云计算行业：数据安全治理实践指南（1.0）

数据安全治理实践指南（1.0） 中国信息通信研究院云计算与大数据研究所 2021年7月 版权声明 本报告版权属于中国信息通信研究院，并受法律保护。转载、摘编或利用其它方式使用本报告文字或者观点的，应注明“来源：中国信息通信研究院”。违反上述声明者，本院将追究其相关法律责任。 mNsRnOnOsRrOpMoNoPrNnN7NaO6MsQmMnPoPjMpPsNfQoMpObRrRxOMYoMqQMYpNpP 编制说明 本指南的撰写得到了行业内许多专家的支持和帮助，他们分别来自：北京天融信网络安全技术有限公司、OPPO广东移动通信有限公司、杭州美创科技有限公司、中国电信股份有限公司、联通数字科技有限公司、北京百度网讯科技有限公司、启明星辰信息技术集团股份有限公司、蚂蚁科技集团股份有限公司、天翼云科技有限公司、中国联合网络通信集团有限公司、杭州安恒信息技术股份有限公司、北京奇虎科技有限公司、奇安信科技集团股份有限公司、中国联通研究院、闪捷信息科技有限公司、恒安嘉新（北京）科技股份公司、京东数字科技集团、贝壳找房（北京）科技有限公司等。在此表示由衷的感谢。 前 言 2021年6月《中华人民共和国数据安全法》（以下简称“《数据安全法》”）正式颁布，标志着我国数据安全进入有法可依、依法建设的新发展阶段。《数据安全法》明确提出在坚持总体国家安全观基础上，建立健全数据安全治理体系，提高数据安全保障能力。 由于数据本身具有流动性、多样性、可复制性等不同于传统生产要素的特性，数据安全风险在数字经济时代被不断放大，因此，对数据安全治理的要求也越来越高。如何协调政府、行业、企业、个人等多元主体，形成协同共治机制？如何平衡数据开发利用和数据安全保护，实现发展与安全的齐头并进？如何构建覆盖数据全生命周期安全的治理框架？如何在各组织中落实数据安全治理的具体要求？这些都是当前数据安全治理面临的重要问题。 本指南参考数据安全领域的相关标准，重点以中国互联网协会T/ISC-0011-2021《数据安全治理能力评估方法》为基础，阐述了数据安全治理的内涵；从组织如何落实数据安全治理要求的角度出发，提出数据安全治理总体视图；按照数据安全治理目标、治理框架、治理实践路径分别提出落地建议，并对未来发展进行展望。此外，指南还收录了部分企业开展数据安全治理的实践经验。 目 录 一、 数据安全治理概述............................................... 1 (一) 数据安全治理概念内涵 ......................................................................................... 1 (二) 数据安全治理要点阐释 ......................................................................................... 2 二、 数据安全治理总体视图........................................... 3 三、 数据安全治理参考框架........................................... 5 (一) 数据安全战略 ........................................................................................................... 5 (二) 数据全生命周期安全 ............................................................................................. 7 (三) 基础安全 .................................................................................................................. 10 四、 数据安全治理实践路线.......................................... 13 (一) 第一步：治理规划 ................................................................................................ 14 (二) 第二步：治理建设 ................................................................................................ 15 (三) 第三步：治理运营 ................................................................................................ 24 (四) 第四步：治理成效评估 ....................................................................................... 27 五、 数据安全治理未来展望.......................................... 29 六、 附录：数据安全治理企业实践.................................... 30 (一) 中国联通集团数据安全治理实践 .................................................................... 30 (二) 蚂蚁集团数据安全治理实践 .............................................................................. 35 (三) 百度数据安全治理实践 ....................................................................................... 39 (四) 天翼云数据安全治理实践 .................................................................................. 43 参考文献........................................................... 47 图 目 录 图 1 数据安全治理总体视图...................................................................................... 4 图 2 数据安全治理参考框架...................................................................................... 5 图 3 数据安全治理组织架构示意图........................................................................ 16 图 4 数据安全管理制度体系示意图........................................................................ 18 图 5 一套可参考的数据安全管理制度体系............................................................ 19 图 6 数据安全管控流程参考示意图........................................................................ 20 图 7 数据安全技术工具部署示意图........................................................................ 20 图 8 数据安全人员能力培养体系............................................................................ 23 图 9 中国联通数据安全体系总体框架.................................................................... 31 图 10 蚂蚁数据安全复合治理管理模式.................................................................. 35 图 11 蚂蚁集团数据安全四重保障图 ...................................................................... 38 图 12 百度数据安全治理工作路线.......................................................................... 39 图 13 百度数据安全治理三步走.............................................................................. 40 图 14 百度数据安全治理实践.................................................................................. 41 图 15 天翼云数据安全治理实践路标图.................................................................. 43 图 16 天翼云数据安全治理能力.............................................................................. 45 图 17 天翼云数据安全技术体系.............................................................................. 46 表 目 录 表1 数据安全组织架构角色及职责分工................................................................. 16 表2 技术工具对应功能描述..................................................................................... 21 表3 日常审计项目示例............................................................................................. 26 数据安全治理实践指南（1.0） 1 一、数据安全治理概述 (一)数据安全治理概念内涵 随着数据作为生产要素的重要性凸显，数据安全的地位不断提升，尤其随着《数据安全法》的正式颁布，数据安全在国家安全体系中的重要地位得到了进一步明确。发展数字经济、加快培育发展数据要素市场，必须把保障数据安全放在突出位置。这就要求我们着力解决数据安全领域的突出问题，有效提升数据安全治理能力。 为指导行业数据安全治理能力建设，促进行业数据安全治理能力发展，中国互联网协会发布团体标准T/ISC-0