※  信息社会政策探究的思想库  ※
※  信息通信技术前沿的风向标  ※
作者简介
 李雪妮 
中国信息通信研究院云计算与大数据研究所高级业务主管,主要研究方向为数据安全、数据安全治理、数据安全评估评测等。
 秦书锴 
中国信息通信研究院云计算与大数据研究所大数据与区块链部工程师,主要从事数据安全技术、数据安全解决方案及服务能力等研究工作。

论文引用格式:
李雪妮, 秦书锴. 数据安全治理能力评估框架构建研究[J]. 信息通信技术与政策, 2022,48(2):37-41. 
数据安全治理能力评估框架构建研究
李雪妮  秦书锴
(中国信息通信研究院云计算与大数据研究所,北京 100191)
摘要:面对日益严峻的数据安全形势,国家、行业、地方相继出台多项数据安全法律法规,并接连开展审查整治行动,国内数据安全进入强监管新阶段。在此背景下,通过构建数据安全治理体系提升数据安全水平已经成为行业共识,如何评估数据安全治理体系建设成效也备受各方关注。因此,构建完善的数据安全治理能力评估框架对把握数据安全共性问题,了解行业发展情况,发现业内实践标杆有重要作用。
关键词:数据安全;数据安全治理;数据安全评估
中图分类号:TP309.2       文献标志码:A
引用格式:李雪妮, 秦书锴. 数据安全治理能力评估框架构建研究[J]. 信息通信技术与政策, 2022,48(2):37-41.
DOI:10.12267/j.issn.2096-5931.2022.2.006
0  引言
随着数据的战略性地位空前提高,数据安全风险日益成为影响产业发展、经济运行甚至国家安全的重要因素,数据安全也成为保障数据要素市场有序发展的必要前提。
2021年我国数据立法进展突飞猛进,备受关注的《中华人民共和国数据安全法》(简称《数据安全法》)和《中华人民共和国个人信息保护法》分别出台,与《中华人民共和国网络安全法》共同形成了数据安全领域的“三驾马车”,为我国数字经济的健康有序发展保驾护航。在此基础上,重点行业及地方政府也陆续出台相应政策法规[1],落实国家要求,推进数据安全建设工作。
在强监管趋势下,如何落实监管要求,保障业务发展的合规合法,是社会各界面临的重要议题。《数据安全法》中就明确指出“维护数据安全,应当坚持总体国家安全观,建立健全数据安全治理体系,提高数据安全保障能力。”并鼓励“数据安全检测评估、认证等服务的发展”。为落实国家法律法规要求,全面、准确、客观评估数据安全治理能力建设情况,推进行业数据安全治理能力建设,本文给出针对数据安全治理能力的评估框架,并从评估项、评估维度、评估等级三方面进行详细研究分析。
1  数据安全治理能力评估现状
1.1  国外数据安全评估现状
随着大数据时代的到来,数据安全成为关注焦点,早期聚焦于信息安全的相关评估认证也逐渐转移至数据安全保护。目前,美国、法国、英国等国家纷纷根据各自法律要求,针对企业的数据使用、数据存储、数据流通和隐私保护等开展安全评估认证,旨在保护数据安全,保障数据价值。表1对部分代表性的数据安全认证进行了介绍。总体上看,部分发达国家依托市场化机制,已经形成了较为完备的数据安全第三方评估测试体系,在助力法律法规落地,提升数据安全管理水平,推动行业健康有序发展方面发挥了重要作用。
表1  部分代表性数据安全认证
1.2  国内数据安全评估现状
我国高度重视数据安全标准化工作,自2017年开始就发布了数据安全管理、个人信息安全管理等方面的标准,这表明我国在数据安全技术产品、服务能力、安全能力等方面的规范化要求逐渐增加,基于标准的评估评测市场需求也愈加旺盛。《数据安全法》 中明确提出支持专业机构开展数据安全相关评估认证服务工作。
目前,我国第三方数据安全评估工作尚处于起步阶段。2020年12月,中国信息通信研究院依据团体标准T/ISC-0011-2021《数据安全治理能力评估方法》[2]推出了国内首个数据安全治理能力评估服务,并提出数据安全治理总体视图[3-4],为治理实践提供操作指南和度量准则。
2  数据安全治理能力评估框架
数据安全治理能力的建设是一个持续性的过程,成效评估是考核组织数据安全治理能力的重要环节,其结果也是新一轮数据安全治理的改进依据。如何评价数据安全治理成效,并实现治理体系的优化改进是组织在数据安全治理能力建设过程中面临的重要问题。依据团体标准T/ISC-0011-2021《数据安全治理能力评估方法》,本文提出如图1所示的数据安全治理能力评估框架,主要包括评估项、评估维度、评估等级3部分内容,具体如下。
图1  数据安全治理能力评估框架图
2.1  评估项
评估项作为数据安全治理能力的主要考察对象,包括数据安全战略、数据全生命周期安全、基础安全3部分。
2.1.1  数据安全战略
在组织启动数据安全治理工作前,必须制定相应的战略规划,明确治理目标和具体任务,匹配对应的资源,使得治理工作能够有条不紊地展开[5]。数据安全战略可以从数据安全规划、机构人员管理两个能力项入手,前者确立目标任务,后者组建治理团队。
(1)数据安全规划关注组织对当前数据安全风险现状的梳理情况,要求结合业务发展,制定组织整体的数据安全发展规划。
(2)机构人员管理关注组织数据安全治理的团队及人员,考察在人员入职、转岗、离职等环节设置的安全控制措施,防范由人员本身带来的数据安全风险。
2.1.2  数据全生命周期安全
数据安全治理以数据为中心,围绕数据全生命周期展开,以采集、传输、存储、使用、共享、销毁各个环节为切入点,通过对数据全流转过程进行规范和约束以有效降低数据安全风险。
(1)数据采集安全关注直接和间接采集过程的各项安全保护措施、采集原则以及采集的合规性评估等工作,要求责任部门在利用数据采集工具或系统完成相关工作时,应严格执行相关采集制度规定。
(2)数据传输安全关注数据在传输过程中的安全性保障,主要通过对传输通道两端的身份验证确保可信任性、对传输通道及传输数据本身的加密确保机密性、完整性等内容。
(3)存储安全关注存储介质、存储系统或平台的安全建设内容。存储介质作为数据承载工具,需要明确介质使用的各项管理规定,防范不当使用造成的数据泄露风险。存储系统或平台需要明确架构设计、安全配置策略、认证鉴权、访问控制等内容。数据备份与恢复关注数据的可用性建设。本部分明确了对数据备份、数据恢复的相关管理要求、操作规程及技术手段。
(4)使用安全关注数据使用方对数据相关操作的安全管理,一方面通过规定采用数据脱敏等措施实现敏感及隐私数据的可靠保护,另一方面通过对数据使用需求进行审批、评估,防范使用风险。数据处理环境安全关注不同处理场景、不同处理平台的身份鉴别、访问控制、监控审计、日志记录等安全策略的实施。
(5)数据内部共享安全关注组织内部数据流通的安全保障建设。一方面对共享过程的加密、审核、评估、监控等进行要求,另一方面对共享平台或接口的管理进行考察,以保障内部共享过程的规范性和安全性。数据外部共享安全关注不同组织主体之间的数据流通安全建设。要求明确共享双方的安全责任,对共享接收方的安全能力进行评估,明确合作方驻场人员的安全管理策略,明确共享平台或接口的安全管理规范,并实现对共享过程的审核、评估、监控、溯源等。
(6)数据销毁安全关注数据及介质的销毁管理。考察组织在销毁工作机制、流程、方式、场景、工具等方面的管控内容,并实现销毁过程的监督和销毁结果的验证。
2.1.3  基础安全
基础安全能力作为数据全生命周期安全能力建设的基本支撑,可以在多个生命周期环节内复用,是整个数据安全治理体系建设的通用要求,能够实现建设资源的有效整合。
(1)数据分类分级关注分类分级的原则、方法、结果清单,以及不同的安全保护策略等内容。通过分类分级的精细化管控方式,可以实现数据资源的定制化管理,保证数据应用与数据保护的有效平衡。
(2)合规管理关注组织数据安全建设是否符合国家法律法规、行业监管指引等的要求。通过合规评估、合规检查、合规监控等方式实现数据安全的合规保障。
(3)合作方管理关注组织对合作伙伴、合作驻场人员的各项安全管理要求。明确规定了合作方及合作方驻场人员的接入、审批、权限管控等管理要求。
(4)监控审计一方面关注数据全生命周期的流动行为,另一方面关注人员对数据的操作行为。通过建立监控审计平台实现各类异常数据操作、人员违规操作等的风险控制。
(5)鉴别与访问关注组织人员的账号管理、访问权限控制的建设情况。规定了全生命周期中用户、数据、权限三者之间的安全管理规范,保障数据安全。
(6)风险和需求分析关注组织发展过程中面临的数据安全需求分析及风险控制问题。要求组织根据业务场景,适时开展需求分析和风险评估工作。
(7)安全事件应急关注数据安全事件的定义、分级、响应处置、上报等工作的开展。要求组织建立相应应急预案,定期开展应急演练,形成应急知识库。
2.2  评估维度
评估项实际建设情况考察,主要从组织建设、制度流程、技术工具、人员能力4个维度开展。
(1)组织建设是数据安全工作开展首要环节,也是数据安全治理持续运转的首要保障,完善的组织架构有助于数据安全工作的协同执行。该维度关注数据安全治理组织的设立、职责分配及沟通协作程度[5]
(2)制度流程是有效约束和规范相关人员日常工作行为,保障数据安全治理工作有据、可行、可控的重要措施。该维度关注数据安全领域制度规范的制定及流程执行情况。
(3)技术工具是推动数据安全工作建设的能力底座,是落实制度要求和管控策略的有效手段。该维度关注数据安全技术的应用情况及对制度流程的固化执行能力。
(4)人员能力是数据安全工作落实的关键环节,对相关人员数据安全意识的培养、能力的提升及考核是该维度的关注重点。
2.3  评估等级
数据安全治理能力评估等级将从组织建设完备程度、制度流程覆盖面、技术工具支撑力度、人员能力培养4 个维度划分为三级,分别是基础级、优秀级、先进级。每一个等级都对应着该阶段组织机构须具备的能力要求,每个后一级的要求均是在前一级基础上的加强(见表2)。
表2  数据安全治理能力评估等级
(1)第一级:基础级
基础级数据安全治理能力主要体现在离散的项目中,由各业务团队负责数据安全日常工作的开展及管理,仅根据日常业务工作需求建立相应的管理流程和技术工具。这一级别的数据安全治理能力虽然在不同业务、不同项目中暂未形成统一的管理规范,但也为组织层面的规范化统一治理奠定了基础。
(2)第二级:优秀级
优秀级数据安全治理能力体现在组织层面,由专门的数据安全管理部门负责不同业务团队及项目以规范化、标准化的方式落地数据安全工作的各项要求,实现对组织数据安全治理能力的进一步集成,达到体系化运行的程度。可以说,该级别已形成一个相对合理、科学、规范的管理模式。
(3)第三级:先进级
先进级数据安全治理能力体现在拥有完善的数据安全治理能力量化评估体系和持续优化策略,一方面能够准确评价治理效果,实现优化调整,另一方面能够确保对新技术、新风险、新要求的及时应对。
3  结束语
数据作为数字经济时代的核心生产要素,已成为经济社会发展的新动能。发展数字经济、加快培育发展数据要素市场,必须把保障数据安全放在突出位置,要着力解决数据安全领域的突出问题,有效提升数据安全治理能力。针对数据安全治理能力的建设成效评价问题,本文从评估项、评估维度、评估等级出发构建评估框架,通过准确度量数据安全治理能力现状,提炼关键问题,分析当前差距,规划后续改进方向,以推动行业数据安全治理能力水平的提升。
参考文献
[1] 中国信息通信研究院. 大数据白皮书[R], 2021.
[2] 李雪妮, 闫树, 魏凯, 等. T/ISC-0011-2021《数据安全治理能力评估方法》[S]. 北京:中国质量标准出版传媒, 2021.
[3] 李雪妮, 闫树, 刘雪花. 数据安全治理框架及实践总体模型研究[J]. 通信世界, 2021(17):45-48.
[4] 中国信息通信研究院云计算与大数据研究所. 数据安全治理实践指南(1.0)[R], 2021.
[5] 郑云文. 数据安全架构设计与实战[M]. 北京:机械工业出版社, 2019.
Research on the construction of data security governance capability evaluation framework
LI Xueni, QIN Shukai
(Cloud Computing & Big Data Research Institute, China Academy of Information and Communications Technology, Beijing 100191, China)
Abstract: In the face of the increasingly severe situation of data security, the state, local government, and industry have successively issued several laws and regulations, followed by a series of related review and rectification actions. The domestic data security has entered a new stage of strong supervision. In this context, it has become an industry consensus to improve the level of data security by building a data security governance system, and how to evaluate the effectiveness of the system’ s construction has attracted the attention of all parties. Therefore, building a sound assessment framework of security governance capability plays an important role in grasping the common problems of data security, understanding the development of the industry, and discovering the practice benchmark in the industry.
Keywords: data security; data security governance; data security evaluation
本文刊于《信息通信技术与政策》2022年 第2期
主办:中国信息通信研究院
《信息通信技术与政策》是工业和信息化部主管、中国信息通信研究院主办的专业学术期刊。本刊定位于“信息通信技术前沿的风向标,信息社会政策探究的思想库”,聚焦信息通信领域技术趋势、公共政策、国家/产业/企业战略,发布前沿研究成果、焦点问题分析、热点政策解读等,推动5G、工业互联网、数字经济、人工智能、区块链、大数据、云计算等技术产业的创新与发展,引导国家技术战略选择与产业政策制定,搭建产、学、研、用的高端学术交流平台。
《信息通信技术与政策》官网开通啦!
为进一步提高期刊信息化建设水平,为广大学者提供更优质的服务,我刊于2020年11月18日起正式推出官方网站,现已进入网站试运行阶段。我们将以更专业的态度、更丰富的内容、更权威的报道,继续提供有前瞻性、指导性、实用性的优秀文稿,为建设网络强国和制造强国作出更大贡献!
《信息通信技术与政策》投稿指南
推荐阅读
专题丨数据资产价值计算研究与实践
专题丨“数据信托”探析:基于数据治理与数据资产化的双重视角
专题丨基于智能化数据探索的数据质量管理方法
专题丨论数据质量的“真实性”与相关融合计算策略
专题丨数据治理标准化发展现状与启示
专题导读:数据治理
《信息通信技术与政策》2022年 第2期目次
♫. ♪ ~ ♬..♩~ ♫. ♪..♩~ ♫. ♪ ~ ♬..♩..♩~ ♫. ♪ ~ ♬..♩..♩~ ♫. ♪ ~ ♬..♩
♫. ♪ ~ ♬..♩~ ♫. ♪..♩~ ♫. ♪ ~ ♬..♩..♩~ ♫. ♪ ~ ♬..♩..♩~ ♫. ♪ ~ ♬..♩
♫. ♪ ~ ♬..♩~ ♫. ♪..♩~ ♫. ♪ ~ ♬..♩..♩~ ♫. ♪ ~ ♬..♩..♩~ ♫. ♪ ~ ♬..♩
♫. ♪ ~ ♬..♩~ ♫. ♪..♩~ ♫. ♪ ~ ♬..♩..♩~ ♫. ♪ ~ ♬..♩..♩~ ♫. ♪ ~ ♬..♩
“在看”我吗?
继续阅读
阅读原文