó)聯(lián)通廣東省分公司1.建設(shè)思路廣東聯(lián)通以合法合規(guī)、安全使用為驅(qū)動(dòng)，強(qiáng)化對(duì)內(nèi)對(duì)外數(shù)據(jù)安全管控，分階段規(guī)劃構(gòu)建“組織、管理、技術(shù)、運(yùn)營(yíng)”數(shù)據(jù)安全體系并不斷完善。通過(guò)對(duì)數(shù)據(jù)全生命周期的防護(hù)，實(shí)現(xiàn)端到端的數(shù)據(jù)安全治理。總體分三個(gè)階段建設(shè)數(shù)據(jù)安全體系：?第一階段為“基礎(chǔ)建設(shè)”，通過(guò)規(guī)劃數(shù)據(jù)安全治理體系，組建數(shù)據(jù)安全組織，建設(shè)基礎(chǔ)數(shù)據(jù)安全能力，夯實(shí)防護(hù)體系底座基礎(chǔ)；?第二階段為“能力升級(jí)”，通過(guò)升級(jí)數(shù)據(jù)安全一體化運(yùn)營(yíng)平臺(tái)能力，逐步加強(qiáng)數(shù)據(jù)安全能力覆蓋，實(shí)現(xiàn)基本完整的運(yùn)營(yíng)閉環(huán)；?第三階段為“優(yōu)化運(yùn)營(yíng)”，通過(guò)完善數(shù)據(jù)安全運(yùn)營(yíng)體系，實(shí)現(xiàn)數(shù)據(jù)安全指標(biāo)精細(xì)化運(yùn)營(yíng)。在治理過(guò)程中，對(duì)內(nèi)專(zhuān)注于規(guī)范數(shù)據(jù)使用處理全流程，落實(shí)看數(shù)用數(shù)過(guò)程中數(shù)據(jù)分類(lèi)分級(jí)管控各項(xiàng)安全措施；以及對(duì)數(shù)據(jù)要素賦能生產(chǎn)，數(shù)據(jù)服務(wù)過(guò)程構(gòu)建安全防護(hù)體系。對(duì)外專(zhuān)注于數(shù)據(jù)對(duì)外合作的安全管控以及個(gè)人隱私保護(hù)。廣東聯(lián)通的數(shù)據(jù)安全治理，在組織層面，嵌入廣東聯(lián)通數(shù)據(jù)治理組織架構(gòu)，構(gòu)建了自上而下的數(shù)據(jù)安全治理組織，明確部門(mén)職責(zé)分工、對(duì)人員定責(zé)定崗；在管理方面，承接集團(tuán)數(shù)據(jù)安全要求，形成四級(jí)管理制度體系；在技術(shù)體系方面，廣東聯(lián)通使用集團(tuán)集約化數(shù)安能力，結(jié)合省分自建數(shù)安能力，搭建對(duì)內(nèi)對(duì)外的數(shù)據(jù)安全防護(hù)體系；在安全運(yùn)營(yíng)層面，通過(guò)“作業(yè)本”方式跟蹤數(shù)據(jù)安全任務(wù)，結(jié)合考核與激勵(lì)的管理措施，逐步實(shí)現(xiàn)數(shù)據(jù)安全精細(xì)化運(yùn)營(yíng)。2.治理實(shí)踐 (1)構(gòu)建數(shù)據(jù)安全治理框架廣東聯(lián)通綜合業(yè)界最佳的數(shù)據(jù)安全框架，依據(jù)集團(tuán)公司戰(zhàn)略與數(shù)據(jù)戰(zhàn)略目標(biāo)，制定數(shù)據(jù)安全治理戰(zhàn)略。在戰(zhàn)略指導(dǎo)下，建立如圖22所示的一體化數(shù)據(jù)安全治理體系，即從數(shù)據(jù)安全組織、管理體系、技術(shù)體系到安全運(yùn)營(yíng)，提高廣東聯(lián)通數(shù)據(jù)安全管理及、可控，保障數(shù)據(jù)安全有序流動(dòng)，如圖22所示。數(shù)據(jù)安全治理實(shí)踐指南2.0來(lái)源：廣東聯(lián)通圖22廣東聯(lián)通數(shù)據(jù)安全體系框架 (2)建立健全數(shù)據(jù)安全治理體系以組織架構(gòu)為保障，通過(guò)建立健全數(shù)據(jù)安全管理體系、數(shù)據(jù)安全技術(shù)體系和數(shù)據(jù)安全運(yùn)營(yíng)體系，推動(dòng)數(shù)據(jù)安全治理。推進(jìn)數(shù)據(jù)安全工作，下設(shè)數(shù)據(jù)安全專(zhuān)項(xiàng)組，由管理組、業(yè)務(wù)組、對(duì)外合作組、技術(shù)組、隱私保護(hù)安全合規(guī)組、監(jiān)督組6個(gè)小組構(gòu)成，合力推動(dòng)數(shù)據(jù)安全全面落地。完善數(shù)據(jù)安全管理體系。廣東聯(lián)通依據(jù)國(guó)家、行業(yè)主管部門(mén)的數(shù)據(jù)安全相關(guān)法律法規(guī)與標(biāo)準(zhǔn)規(guī)范及聯(lián)通集團(tuán)相關(guān)數(shù)據(jù)安全要求，逐步構(gòu)建四級(jí)數(shù)據(jù)安全制度體系，覆蓋了數(shù)據(jù)全生命周期及數(shù)據(jù)分類(lèi)分級(jí)、基礎(chǔ)安全等各方面要求。健全數(shù)據(jù)安全技術(shù)體系。廣東聯(lián)通數(shù)據(jù)安全技術(shù)體系以數(shù)據(jù)識(shí)別、數(shù)據(jù)加密、數(shù)礎(chǔ)，圍繞數(shù)據(jù)全生命周期安全需求，在集團(tuán)能力基礎(chǔ)上構(gòu)建省分集約化數(shù)據(jù)安全能力，實(shí)現(xiàn)數(shù)據(jù)安全立體化防護(hù)。同時(shí)，積極研究并逐步推動(dòng)建立隱私計(jì)算平臺(tái)，探索個(gè)人隱私數(shù)據(jù)對(duì)外協(xié)同數(shù)據(jù)處理時(shí)合規(guī)防護(hù)，確保用戶(hù)隱私數(shù)據(jù)安全。完善數(shù)據(jù)安全運(yùn)營(yíng)體系。廣東聯(lián)通以安全合規(guī)需求為驅(qū)動(dòng)，組建SOC，構(gòu)建了圍繞數(shù)據(jù)感知、風(fēng)險(xiǎn)感知、安全合規(guī)、事件管理四個(gè)方面的運(yùn)營(yíng)體系，制定了安全實(shí)施、安全意識(shí)、數(shù)據(jù)保護(hù)、安全事件、敏感數(shù)據(jù)擴(kuò)散五項(xiàng)運(yùn)營(yíng)指標(biāo)，運(yùn)用恰當(dāng)?shù)陌踩夹g(shù)和管理手段，整合人、技術(shù)、流程，持續(xù)降低數(shù)據(jù)安全風(fēng)險(xiǎn)。依據(jù)運(yùn)營(yíng)指標(biāo)結(jié)果，廣東聯(lián)通不斷優(yōu)化總結(jié)運(yùn)營(yíng)內(nèi)容，提升數(shù)據(jù)安全運(yùn)營(yíng)能力，為數(shù)據(jù)持續(xù)性提供安全防護(hù)。數(shù)據(jù)安全治理實(shí)踐指南2.03.實(shí)踐亮點(diǎn)亮點(diǎn)一：全面梳理和重塑工號(hào)實(shí)名管理的規(guī)范流程，打造基于身份證唯一標(biāo)識(shí)的“實(shí)名認(rèn)證、分級(jí)授權(quán)、日志溯源”，實(shí)現(xiàn)人臉識(shí)別、操作留痕、審計(jì)追溯，消除工號(hào)借用、盜用、越權(quán)等隱患。100%實(shí)人登錄，對(duì)異常工號(hào)行為進(jìn)行監(jiān)控，逐步實(shí)現(xiàn)工號(hào)數(shù)字化規(guī)范化管理。目前已納管199套系統(tǒng)進(jìn)行工號(hào)持續(xù)安全運(yùn)營(yíng)，清理不合規(guī)工號(hào)28萬(wàn)多個(gè)，回收高權(quán)限工號(hào)1000多個(gè)，4套系統(tǒng)啟動(dòng)“活體+賬號(hào)口令”登錄，33套系統(tǒng)啟動(dòng)“短信驗(yàn)證碼+賬號(hào)口令”登錄，已設(shè)計(jì)42項(xiàng)安全指標(biāo)周期性運(yùn)營(yíng)，有效保障了工號(hào)權(quán)限數(shù)據(jù)安全。亮點(diǎn)二：針對(duì)IT系統(tǒng)多，且對(duì)用戶(hù)基礎(chǔ)數(shù)據(jù)調(diào)用服務(wù)需求大，以及業(yè)務(wù)發(fā)展、數(shù)據(jù)分析、運(yùn)營(yíng)等訪問(wèn)敏感數(shù)據(jù)的頻繁需求,啟動(dòng)數(shù)據(jù)服務(wù)安全項(xiàng)目，確保數(shù)據(jù)服務(wù)涉及的數(shù)據(jù)調(diào)用、數(shù)據(jù)使用安全。如圖23，依托集團(tuán)數(shù)據(jù)中臺(tái)和天擎能力商店，構(gòu)建省分?jǐn)?shù)據(jù)能力開(kāi)放平臺(tái)，統(tǒng)一提供基礎(chǔ)數(shù)據(jù)調(diào)用服務(wù)。通過(guò)應(yīng)用系統(tǒng)注冊(cè)審批、賬號(hào)身份校驗(yàn)、賬號(hào)稽查稽核，并進(jìn)行接口實(shí)時(shí)監(jiān)控審計(jì)，確保數(shù)據(jù)調(diào)用安全；2022年累計(jì)提供數(shù)據(jù)能力調(diào)用6千萬(wàn)次。同時(shí)，建設(shè)自助工具平臺(tái)，并建立OA審批、DLP加解密及溯源聯(lián)動(dòng)機(jī)制對(duì)內(nèi)部提供批量數(shù)據(jù)分析需求，批量敏感數(shù)據(jù)限制特定云終端訪問(wèn)并限制向外傳輸，以此確保數(shù)據(jù)使用安全；目前已累計(jì)提供批量數(shù)據(jù)使用需求17萬(wàn)次。通過(guò)項(xiàng)目實(shí)施，確保了數(shù)據(jù)服務(wù)100%合規(guī)、安全。來(lái)源：廣東聯(lián)通圖23廣東聯(lián)通數(shù)據(jù)服務(wù)安全體系數(shù)據(jù)安全治理實(shí)踐指南2.01.建設(shè)思路吉利汽車(chē)對(duì)企業(yè)內(nèi)部數(shù)據(jù)進(jìn)行了全面劃分，以經(jīng)營(yíng)數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)、個(gè)人數(shù)據(jù)、汽車(chē)數(shù)據(jù)等基礎(chǔ)分類(lèi)，對(duì)結(jié)構(gòu)化數(shù)據(jù)、非結(jié)構(gòu)化數(shù)據(jù)等進(jìn)行了類(lèi)型定義，制定以數(shù)據(jù)為中心的全生命周期的管控策略，企業(yè)數(shù)據(jù)安全治理的框架。以業(yè)務(wù)風(fēng)險(xiǎn)場(chǎng)景為導(dǎo)向，將吉利汽車(chē)的數(shù)據(jù)安全現(xiàn)狀進(jìn)行了細(xì)致梳理，從組織人員、制度流程、文化意識(shí)、安全管理活動(dòng)、技術(shù)管控措施5個(gè)方面進(jìn)行全局規(guī)劃，制定了“體系流程標(biāo)準(zhǔn)化、管控能力自動(dòng)化、數(shù)據(jù)安全價(jià)值化”三步走的數(shù)據(jù)安全目標(biāo)和實(shí)施路徑，如圖24所示。來(lái)源：吉利汽車(chē)圖24吉利汽車(chē)集團(tuán)數(shù)據(jù)安全三步走戰(zhàn)略2.治理實(shí)踐近年來(lái)，各類(lèi)數(shù)據(jù)安全風(fēng)險(xiǎn)逐步上升，吉利汽車(chē)數(shù)據(jù)安全治理方案以法律法規(guī)、行業(yè)標(biāo)準(zhǔn)規(guī)范為依據(jù)，通過(guò)“人、管、技”三個(gè)方面來(lái)推動(dòng)完善，建立一個(gè)完善的組并開(kāi)展螺旋式上升的運(yùn)營(yíng)機(jī)制，從而構(gòu)建“事前防范、事中監(jiān)測(cè)、事后響應(yīng)”全面的安全能力，如圖25所示。數(shù)據(jù)安全治理實(shí)踐指南2.0來(lái)源：吉利汽車(chē)圖25吉利汽車(chē)集團(tuán)數(shù)據(jù)安全治理框架在組織人員管理上，上層組織層面吉利在原有信息安全委員會(huì)下設(shè)了數(shù)據(jù)安全專(zhuān)業(yè)委員會(huì)，獲得領(lǐng)導(dǎo)層的支持和資源保障，并專(zhuān)門(mén)成立了企業(yè)數(shù)據(jù)安全合規(guī)與產(chǎn)品數(shù)據(jù)安全合規(guī)團(tuán)隊(duì)，各業(yè)務(wù)單位配備專(zhuān)兼職的數(shù)據(jù)安全接口人，設(shè)置品牌安全負(fù)責(zé)人，來(lái)推動(dòng)汽車(chē)的數(shù)據(jù)安全治理能力，并持續(xù)推廣運(yùn)營(yíng)，保證各業(yè)務(wù)單位的形成良性的運(yùn)轉(zhuǎn)機(jī)制。在流程制度建設(shè)上，吉利對(duì)ISMS、DSMS、PSMS三套體系進(jìn)行充分融合、求同存異，制定了三套體系一套執(zhí)行標(biāo)準(zhǔn)的“三體一式”管理機(jī)制，并通過(guò)制定數(shù)據(jù)安全管控基線，對(duì)基線進(jìn)行持續(xù)優(yōu)化改善，來(lái)適應(yīng)不同安全環(huán)境，從而構(gòu)建全面的安全體系管理策略。在體系章程、組織人員、事件管理等通用數(shù)據(jù)安全制度上充分沿用已有的信息安全管理制度，在數(shù)據(jù)分類(lèi)分級(jí)、數(shù)據(jù)安全評(píng)估、數(shù)據(jù)共享使用、數(shù)據(jù)跨境合規(guī)等方面將要求進(jìn)行