数据安全治理实践指南（3.0）

版 权 声 明 本报告版权属于“数据安全推进计划”，并受法律保护。转载、摘编或者利用其他方式使用本报告文字、图表或者观点的，应注明“来源：数据安全推进计划”。违反上述声明者，编者将追究其相关法律责任。 前 言 数据作为数字经济发展的核心资源，是驱动社会创新、经济高质量发展的源动能。近期，随着国家数据局的成立、财政部《企业数据资源相关会计处理暂行规定》等的发布，数据获得各方空前关注。作为数字经济健康发展的重要基石，数据安全的重要性愈发突出，数据安全治理需求愈加明显。 为了梳理数据安全治理的概念内涵，探讨数据安全建设路线，解决数据安全实践难点问题，中国信息通信研究院数据安全推进计划发布《数据安全治理实践指南》（以下简称《指南》）系列，围绕数据安全治理目标、治理框架、治理实践路径展开论述。 相较于《指南（1.0）》《指南（2.0）》，本指南主要对数据安全治理总体视图及相关内容进行更新，主要体现在： （1）针对数据安全治理体系，丰富了基于数据全生命周期视角、基于工作内容分工视角的体系解读，贴近组织实际工作。 （2）针对数据安全运营，丰富了从运营对象、管控流程两个角度的建设内容，为组织提供更多的选择。 （3）增加数据安全专项工作开展思路，围绕数据分类分级、数据安全风险评估及治理、个人信息保护、数据出境安全评估、合作方数据安全管理等重点话题，阐述工作思路与方法。 （4）删除数据安全治理实践案例的附录，各组织的优秀实践案例将另行汇聚出版。 目 录 一、数据安全治理概述 ........................................................................................................................... 1 ( 一 ) 数据安全治理概念内涵 .................................................................................................... 1 ( 二 ) 数据安全治理原则 ............................................................................................................. 2 1. 以数据为中心 ................................................................................................................... 2 2. 多元化主体共同参与...................................................................................................... 2 3. 兼顾发展与安全 ............................................................................................................... 3 二、数据安全治理总体视图 .................................................................................................................. 4 ( 一 ) 数据安全治理目标 ............................................................................................................. 4 ( 二 ) 数据安全治理体系 ............................................................................................................. 5 1. 基于数据全生命周期视角 ............................................................................................ 5 2. 基于工作内容分工视角 ................................................................................................. 8 ( 三 ) 数据安全治理维度 ............................................................................................................. 9 1. 组织架构 ................................................................................................................................ 9 2. 制度流程 .............................................................................................................................. 12 3. 技术工具 .............................................................................................................................. 15 4. 人员能力 .............................................................................................................................. 17 ( 四 ) 数据安全治理专项 ........................................................................................................... 19 ( 五 ) 数据安全治理实践 ........................................................................................................... 19 三、数据安全治理实践路线 ................................................................................................................ 20 ( 一 ) 全局数据安全体系规划 .................................................................................................. 20 1. 现状分析 .............................................................................................................................. 20 2. 方案规划 .............................................................................................................................. 21 3. 方案论证 .............................................................................................................................. 23 ( 二 ) 数据安全场景有序建设 .................................................................................................. 23 1. 全面梳理业务场景 ........................................................................................................ 24 2. 确定业务场景治理优先级 .......................................................................................... 27 3. 评估业务场景数据安全风险 ...................................................................................... 28 4. 制定并实施业务场景解决方案 ................................................................................. 28 5. 完善业务场景操作规范 ............................................................................................... 28 ( 三 ) 数据安全运营持续加强 .................................................................................................. 28 1. 从运营对象的角度 ........................................................................................................ 29 2. 从管控流程的角度 ........................................................................................................ 31 ( 四 ) 数据安全评估助力优化 .................................................................................................. 34 1. 内部评估 .......................................................................................................................... 34 2. 第三方评估 ................................................................................................