《數(shù)據(jù)治理 第5部分：數(shù)據(jù)安全治理能力評(píng)估規(guī)范》編制說(shuō)明

《數(shù)據(jù)治理第5部分：一、工作簡(jiǎn)況一）項(xiàng)目背景在新一輪科技革命推動(dòng)下，大數(shù)據(jù)、物聯(lián)網(wǎng)、人工智能、區(qū)塊鏈、5G等正在成為國(guó)際競(jìng)爭(zhēng)制高點(diǎn)，世界各國(guó)把推進(jìn)經(jīng)濟(jì)數(shù)字化作為國(guó)家創(chuàng)新發(fā)展的重要?jiǎng)幽埽跀?shù)字經(jīng)濟(jì)前沿技術(shù)研發(fā)、數(shù)據(jù)開(kāi)放共享、隱私安全保護(hù)、人才培養(yǎng)方面做出前瞻性布局。2020年4月9日，中共中央和國(guó)務(wù)院聯(lián)合發(fā)布《關(guān)于構(gòu)建更加完善的要素市場(chǎng)化配置體制機(jī)制的意見(jiàn)》，首次將“數(shù)據(jù)”與土地、勞動(dòng)力、資本、技術(shù)等傳統(tǒng)要素并列為要素之一，提出要加快培育數(shù)據(jù)要素市場(chǎng)。2022年12月19日，《中共中央國(guó)務(wù)院關(guān)于構(gòu)建數(shù)據(jù)基礎(chǔ)制度更好發(fā)揮數(shù)據(jù)要素作用的意見(jiàn)》（又稱“數(shù)據(jù)二十條”）發(fā)布，從數(shù)據(jù)產(chǎn)權(quán)、流通交易、收益分配、安全治理等方面構(gòu)建數(shù)據(jù)基礎(chǔ)制度，提出20條政策舉措，“數(shù)據(jù)二十條”的出臺(tái)，將充分發(fā)揮中國(guó)海量數(shù)據(jù)規(guī)模和豐富應(yīng)用場(chǎng)景優(yōu)勢(shì)，激活數(shù)據(jù)要素潛能，做強(qiáng)做優(yōu)做大數(shù)字經(jīng)濟(jì)，增強(qiáng)經(jīng)濟(jì)發(fā)展新動(dòng)能。2021年5月13日廣東省人民政府發(fā)布《廣東省人民政府關(guān)于加快數(shù)字化發(fā)展的意見(jiàn)》，提出推動(dòng)廣東省實(shí)體經(jīng)濟(jì)和數(shù)字經(jīng)濟(jì)融合發(fā)展，加快培育技術(shù)和數(shù)據(jù)要素市場(chǎng)，推動(dòng)企業(yè)加速向數(shù)字化、網(wǎng)絡(luò)化、智能化發(fā)展，構(gòu)建以數(shù)據(jù)為關(guān)鍵要素的數(shù)字經(jīng)濟(jì)，運(yùn)用大數(shù)據(jù)、人工智能等技術(shù)提升國(guó)家治理現(xiàn)代化水平，提高感知、預(yù)測(cè)、防范風(fēng)險(xiǎn)的能2021年9月22日廣東省人民政府發(fā)布《廣東省公共數(shù)據(jù)管理辦法》,對(duì)公共數(shù)據(jù)采集、流通、開(kāi)發(fā)利用、安全保障等方面進(jìn)行規(guī)范，是廣東省首部數(shù)據(jù)層面的政府規(guī)章，為規(guī)范公共數(shù)據(jù)管理，促進(jìn)公共數(shù)據(jù)資源開(kāi)發(fā)利用提供了制度保障?！掇k法》的實(shí)施將從公共數(shù)據(jù)資源開(kāi)發(fā)利用、數(shù)據(jù)要素市場(chǎng)化兩方面影響市場(chǎng)主體和產(chǎn)業(yè)發(fā)展。目前，數(shù)據(jù)要素發(fā)展中數(shù)據(jù)治理服務(wù)存在如下問(wèn)題：1.數(shù)據(jù)質(zhì)量參差不齊。在數(shù)據(jù)采集、存儲(chǔ)、處理等環(huán)節(jié)存在不科學(xué)、不規(guī)范等問(wèn)題，導(dǎo)致錯(cuò)誤數(shù)據(jù)、異常數(shù)據(jù)、缺失數(shù)據(jù)等臟數(shù)據(jù)，由于業(yè)務(wù)條線繁雜、業(yè)務(wù)種類多樣，數(shù)據(jù)未實(shí)現(xiàn)共享，導(dǎo)致數(shù)據(jù)存在準(zhǔn)確性和一致性問(wèn)題。2.數(shù)據(jù)安全問(wèn)題日益嚴(yán)峻。數(shù)據(jù)流通交易與隱私保護(hù)的矛盾日益突出，數(shù)據(jù)治理主體安全權(quán)責(zé)不清，存儲(chǔ)管理風(fēng)險(xiǎn)、黑客攻擊、信息泄露風(fēng)險(xiǎn)等安全問(wèn)題頻頻爆發(fā)。3.數(shù)據(jù)安全戰(zhàn)略不清晰。由于缺乏戰(zhàn)略意識(shí)和專業(yè)知識(shí)，沒(méi)有對(duì)數(shù)據(jù)的價(jià)值和敏感程度進(jìn)行全面的評(píng)估，無(wú)法確定需要保護(hù)的數(shù)據(jù)范圍和安全級(jí)別，從而無(wú)法制定出清晰的數(shù)據(jù)安全戰(zhàn)略。4.數(shù)據(jù)全生命周期安全措施不全面。缺乏綜合性的保護(hù)措施，包括訪問(wèn)控制、加密、備份和恢復(fù)、審計(jì)和日志記錄等。5.基礎(chǔ)安全缺乏全面的考慮和規(guī)劃。數(shù)據(jù)安全問(wèn)題涉及到多個(gè)方面，如數(shù)據(jù)內(nèi)外部共享、數(shù)據(jù)分類分級(jí)、合規(guī)管理、合作方管理、監(jiān)控審計(jì)、訪問(wèn)控制、風(fēng)險(xiǎn)和需求分析、安全事件應(yīng)急等。然而，這些方面之間缺乏統(tǒng)籌協(xié)調(diào)，可能會(huì)導(dǎo)致數(shù)據(jù)安全問(wèn)題的出現(xiàn)和加劇。因此，編制本標(biāo)準(zhǔn)的目的是對(duì)數(shù)據(jù)安全戰(zhàn)略規(guī)劃、數(shù)據(jù)安全人員管理、數(shù)據(jù)生命周期安全和基礎(chǔ)安全管理提出規(guī)范，指導(dǎo)行業(yè)數(shù)據(jù)安全治理能力建設(shè)，提高行業(yè)數(shù)據(jù)安全治理能力。編制本標(biāo)準(zhǔn)的意義是貫徹落實(shí)國(guó)家、省、市關(guān)于構(gòu)建數(shù)據(jù)要素市場(chǎng)相關(guān)政策要求，明確數(shù)據(jù)安全戰(zhàn)略規(guī)劃、數(shù)據(jù)安全人員管理、數(shù)據(jù)生命周期安全和基礎(chǔ)安全管理的規(guī)范性要求，推動(dòng)數(shù)據(jù)的開(kāi)放、共享、流通，促進(jìn)以數(shù)據(jù)為關(guān)鍵要素的數(shù)字經(jīng)濟(jì)的健康發(fā)展。二）任務(wù)來(lái)源為規(guī)范數(shù)據(jù)治理服務(wù)的實(shí)施，促進(jìn)數(shù)據(jù)質(zhì)量持續(xù)發(fā)展，廣州賽寶聯(lián)睿信息科技有限公司聯(lián)合中國(guó)聯(lián)合網(wǎng)絡(luò)通信有限公司廣東省分公司、廣東卓啟云鏈科技有限公司聯(lián)合發(fā)起了《數(shù)據(jù)治理第5部分：數(shù)據(jù)安全治理能力評(píng)估規(guī)范》團(tuán)體標(biāo)準(zhǔn)，并邀請(qǐng)中國(guó)聯(lián)合網(wǎng)絡(luò)通信有限公司廣東省分公司、南方電網(wǎng)互聯(lián)網(wǎng)服務(wù)有限公司、廣州中長(zhǎng)康達(dá)信息技術(shù)有限公司等企業(yè)共同參與編制。1.3、主要起草單位本標(biāo)準(zhǔn)主要起草單位：廣州賽寶聯(lián)睿信息科技有限公司、聯(lián)通(廣東）產(chǎn)業(yè)互聯(lián)網(wǎng)有限公司、廣東卓啟云鏈科技有限公司、中國(guó)聯(lián)合網(wǎng)絡(luò)通信有限公司廣東省分公司、南方電網(wǎng)互聯(lián)網(wǎng)服務(wù)有限公司、廣州中長(zhǎng)康達(dá)信息技術(shù)有限公司。1.4、主要工作過(guò)程2023年6月19日，廣東省信息協(xié)會(huì)組織團(tuán)體標(biāo)準(zhǔn)委員會(huì)召開(kāi)會(huì)議，確定《數(shù)據(jù)治理第5部分：數(shù)據(jù)安全治理能力評(píng)估規(guī)范》提案和立項(xiàng)。2023年6月20日，標(biāo)準(zhǔn)編制組成立。2023年7月19日，編制組集中召開(kāi)編制會(huì)議，討論確定標(biāo)準(zhǔn)總體框架和內(nèi)容，并分成3個(gè)小組開(kāi)展編制初稿工作，每月進(jìn)行編制內(nèi)容2023年10月27日，標(biāo)準(zhǔn)編制組在匯德國(guó)際大廈1305室組織討論2023年11月1日，標(biāo)準(zhǔn)編制組完成標(biāo)準(zhǔn)初稿編制，提交廣東省信息協(xié)會(huì)，協(xié)會(huì)組織相關(guān)專家評(píng)審。2023年11月3日，協(xié)會(huì)在匯德國(guó)際大廈1305室組織召開(kāi)專家評(píng)審會(huì)（技術(shù)審查），原則通過(guò)該標(biāo)準(zhǔn)的技術(shù)審查，要求按專家意見(jiàn)進(jìn)一步修改。2023年11月10日，在匯德國(guó)際大廈1305室召開(kāi)標(biāo)準(zhǔn)編制組會(huì)議，對(duì)標(biāo)準(zhǔn)評(píng)審修改稿進(jìn)行討論修改。2023年11月28日，在匯德國(guó)際大廈1305室召開(kāi)專家評(píng)審會(huì)（發(fā)布評(píng)審），專家組同意通過(guò)評(píng)審。接下來(lái)，協(xié)會(huì)將組織召開(kāi)團(tuán)標(biāo)委的專家審定會(huì)，做好發(fā)布該項(xiàng)團(tuán)體標(biāo)準(zhǔn)的相關(guān)工作。二、標(biāo)準(zhǔn)編制原則和主要內(nèi)容的論據(jù)及解決的主要問(wèn)題2.1、編制原則保證能夠覆蓋到數(shù)據(jù)安全治理能力評(píng)估的各個(gè)方面，保證內(nèi)容的完備實(shí)際需求進(jìn)行標(biāo)準(zhǔn)內(nèi)容編制，保證數(shù)據(jù)安全治理能力評(píng)估規(guī)范標(biāo)準(zhǔn)的實(shí)用性。c）創(chuàng)新性原則：本標(biāo)準(zhǔn)從數(shù)據(jù)全生命周期和數(shù)據(jù)基礎(chǔ)安全劃分的各個(gè)環(huán)節(jié)，從人員、過(guò)程、技術(shù)和資源四個(gè)方面提出規(guī)范要求，有一定的創(chuàng)新性。2.2、文檔結(jié)構(gòu)本標(biāo)準(zhǔn)提出了各類數(shù)據(jù)治理活動(dòng)及其相關(guān)平臺(tái)遵循的數(shù)據(jù)安全治理能力要求，包括數(shù)據(jù)安全治理能力規(guī)劃、數(shù)據(jù)生命周期安全、數(shù)據(jù)基礎(chǔ)安全等能力要求。2.3、整體格式文件的結(jié)構(gòu)和起草規(guī)則》的相關(guān)要求，對(duì)本標(biāo)準(zhǔn)的各要素進(jìn)行編寫和2.4、標(biāo)準(zhǔn)名稱英文翻譯DataGovernancePart5：EvaluationSpecificationofDataSecurityGovernance2.5、術(shù)語(yǔ)和定義術(shù)語(yǔ)和定義中所列的術(shù)語(yǔ)的英文翻譯，根據(jù)團(tuán)體標(biāo)準(zhǔn)編寫規(guī)范對(duì)術(shù)語(yǔ)的要求，如有類似術(shù)語(yǔ)的標(biāo)準(zhǔn)，參考了其翻譯，沒(méi)有類似術(shù)語(yǔ)標(biāo)準(zhǔn)翻譯的，通過(guò)百度翻譯和谷歌翻譯后進(jìn)行對(duì)比，并參考網(wǎng)絡(luò)相關(guān)翻譯后進(jìn)行確定。2.6、主要內(nèi)容通過(guò)標(biāo)準(zhǔn)草案稿、討論稿的修改完善，本標(biāo)準(zhǔn)的主要技術(shù)內(nèi)容確提出了本標(biāo)準(zhǔn)涵蓋的內(nèi)容和適用范圍。提出了本標(biāo)準(zhǔn)所采用的規(guī)范性引用文件。給出了本標(biāo)準(zhǔn)中用到的術(shù)語(yǔ)和相關(guān)縮略語(yǔ)。數(shù)據(jù)安全治理能力規(guī)劃。數(shù)據(jù)全生命周期安全，包括數(shù)據(jù)采集安全、數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲(chǔ)安全、數(shù)據(jù)備份與恢復(fù)安全、數(shù)據(jù)使用安全、數(shù)據(jù)銷毀安全。第六部分?jǐn)?shù)據(jù)基礎(chǔ)設(shè)施安全按，包括風(fēng)險(xiǎn)和需求分析、數(shù)據(jù)分類分級(jí)、合規(guī)管理、利益相關(guān)方管理、數(shù)據(jù)處理環(huán)境安全、數(shù)據(jù)服務(wù)安全、鑒別與訪問(wèn)、安全事件應(yīng)急、監(jiān)控審計(jì)。2.7、解決問(wèn)題通過(guò)對(duì)本標(biāo)準(zhǔn)的制定，提出了數(shù)據(jù)安全治理能力評(píng)估規(guī)范。具體解決數(shù)據(jù)治理安全能力應(yīng)該涵蓋哪些方面的問(wèn)題；解決數(shù)據(jù)治理安全能力在數(shù)據(jù)生命周期范圍內(nèi)應(yīng)達(dá)到的要求；解決數(shù)據(jù)治理安全能力在數(shù)據(jù)基礎(chǔ)安全方面應(yīng)達(dá)到的要求；解決數(shù)據(jù)治理安全能力評(píng)價(jià)打分問(wèn)題。三、知識(shí)產(chǎn)權(quán)情況說(shuō)明四、采用國(guó)際標(biāo)準(zhǔn)和國(guó)外先進(jìn)標(biāo)準(zhǔn)情況五、與現(xiàn)行相關(guān)法律、法規(guī)、規(guī)章及相關(guān)標(biāo)準(zhǔn)的協(xié)調(diào)性六、重大分歧意見(jiàn)的處理經(jīng)過(guò)及依據(jù)無(wú)重大分歧意見(jiàn)。七、標(biāo)準(zhǔn)性質(zhì)的建議建議《數(shù)據(jù)治理第5部