数据安全治理实践指南（3.0）

版权声明 本报告版权属于“数据安全推进计划”，并受法律保护。转载、摘编或者利用其他方式使用本报告文字、图表或者观点的，应注明“来源：数据安全推进计划”。违反上述声明者，编者将追究其相关法律责任。 前言 数据作为数字经济发展的核心资源，是驱动社会创新、经济高质量发展的源动能。近期，随着国家数据局的成立、财政部《企业数据资源相关会计处理暂行规定》等的发布，数据获得各方空前关注。作为数字经济健康发展的重要基石，数据安全的重要性愈发突出，数据安全治理需求愈加明显。 为了梳理数据安全治理的概念内涵，探讨数据安全建设路线，解决数据安全实践难点问题，中国信息通信研究院数据安全推进计划发布《数据安全治理实践指南》（以下简称《指南》）系列，围绕数据安全治理目标、治理框架、治理实践路径展开论述。 相较于《指南（1.0）》《指南（2.0）》，本指南主要对数据安全治理总体视图及相关内容进行更新，主要体现在： （1）针对数据安全治理体系，丰富了基于数据全生命周期视角、基于工作内容分工视角的体系解读，贴近组织实际工作。 （2）针对数据安全运营，丰富了从运营对象、管控流程两个角度的建设内容，为组织提供更多的选择。 （3）增加数据安全专项工作开展思路，围绕数据分类分级、数据安全风险评估及治理、个人信息保护、数据出境安全评估、合作方数据安全管理等重点话题，阐述工作思路与方法。 （4）删除数据安全治理实践案例的附录，各组织的优秀实践案例将另行汇聚出版。 目录 一、数据安全治理概述...........................................................................................................................1 (一)数据安全治理概念内涵....................................................................................................1(二)数据安全治理原则.............................................................................................................21.以数据为中心...................................................................................................................22.多元化主体共同参与......................................................................................................23.兼顾发展与安全...............................................................................................................3 二、数据安全治理总体视图..................................................................................................................4 1.基于数据全生命周期视角............................................................................................52.基于工作内容分工视角.................................................................................................8 (三)数据安全治理维度.............................................................................................................9 (五)数据安全治理实践...........................................................................................................19 三、数据安全治理实践路线................................................................................................................20 (一)全局数据安全体系规划..................................................................................................20 1.现状分析..............................................................................................................................202.方案规划..............................................................................................................................213.方案论证..............................................................................................................................23 (二)数据安全场景有序建设..................................................................................................23 1.全面梳理业务场景........................................................................................................242.确定业务场景治理优先级..........................................................................................273.评估业务场景数据安全风险......................................................................................284.制定并实施业务场景解决方案.................................................................................285.完善业务场景操作规范...............................................................................................28 (三)数据安全运营持续加强..................................................................................................28 1.从运营对象的角度........................................................................................................292.从管控流程的角度........................................................................................................31 (四)数据安全评估助力优化..................................................................................................34 4.完成数据分类.................................................................................................................38 5.逐类完成定级.................................................................................................................406.形成分类分级目录........................................................................................................417.制定数据安全策略........................................................................................................41（二）数据安全风险评估及治理专项................................................................................421.数据安全风险评估........................................................................................................422.数据安全风险治理........................................................................................................44（三）个人信息保护专项.......................................................................................................451.个人信息采集风险........................................................................................................452.个人信息存储风险........................................................................................................463.个人信息使用风险........................................................................................................464.组织管理风险...