数据安全复合治理与实践白皮书

数据安全复合治理与实践白皮书 中国软件评测中心 国家信息中心《信息安全研究》 蚂蚁科技集团股份有限公司 2021年12月 - I - 前 言 伴随着以数据为关键要素的数字经济的蓬勃发展，数据已逐渐成为基础性、战略性、先导性资源，正在对国家治理、社会发展、个人生活等产生着革命性影响。当前，建设数字中国已成为国家发展战略的重要 组成部分，如何保障数据安全、促进数字经济发展是事关国家安全、 社会稳定和人民福祉的重大问题。此外，在数字产业化和产业数字化浪潮中，数据安全产业作为新兴数字产业为产业数字化提供有力支撑，是数字经济高质量发展的关键保障。目前，我国数据安全产业系列工作正在有序推进，相关政策及配套文件正在加紧制定。数据安全治理作为一项体系化工程是夯实产业基础的重要手段，而高水平的治理能力则是产业高质量发展的重要体现。 备受关注的《数据安全法》已于2021年9月1日起正式实施。作为数据安全领域的纲领性法律，《数据安全法》为下一阶段国家、地区、行业和组织开展数据安全工作提供了明确指引，贯彻落实《数据安全法》的具体要求需要政府部门、行业机构、企事业单位等各类组织在实践中建立健全数据安全治理体系，不断提升数据安全保障能力，切实履行数据安全保护义务。 近年来，数据非法贩卖、数据滥用、敏感数据泄露等数据安全风险持续加剧，数据安全形势空前严峻，提高数据安全治理能力迫在眉睫，组织需要新形势下能够有效落地的数据安全治理体系。本白皮书从组织建设数据安全治理体系的视角出发，通过对法律法规、标准规范、数据安全治理发展现状等进行充分调研和分析，并结合有关组织的实践经验，总结提出了帮助组织更好实现数据安全治理有效落地的数据安全复合治理模式。 数据安全复合治理模式强调系统性、落地性，对治理框架搭建中战略、管理和技术进行统筹规划设计，形成基线设定、心智运营、原生设计、安全度量、可证溯源、红蓝对抗、测评认证等丰富的治理环节，强化治理过程的联动，将安全与业务复合、管理与技术复合，发生化学反应，形成有机整体，充分发挥复合协同效能。 数据安全复合治理模式的特点概括为战略要位、实战牵引、全员参与、技术破局。战略要位强调明确数据安全保护工作在组织中的重要战略位置和管理部门对违反数据安全行为的处罚权责。实战牵引强调实战化红蓝对抗、头部风险治理和管控效果的精确度量来牵引整体治理工作落地。全员参与强调丰富、活泼的心智运营活动设计，充分调动全员主动参与积极性，实现不同特点人群的精确触达。技术破局强调依托系统、数据和算法方面的科技能力创 - II - 新，实现新形势下无法通过人工、协议达成数据安全治理目标难题的破局，促进数据安全治理工作的提质增效。 本白皮书对数据安全复合治理体系的核心思想与建设思路进行了全面阐述，旨在为组织开展数据安全治理工作提供参考和建议。 本白皮书由中国软件评测中心、国家信息中心《信息安全研究》、蚂蚁科技集团股份有限公司撰写。由于编者水平有限，本白皮书内容难免存在疏漏，不足之处恳请各位专家、同仁批评指正。 顾问专家（按姓氏拼音排序）： 封化民 教育部高等学校网络空间安全专业教学指导委员会秘书长 李新友 国家信息中心首席工程师 唐 刚 中国软件评测中心主任助理兼网络空间安全测评工程技术中心主任 王 军 中国信息安全测评中心总工程师 左晓栋 中国信息安全研究院副院长 参编人员（按姓氏拼音排序）： 白利芳、鲍姝睿、蔡佳良、陈树鹏、陈心怡、冯朝、冯越、付春红、顾为群、郭亮、黄琳、黄山、李亮、李婷婷、林明树、林青、刘凯元、刘威歆、刘焱、陆平、罗赛男、马冰珂、宁黄江、潘无穷、秦晓磊、宋铮、王嵩贺、王庭、王子廷、韦韬、卫振强、吴君佳、向上文、肖含笑、薛拾军、杨小芳、于泉、张吉智、张良杰、张天然、赵殿野 特别鸣谢（按姓氏拼音排序）： 程斌、雷蕾、刘喜喜、刘寻、潘静 本白皮书编写组 二0二一年十二月 - III - 版权声明 本白皮书版权属中国软件评测中心、国家信息中心、蚂蚁科技集团股份有限公司所有，并受法律保护。任何 转载、编撰或其他方式使用本白皮书文字或观点，应注明“来源《数据安全复合治理与实践白皮书》”。违反上述声明者，将追究其相关法律责任。 - IV - 目 录 前 言 .............................................................................................................................. I 版权声明 ........................................................................................................................ III 第一章 数据安全治理的形势与重要性 .............................................................................. 1 1.1 数据产业发展现状与安全形势 ................................................................................................. 1 1.2 国内外数据安全法律法规与标准现状 .................................................................................... 2 1.2.1 国外现状 ............................................................................................................................. 3 1.2.2 国内现状 ............................................................................................................................. 4 1.3 数据安全治理理念与内涵 ......................................................................................................... 7 第二章 国内外数据安全治理框架 ..................................................................................... 8 2.1 微软DGPC框架 ........................................................................................................................ 8 2.1.1 框架介绍 ............................................................................................................................. 8 2.1.2 框架分析 ............................................................................................................................. 8 2.2 GARTNER数据安全治理框架DSG ............................................................................................ 8 2.2.1 框架介绍 ............................................................................................................................. 8 2.2.2 框架分析 ............................................................................................................................. 9 2.3 数据安全能力成熟度模型DSMM ....................................................................................... 10 2.3.1 框架介绍 .......................................................................................................................... 10 2.3.2 框架分析 .......................................................................................................................... 10 第三章 数据安全治理面临的挑战 ................................................................................... 11 第四章 数据安全复合治理模式 ....................................................................................... 13 4.1 治理框架 ................................................................................................................................... 13 4.2 数据安全战略 ........................................................................................................................... 16 4.2.1 安全方针 .......................................................................................................................... 16 4.2.2 制度规范 .......................................................................................................................... 17 4.2.3 组织架构 .......................................................................................................................... 18 - V -