电信和互联网行业数据安全治理白皮书（2020）

技术白皮书 电信和互联网行业 数据安全治理白皮书 （2020年） 中国软件评测中心·网络空间安全测评工程技术中心 2020年7月 版权声明 本白皮书版权属于中国软件评测中心，并受法律保护，转载、摘编或利用其他方式使用本白皮书文字或观点的，应注明“来源：中国软件评测中心”，违反上述说明的，本单位将追究其相关法律责任。 编写指导：安 晖 唐 刚 编写小组：白利芳 朱信铭 王 涛 王翔宇 张嘉欢 张德馨 黄 峥 宁黄江 李杺恬 目 录 前 言 ................................................... 1 一、概述 ................................................. 3 1.1.概念及内涵 ....................................... 3 1.1.1.数据治理概念分析 ........................... 3 1.1.2.数据安全治理理念 ........................... 5 1.2.行业数据主要分类 ................................. 6 1.2.1.基于行业特点划分 ........................... 6 1.2.2.基于服务对象划分 ........................... 7 1.3.行业数据典型应用 ................................. 8 1.3.1.行业数据主要应用类型 ....................... 8 1.3.2.行业数据典型应用案例 ...................... 10 二、电信和互联网行业数据安全发展形势 .................... 11 2.1.行业数据安全总体形势 ............................ 11 2.1.1.事件影响范围不断扩大 ...................... 11 2.1.2.风险危害程度日趋严重 ...................... 12 2.1.3.安全治理难度持续升级 ...................... 13 2.2.行业数据安全主要风险 ............................ 13 2.2.1.互联网暴露面问题突出 ...................... 13 2.2.2.数据不可控性明显增加 ...................... 14 2.2.3.数据安全管理体系不完善 .................... 14 三、电信和互联网行业数据安全治理环境 .................... 15 3.1.国际数据安全治理环境 ............................ 15 3.1.1.欧盟密集立法深刻影响全球治理格局 .......... 15 3.1.2.美国多点立法捍卫其多元化社会利益 .......... 17 3.1.3.国际数据治理情绪高涨配套动作频繁 .......... 18 3.2.国内数据安全治理环境 ............................ 20 3.2.1.国内政策多头并进迎来治理新格局 ............ 20 3.2.2.国内数据治理标准化进展领先国际 ............ 23 四、电信和互联网行业数据安全治理需求 .................... 24 4.1.国内外政策形势紧迫 .............................. 24 4.2.安全和发展双重驱动 .............................. 25 4.3.数据拥有者权益期待 .............................. 26 五、电信和互联网行业数据安全治理实践 .................... 27 5.1.国外典型实践案例 ................................ 27 5.1.1.微软之DGPC框架 ........................... 27 5.1.2.Gartner之DSG框架 ........................ 28 5.2.国内典型实践案例 ................................ 29 5.2.1.监管层主要实践 ............................ 29 5.2.2.企业层实践案例 ............................ 31 5.3.国内外实践对比 .................................. 34 5.3.1.国外标志性实践 ............................ 34 5.3.2.国内标志性实践 ............................ 35 5.4.行业实践问题分析 ................................ 35 5.4.1.企业顶层驱动力不足 ........................ 35 5.4.2.“网元”模式待升级 ........................ 36 5.4.3.缺乏用户侧权益考量 ........................ 36 六、电信和互联网行业数据安全治理框架 .................... 36 6.1.数据安全治理层 .................................. 37 6.2.数据安全管理层 .................................. 37 6.3.数据安全执行层 .................................. 38 6.4.数据安全监督层 .................................. 38 七、电信和互联网行业数据安全治理建议 .................... 40 7.1.政策协调为逻辑起点 .............................. 40 7.2.权责分明为框架主线 .............................. 40 7.3.分级分类为实践基础 .............................. 41 7.4.治理评估为落地支撑 .............................. 42 - 1 - 前 言 网络信息技术创新日新月异，数字化、网络化、智能化融合发展，对我国建设网络强国、数字中国、智慧社会发挥着至关重要的作用。世界各国都把推进经济数字化作为创新发展的重要动能，并作出前瞻性布局。以数据为关键要素的数字经济发展历程中，数据价值也由最初的数据资源发展成为数据资产，再进一步发展为数据资本。4月9日，中共中央、国务院印发《关于构建更加完善的要素市场化配置体制机制的意见》，要求“加快培养数据要素”，将数据作为新型生产要素，正式与土地、劳动力、资本、技术等传统生产要素并列为国家基础战略性资源和社会生产创新要素之一。 电信和互联网行业（以下简称“行业”）在数据规模、覆盖范围、存储和传输能力，及实时性和多样性方面均具有突出的价值优势。随着行业数据内外部应用的同步拓展和推进，数据安全问题日益凸显，严重阻碍行业数据资源价值释放。做好行业数据安全治理刻不容缓。 本白皮书聚焦行业数据安全治理，首先，对数据治理、数据安全治理的内涵，以及行业数据主要分类、典型应用、安全发展形势进行了简要阐述和分析；其次，在梳理国内外数据安全治理环境的基础上提出行业数据安全治理需求，介绍了国内外数据安全治理的典型实践案例，并进行了问题分析；最后，提出行业数据安全治理框架和行业数据安全治理相关建议。 中国软件评测中心（工业和信息化部软件与集成电路促进中 - 2 - 心），简称中国软件评测中心，是直属于工业和信息化部的一类科研事业单位。长期服务和支撑国家部委、地方政府以及电信和互联网、交通、能源、银行、证券、保险、教育、卫生、广电、航空等各大行业，业务范围覆盖全国31个省、自治区、直辖市，业务网络覆盖全国500多个城市，构建了基于第三方服务的科技产业链。 网络空间安全测评工程技术中心（以下简称“网安中心”）是中国软件评测中心核心业务板块，致力于信息系统的网络安全防护和安全运行，支撑政府主管部门履行网络安全相关的社会管理和公共服务职能，主营信息安全风险评估、网络安全等级保护测评、关键信息基础设施保护评估、数据安全能力和合规性评估等网络信息安全相关业务。