2023電信和互聯(lián)網(wǎng)行業(yè)數(shù)據(jù)安全治理

電信和互聯(lián)網(wǎng)行業(yè)數(shù)據(jù)安全治理目錄前言 1一、概述 3概念及內(nèi)涵 3數(shù)據(jù)治念分析 3數(shù)據(jù)安理理念 5行業(yè)數(shù)據(jù)分類 6基于行點劃分 6基于服象劃分 7行業(yè)數(shù)據(jù)應(yīng)用 8行業(yè)數(shù)要應(yīng)用型 8行業(yè)數(shù)型應(yīng)用例 10二、電和互行業(yè)數(shù)安全形勢 11行業(yè)數(shù)據(jù)總體形勢 11事件影圍不斷大 11風險危度日趨重 12安全治度持續(xù)級 13行業(yè)數(shù)據(jù)主要風險 13互聯(lián)網(wǎng)面問題出 13數(shù)據(jù)不性明顯加 14數(shù)據(jù)安理體系完善 14三、電和互行業(yè)數(shù)安全環(huán)境 15國際數(shù)據(jù)治理環(huán)境 15歐盟密法深刻響全理格局 15美國多法捍衛(wèi)多元會利益 17國際數(shù)理情緒漲配作頻繁 18國內(nèi)數(shù)據(jù)治理環(huán)境 20國內(nèi)政頭并進來治格局 20國內(nèi)數(shù)理標準進展國際 23四、電和互行業(yè)數(shù)安全需求 24國內(nèi)外政勢緊迫 24安全和發(fā)重驅(qū)動 25數(shù)據(jù)擁有益期待 26五、電和互行業(yè)數(shù)安全實踐 27國外典型案例 27微軟之DGPC框架 27Gartner之DSG框架 28國內(nèi)典型案例 29監(jiān)管層實踐 29企業(yè)層案例 31國內(nèi)外實比 34國外標實踐 34國內(nèi)標實踐 35行業(yè)實踐分析 35企業(yè)頂動力不足 35“網(wǎng)元式待升級 36缺乏用權(quán)益考量 36六、電和互行業(yè)數(shù)安全框架 36數(shù)據(jù)安全層 37數(shù)據(jù)安全層 37數(shù)據(jù)安全層 38數(shù)據(jù)安全層 38七、電和互行業(yè)數(shù)安全建議 40政策協(xié)調(diào)輯起點 40權(quán)責分明架主線 40分級分類踐基礎(chǔ) 41治理評估地支撐 42--PAGE1-前言49更加完善的要素市場化配置體制機制的意見》，要求“加快培養(yǎng)數(shù)據(jù)要素”，將數(shù)據(jù)作為新型生產(chǎn)要素，正式與土地、勞動力、產(chǎn)創(chuàng)新要素之一。（以下簡稱“行業(yè)全治理刻不容緩。據(jù)安全治理框架和行業(yè)數(shù)據(jù)安全治理相關(guān)建議。中國軟件評測中心（工業(yè)和信息化部軟件與集成電路促進中心31500產(chǎn)業(yè)鏈。（以下簡稱“網(wǎng)安中心網(wǎng)絡(luò)信息安全相關(guān)業(yè)務(wù)。一、概述概念及內(nèi)涵數(shù)據(jù)治理概念分析據(jù)管理協(xié)會等國內(nèi)外專業(yè)組織和部分知名研究機構(gòu)都提出了其理解。國際標準化組織的IT服務(wù)管理與IT治理分技術(shù)委員會（ISO/IEC關(guān)于數(shù)據(jù)治理的概念建立在ITISO/IEC38500IT治理框架和模型應(yīng)用IT企業(yè)治理目標程中，治理主體對其進行評估、指導(dǎo)和監(jiān)督的活動集合。國際數(shù)據(jù)管理協(xié)會（DAMA）關(guān)于數(shù)據(jù)治理的概念建（指導(dǎo)所有其他數(shù)據(jù)管理功能的執(zhí)行，在更高層次執(zhí)行數(shù)據(jù)管理。的行動。ITGartnerDGI有著類似和分析在評估、創(chuàng)建、使用及控制過程中的適當行為。IBM信息知識并理解數(shù)據(jù)。我國信息技術(shù)服務(wù)標準（ITSS）體系中的《信息技術(shù)5（中，將數(shù)據(jù)治理定義為數(shù)據(jù)資源及其應(yīng)用過程中相關(guān)管控活動、績效和風險管理的集合。《GB/T35295-2017GB/T36073-2018數(shù)據(jù)管理能力成熟度評估模型》中，將數(shù)據(jù)治理定動態(tài)、未完成狀態(tài)還是交易狀態(tài)。中國銀行保險監(jiān)督管理委員會發(fā)布的《銀行業(yè)金融機行業(yè)內(nèi)的數(shù)據(jù)治理是指銀行業(yè)金融中國軟件評測中心網(wǎng)安中心綜合研究分析發(fā)現(xiàn)，與國外數(shù)據(jù)（或企業(yè)（或企業(yè)更是國家的一種基礎(chǔ)戰(zhàn)略資源；數(shù)據(jù)治理主體不僅僅局限于企數(shù)據(jù)治理是多元治理主體以數(shù)據(jù)生產(chǎn)數(shù)據(jù)安全治理理念Gartner安全治理框架（DGPC）據(jù)安全治理理念主要圍繞“”“讓數(shù)據(jù)使用更安全”撐等要素共同完成的數(shù)據(jù)安全建設(shè)的方法論。總體而言，數(shù)據(jù)安全治理是數(shù)據(jù)治理的一個重要組成部分，“安全屬性“價值行業(yè)數(shù)據(jù)主要分類基于行業(yè)特點劃分基礎(chǔ)信息類數(shù)據(jù)；日志類數(shù)據(jù)；結(jié)果類數(shù)據(jù)；輔助類數(shù)據(jù)；管理類數(shù)據(jù)。行為數(shù)據(jù)。其中：社交數(shù)據(jù)主要包括關(guān)系鏈數(shù)據(jù)、用戶間的互動數(shù)據(jù)、用戶自己產(chǎn)生的圖文和視頻內(nèi)容、用戶的位置信息等；游戲數(shù)據(jù)主要包括大型網(wǎng)游數(shù)據(jù)、網(wǎng)頁游戲數(shù)據(jù)、手機游戲數(shù)據(jù)，及游戲活躍行為數(shù)據(jù)和付費行為數(shù)據(jù)；電商數(shù)據(jù)主要包括商品瀏覽、搜索、點擊、收藏、購買、物流等數(shù)據(jù)；搜索數(shù)據(jù)、消費數(shù)據(jù)等?；诜?wù)對象劃分據(jù)等。用戶身份數(shù)據(jù)主要包括了用戶自然人身份標識和證明用戶服務(wù)內(nèi)容數(shù)據(jù)主要包括了對用戶提供的電信和互聯(lián)網(wǎng)服務(wù)的內(nèi)容數(shù)據(jù)、聯(lián)系人信息等資料數(shù)據(jù)；用戶服務(wù)衍生數(shù)據(jù)主要包括了服務(wù)訂購數(shù)據(jù)、行為數(shù)絡(luò)運維數(shù)據(jù)、合作伙伴數(shù)據(jù)等。企業(yè)管理數(shù)據(jù)主要包括企業(yè)內(nèi)部管理數(shù)據(jù)，如發(fā)展戰(zhàn)市場經(jīng)營類數(shù)據(jù)，如經(jīng)營分析類數(shù)據(jù)、經(jīng)營考核類數(shù)據(jù)、資源部署數(shù)據(jù)、營銷方案等；企業(yè)公開披露和上報數(shù)據(jù)，主要指資本市場及主管部門要求公開或上報的數(shù)據(jù)；業(yè)務(wù)運營數(shù)據(jù)主要包括資費信息及管理信息、渠道數(shù)據(jù)、客服數(shù)據(jù)、營銷數(shù)據(jù)及日常運營產(chǎn)生的其他數(shù)據(jù)等；網(wǎng)絡(luò)運維數(shù)據(jù)主要包括密碼及關(guān)聯(lián)數(shù)據(jù)、資產(chǎn)資源類數(shù)據(jù)、支撐類數(shù)據(jù)等；合作過程中產(chǎn)生的數(shù)據(jù)等。行業(yè)數(shù)據(jù)典型應(yīng)用行業(yè)數(shù)據(jù)主要應(yīng)用類型上層服務(wù)應(yīng)用，基礎(chǔ)設(shè)施規(guī)模及其承載的服務(wù)應(yīng)用數(shù)據(jù)規(guī)模龐大，通過調(diào)研，行業(yè)基礎(chǔ)網(wǎng)絡(luò)數(shù)據(jù)的典型應(yīng)用主要包括：IDC/ISP信息安全管理系統(tǒng)；IP資源管理系統(tǒng)；網(wǎng)絡(luò)安全監(jiān)測與管理系統(tǒng)；工業(yè)互聯(lián)網(wǎng)安全監(jiān)測系統(tǒng)；移動互聯(lián)網(wǎng)綜合監(jiān)控平臺以及反詐分析類系統(tǒng)等。動或為用戶/客戶提供分析服務(wù)的各類應(yīng)用。從自下而上可劃分為七個層次的應(yīng)用類型：數(shù)據(jù)基礎(chǔ)平臺層應(yīng)用主要實現(xiàn)數(shù)據(jù)的有效存儲、計算和質(zhì)量管理；業(yè)務(wù)運營監(jiān)控層應(yīng)用主要是搭建業(yè)務(wù)運營的關(guān)鍵數(shù)據(jù)用戶／客戶體驗優(yōu)化層應(yīng)用主要是通過數(shù)據(jù)來監(jiān)控和優(yōu)化用戶／客戶的體驗問題；精細化運營和營銷層應(yīng)用主要通過數(shù)據(jù)驅(qū)動業(yè)務(wù)精細化運營和營銷；數(shù)據(jù)對外服務(wù)和市場傳播層應(yīng)用一般服務(wù)于互聯(lián)網(wǎng)企經(jīng)營分析層應(yīng)用主要通過分析師對大數(shù)據(jù)進行統(tǒng)計，戰(zhàn)略分析層應(yīng)用則既要結(jié)合內(nèi)部的大數(shù)據(jù)形成決策層--PAGE10-的數(shù)據(jù)視圖，也要結(jié)合外部數(shù)據(jù)尤其是各種競爭情報監(jiān)控數(shù)據(jù)、國外趨勢研究數(shù)據(jù)來輔助決策層進行戰(zhàn)略分析。2.2.2.行業(yè)數(shù)據(jù)典型應(yīng)用案例（一）典型商業(yè)應(yīng)用（LBS定位數(shù)據(jù)等進200“大數(shù)據(jù)殺熟”索技術(shù)自行設(shè)計的搜索引擎Polaris，使其在線購物完成率提升10%15%。（二）典型支撐應(yīng)用APP效率等。二、電信和互聯(lián)網(wǎng)行業(yè)數(shù)據(jù)安全發(fā)展形勢行業(yè)數(shù)據(jù)安全總體形勢事件影響范圍不斷擴大演愈烈。20205192020年數(shù)據(jù)泄露調(diào)查報告(DBIR)。報告顯示，81個國家參與調(diào)研的數(shù)70%30%；58%涉及個人數(shù)據(jù)泄露，72%的受害者為大型企業(yè)。逐步向整個行業(yè)及全社會帶來負面影響，甚至面臨被動局面。風險危害程度日趨嚴重223SaaS服務(wù)商因員工惡意破壞公司線上生產(chǎn)環(huán)境及數(shù)據(jù)，導(dǎo)致33日才完300萬530《2019年全球數(shù)據(jù)泄露成5392445萬美元的損失，比系統(tǒng)故障和人為錯誤等意外原因?qū)е碌臄?shù)據(jù)泄露高出100多萬美元。露有關(guān)的命案。的非常事件。安全治理難度持續(xù)升級風險的防范帶來一定難度。致數(shù)據(jù)安全治理難度持續(xù)升級。行業(yè)數(shù)據(jù)安全主要風險互聯(lián)網(wǎng)暴露面問題突出80%SQL在源代碼泄露。數(shù)據(jù)不可控性明顯增加Hadoop、Spark、MongoDB等開源軟件搭建平臺，存SLA協(xié)議執(zhí)行等均不可控。數(shù)據(jù)安全管理體系不完善合中國軟件評測中心網(wǎng)安中心多年的數(shù)據(jù)安全檢查和評估項目實施等經(jīng)驗，行業(yè)在數(shù)據(jù)安全管理方面典型問題主要有：缺乏數(shù)據(jù)安全方面的管理機構(gòu)。數(shù)據(jù)安全未引起足夠數(shù)據(jù)安全控制措施不力。缺乏數(shù)據(jù)全生命周期安全管數(shù)據(jù)安全優(yōu)先級不足。對數(shù)據(jù)安全風險的評估和認識對數(shù)據(jù)安全合規(guī)性認識不足。缺乏數(shù)據(jù)安全合規(guī)性評存在違規(guī)行為而不自知。三、電信和互聯(lián)網(wǎng)行業(yè)數(shù)據(jù)安全治理環(huán)境國際數(shù)據(jù)安全治理環(huán)境歐盟密集立法深刻影響全球治理格局歐盟“數(shù)據(jù)”和“安全”相關(guān)法律立法密集，與其“數(shù)字化單一市場”戰(zhàn)略齊頭并進，深刻影響國際數(shù)據(jù)治理格局，包括美國、15年的《安全港協(xié)議》不足以保護歐盟公民隱私。201622（EU-USPrivacyShield）被法國2019123表1歐盟近幾年主要政策法律進展年份歐盟政策法律環(huán)境20164月27日，發(fā)布2016/679號條例《通用數(shù)據(jù)保護條例》（GDPR），條例制定了個人數(shù)據(jù)保護的一般規(guī)范，為歐盟內(nèi)外個人數(shù)據(jù)的自由流動提供了確定性保護，開啟了其成員76GDPR網(wǎng)絡(luò)治理戰(zhàn)略意圖。10232018/1725GDPR對自然人的保護及主要監(jiān)管機關(guān)的職能和義務(wù)。2018142018/1807供商負擔過度及市場扭曲的問題，進一步完善了歐盟數(shù)據(jù)治理框架。年份歐盟政策法律環(huán)境20194172019/881ENISA2019法案指定歐盟網(wǎng)絡(luò)和信息安全署（ENISA）為永久性歐盟網(wǎng)絡(luò)安全機構(gòu)，確立了第一份歐盟范圍的網(wǎng)絡(luò)安全認證計劃，以確保向歐盟境內(nèi)提供的產(chǎn)品、流程和服務(wù)滿足其網(wǎng)絡(luò)安全標準。歐盟網(wǎng)絡(luò)安全治理的里程碑事件。6月20日，發(fā)布《數(shù)據(jù)開放指令》2020219措及未來5年數(shù)據(jù)投資戰(zhàn)略。美國多點立法捍衛(wèi)其多元化社會利益2018628州消費者隱私法案》，隨后提出《數(shù)據(jù)保護法案》，并于20192020702(NSA)合法使用海外數(shù)據(jù)法》即“CLOUD法案”“適格外國政府”“格”認定、調(diào)取規(guī)則以及上述域外數(shù)據(jù)采集要求均以美國利益為先加以制衡。表2美國政策法律環(huán)境年份美國政策法律環(huán)境20181702323628強化了數(shù)據(jù)主體對個人信息的控制權(quán),規(guī)范了企業(yè)收集處理數(shù)據(jù)的方式，于2020年1月1日正式生效12月13日，提出《數(shù)據(jù)保護法案》201911月18日，提交《國家安全和個人數(shù)據(jù)保護法提案》12232020202010愿景，并確定了2020年需采取的20項關(guān)鍵行動國際數(shù)據(jù)治理情緒高漲配套動作頻繁2017年至今，日本、澳大利亞、越南、巴西、加拿大、?。ㄐ抻喡兜木C合性立法（數(shù)據(jù)保護指南。（APEC也在沉寂期后迎來實質(zhì)性進展。2018年，新加坡、澳大利亞和APECCBPRsAPEC21個經(jīng)濟體中，已有包括美國、日本、加拿大、韓國、新加坡8CBPRs體系。意味著體系內(nèi)成員國的認證企業(yè)之間個人信息的跨境流動不受阻礙。ODCE經(jīng)合組織也在繼20137月發(fā)布《隱私及個人數(shù)據(jù)跨境流動保護指引》后，于2019提出關(guān)于建設(shè)數(shù)據(jù)驅(qū)動型公共部門的建議。ISOITU-T、全國信息安全標準化技術(shù)委員會（TC260）、以及互聯(lián)網(wǎng)行業(yè)管理部門工信部下屬行標數(shù)據(jù)安全組織CCSATC8架目前的主流成果包括：國際標準化組織的數(shù)據(jù)治理國際標準（ISO/IEC38505）、國際數(shù)據(jù)管理協(xié)會的數(shù)據(jù)管理知識體系指的數(shù)據(jù)治IBM息技術(shù)服務(wù)標準（ITSS）體系中的數(shù)據(jù)治理規(guī)范。表3其他國際組織政策法律環(huán)境年份國際其他組織政策法律環(huán)境20175月30日，日本《個人信息保護法》修訂版全面實施2018222實施6月12日，越南通過《網(wǎng)絡(luò)安全法》8月14日，巴西批準《通用數(shù)據(jù)保護法》5新加坡、澳大利亞、中國臺灣加入APECCBPRs體系201912月4日，印度通過《個人數(shù)據(jù)保護法案》11月28日，ODCE經(jīng)合組織發(fā)布報告《公共部門如何實現(xiàn)數(shù)據(jù)驅(qū)動》20205月14日，新加坡發(fā)布《個人數(shù)據(jù)保護法（修訂）》草案國內(nèi)數(shù)據(jù)安全治理環(huán)境國內(nèi)政策多頭并進迎來治理新格局2015年以來，國家出臺多部重大立法，《中華人民共和國中華人民共和國密碼法地對個人信息和數(shù)據(jù)保護做了相關(guān)規(guī)定。2017職能轉(zhuǎn)變，提高政府治理能力。又于2020年印發(fā)《關(guān)于構(gòu)建更加完善的要素市場化配置體制機制的意見》，提出“加快培育數(shù)據(jù)市場要素”，優(yōu)化經(jīng)濟治理基礎(chǔ)數(shù)據(jù)庫，培育數(shù)字經(jīng)濟新產(chǎn)業(yè)、新業(yè)態(tài)和新模式，加強數(shù)據(jù)資源整合和安全保護。國家互聯(lián)網(wǎng)信息辦公室于2019年發(fā)布《數(shù)據(jù)安全管理辦法（征求意見稿定；并發(fā)布《個人信息出境安全評估辦法(征求意見稿)息網(wǎng)絡(luò)保護規(guī)定》。202011718日，中央政法工作會議強調(diào)，要把1980年提議到被納入十三屆全國人大常委會立法規(guī)劃的《電信法》39終于迎來新進展，同樣被納入規(guī)劃的2020年立法工作（尚未提請審議（草案2020628人大常委會第二十次會議審議。化提供了良好的政策環(huán)境保障。表4國內(nèi)政策法律環(huán)境年份國內(nèi)政策法律環(huán)境201571201761明確規(guī)定2018831數(shù)據(jù)殺熟20195月28日，發(fā)布《數(shù)據(jù)安全管理辦法（征求意見稿）》613》10月1日，《兒童個人信息網(wǎng)絡(luò)保護規(guī)定》正式實施《電信法》被納入十三屆全國人大常委會立法規(guī)劃20201月1日，《中華人民共和國密碼法》正式施行49427日，12網(wǎng)絡(luò)安全審查重點評估采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)可能帶來的國礎(chǔ)設(shè)施重要數(shù)據(jù)被竊取、泄露、毀損的風險528隱私權(quán)與個人信息保護”主體的權(quán)利，信息處理者的安全和保密義務(wù)等內(nèi)容被列入2020年立法工作計劃的《數(shù)據(jù)安全法》草案已于6月28日提請審議；《個人信息保護法》草案稿待提請國內(nèi)數(shù)據(jù)治理標準化進展領(lǐng)先國際2014ITSSSC40/WG1提交了《數(shù)據(jù)治理白皮書》（英文版）和數(shù)據(jù)治理研究技術(shù)報告，20155SC40國代表團正式提出“數(shù)據(jù)治理國際標準”新工作項目建議并獲通《ISO/IEC38500在數(shù)據(jù)治理中的應(yīng)用（ISO/IEC38505-1）由中國國家成員體（SAC）申請立項并由我國專家作2017331日獲得國際標準化組織批ISO/IECTR（以下ISO/IECTR38505-2）是由我國專家主導(dǎo)編輯研制的第二個數(shù)2018516項目期間，ITSS分委會同步開展了數(shù)據(jù)治理國家標準的研制工201867日正式發(fā)布GB/T《信息技術(shù)服務(wù)治理第5部分：數(shù)據(jù)治理規(guī)范》。表5國內(nèi)主要標準化進展年份國內(nèi)主要標準化進展2014SC40/WG12017331ISO/IEC-IT治理138500年份國內(nèi)主要標準化進展用》正式發(fā)布20185月16日，國際標準ISO/IECTR38505-2獲批發(fā)布67GB/T5部分：數(shù)據(jù)治理規(guī)范》四、電信和互聯(lián)網(wǎng)行業(yè)數(shù)據(jù)安全治理需求國內(nèi)外政策形勢緊迫GDPRGDPR相關(guān)規(guī)范。如GDPR定義的處罰標準可能讓企業(yè)面臨“2000萬歐元或全年取高者內(nèi)的跨境數(shù)據(jù)運營主體在業(yè)務(wù)合規(guī)過程中，必須考慮、評估GDPR的約束和實際影響力。20191月，Google由于其個性GDPR5000GDPR30035億歐元，被罰企業(yè)1&1TIM韓國加拿大澳大利亞等發(fā)達國家和“數(shù)據(jù)要素”的定位，及數(shù)據(jù)安全相關(guān)立法的滯后，也對數(shù)據(jù)安全治理提出要求和挑戰(zhàn)。受國際及國內(nèi)關(guān)于“數(shù)據(jù)”、“安全”及其他配套政策和立法形勢影響，行業(yè)數(shù)據(jù)安全治理迫在眉睫。安全和發(fā)展雙重驅(qū)動20164192020345G劃和建設(shè)首當其沖。嚴峻的挑戰(zhàn)，如大數(shù)據(jù)平臺對外業(yè)務(wù)合作過程中的數(shù)據(jù)濫用問SLA協(xié)議的問題等，嚴重影響行業(yè)健康發(fā)展。“殺熟監(jiān)管需求及治理思考。數(shù)據(jù)擁有者權(quán)益期待CNNIC45202039.04億，64.5%網(wǎng)絡(luò)應(yīng)用的用戶規(guī)模呈現(xiàn)201810%以上。堅實的用戶基礎(chǔ)推動了行業(yè)的蓬勃發(fā)展，同時也為行業(yè)帶來新的挑戰(zhàn)。更有力且正當化地保護其個人數(shù)據(jù)。數(shù)據(jù)擁有者權(quán)利合理的變現(xiàn)保障和便利的變現(xiàn)渠道以及嚴密的數(shù)據(jù)安全相關(guān)行為和事件的責任追究機制等。五、電信和互聯(lián)網(wǎng)行業(yè)數(shù)據(jù)安全治理實踐國外典型實踐案例DGPC框架2010私、保密和合規(guī)的數(shù)據(jù)治理（DGPC）程和技術(shù)三個核心能力維度領(lǐng)域展開。DGPC件(法律、法規(guī)、標準以及公司政策和戰(zhàn)略文件)組織將其業(yè)務(wù)和遵從性數(shù)據(jù)需求(包括數(shù)據(jù)質(zhì)量指標和業(yè)務(wù)規(guī)則威脅，分析相關(guān)風險并確定適當?shù)目刂颇繕撕涂刂苹顒印＜夹g(shù)能力維度：即微軟開發(fā)的一種分析特定數(shù)據(jù)流的方法，以識別信息安全管理系統(tǒng)或控制框架更廣泛的保護措施都可能風險/差距分析矩陣的表單，表單主要圍繞三個元素構(gòu)建:信息生命周期、四個技術(shù)領(lǐng)域以及組織的數(shù)據(jù)隱私和機密性原則。GartnerDSG框架全球領(lǐng)先的IT研究和咨詢機構(gòu)Gartner對數(shù)據(jù)安全治理進行了專項的研究和分析，于2018年4月正式推出數(shù)據(jù)安全治理（見并提出安全和風險管理領(lǐng)導(dǎo)者應(yīng)使用DSG框架來減輕由數(shù)據(jù)安全威脅、數(shù)據(jù)駐留和隱私問題引起的模型選擇和明確與數(shù)據(jù)集優(yōu)先圖1 Gartner數(shù)據(jù)安全治理（DSG）框架據(jù)集、策略制定、安全工具和策略配置五個層面，具體如下。經(jīng)營利益相關(guān)者在治理工作開戰(zhàn)前應(yīng)達成多方面的共識，IT對全生命周期的數(shù)據(jù)集進行識別、分類、分級；的安全管控策略等；云訪問安全代理、身份識別與訪問管理系統(tǒng)等；對象包括關(guān)系型數(shù)據(jù)庫、大數(shù)據(jù)、文件、云、終端等。國內(nèi)典型實踐案例監(jiān)管層主要實踐行業(yè)數(shù)據(jù)安全專項治理。2019125日，中央網(wǎng)信辦、App違法違規(guī)收集使用個112月，在全國范App違法違規(guī)收集使用個人信息專項治理行動，App其中，工信部開展的“App侵害用戶權(quán)益專項整治行動”236App5632019715月142020年電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡(luò)數(shù)據(jù)安APP違法違規(guī)收集使用個人信息專項行業(yè)數(shù)據(jù)安全合規(guī)性評估。2019年，工信部部署全國基礎(chǔ)電信企業(yè)（含專業(yè)公司）、50400余款A(yù)PP年基礎(chǔ)電信企業(yè)數(shù)據(jù)安全合規(guī)性2019入年度網(wǎng)絡(luò)信息安全“雙隨機一公開”檢查和基礎(chǔ)電信企業(yè)網(wǎng)絡(luò)20202020年電信和年電信和互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全合規(guī)性評估要點》。行業(yè)數(shù)據(jù)安全標準體系。202034（試行周期產(chǎn)生和應(yīng)用的數(shù)據(jù)的分類分級工作。410（征求意見稿提出“2021年，初步建立網(wǎng)絡(luò)數(shù)據(jù)安全標準體系”，“2023完善網(wǎng)絡(luò)數(shù)據(jù)安全標準體系”的建設(shè)目標。納入網(wǎng)絡(luò)信息安全“雙隨機一公開”檢查和基礎(chǔ)電信企業(yè)網(wǎng)絡(luò)與企業(yè)層實踐案例基礎(chǔ)電信企業(yè)方面了大數(shù)據(jù)安全保障框架。其中：總體方針，是其它體系建設(shè)的基本依據(jù)；管理、數(shù)據(jù)分類分級等方面的安全要求和實施方法；全運營和業(yè)務(wù)安全運營過程中的要求和實施指南；要求、基線配置要求及實施指南；測方法、流程、指南；用方法?；ヂ?lián)網(wǎng)企業(yè)方面20161月發(fā)布的《數(shù)據(jù)安全白皮書》中運維管理安全等六個方面提供保障數(shù)據(jù)生命周期安全的技術(shù)和規(guī)、SLA等方面；管理層主要是全生命周期的數(shù)據(jù)安全管理；護等方面。撐層三個層面，其中：據(jù)安全制度、數(shù)據(jù)安全流程等方面；管理層主要是指數(shù)據(jù)安全管理文件體系；理和數(shù)據(jù)安全防護涉及的子系統(tǒng)。安全企業(yè)方面，安華金和認為數(shù)據(jù)安全治理是以“讓數(shù)據(jù)使用更安全”為目的的安全體系構(gòu)建的方法論，核心內(nèi)容包括：理；三大核心理念，分級分類、角色授權(quán)、場景化安全；程控制、行為稽核和持續(xù)改善； 上海觀安以數(shù)據(jù)流轉(zhuǎn)生命周期為主線，以“平臺安全、數(shù)據(jù)安全、運維安全、安全分析”為核心，提供以數(shù)據(jù)為中心而非以防護層、監(jiān)控層、管理層，其中：為主要支撐；監(jiān)控層以安全分析平臺和安全管理平臺作為支撐；管理層主要聚焦安全運營管理和專業(yè)安全服務(wù)。國內(nèi)外實踐對比本節(jié)對國內(nèi)外數(shù)據(jù)安全治理標志性實踐進行對比，即關(guān)于“數(shù)據(jù)安全治理2。圖2國內(nèi)外標志性實踐進程國外標志性實踐2015年，Gartner提出數(shù)據(jù)安全治理的概念和相應(yīng)的原則與框架。2017年，Gartner提出同樣適用于數(shù)據(jù)安全評估與控制的GartnerEyeOfStorm）。20183月，Gartner的分析師在研究報告中提出使用分類工具改善42021年，31%5%20191220204DLP和集成版DLPDSG框架，在兩種數(shù)據(jù)泄露防護（DLP）方案之間做選擇。國內(nèi)標志性實踐2015年，國內(nèi)企業(yè)安華金和正式提出數(shù)據(jù)安全治理理念和框架。2017年，中國網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟成立數(shù)據(jù)安全治理工作組