数据安全治理能力评估经验分享

发展背景及相关概念

• 国家战略层面：自2014年起，国家层面逐步推动大数据战略，数据从“大数据”概念上升为国家战略要素，并于2020年正式列为新型生产要素，强调数据要素市场化配置。
• 法律法规层面：2021年，《数据安全法》等法律法规相继发布实施，我国数据安全法律体系逐渐成型，涵盖数据安全责任体系、风险评估机制、分类分级保护、应急处置机制等。
• 数据安全概念：数据安全是指通过必要措施确保数据处于有效保护和合法利用的状态，并具备保障持续安全状态的能力，与网络安全形成双层防护体系。
• 数据安全治理：数据安全治理是组织内部为确保数据有效保护和合法利用而实施的活动集合，强调“以数据为中心”、“多元化主体共同参与”和“兼顾发展与安全”。

数据安全治理能力评估框架

• DSG体系：“3-4-5”三层治理框架、四个治理维度、五个治理等级，涵盖数据安全战略、数据全生命周期安全、基础安全、组织建设、制度流程、技术工具、人员能力。
• 评估等级：初始级、重点执行级、全面治理级、量化评估级、持续优化级，根据数据安全治理能力的覆盖范围和支撑力度进行划分。
• 评估目的：通过评估度量企业数据安全治理能力现状，规划提升路径，实现组织、制度、技术、人员方面的闭环提升。

数据安全治理能力评估进展

• 评估情况：已完成评估企业33家，涉及电信、互联网、金融、医疗等行业；正在开展评估企业11家。
• 评估成果：提供现状总结、优化建议、业内交流、宣传推广等收益，帮助企业提升数据安全治理水平。
• 监管挑战：《数据安全法》发布实施，企业面临监管应对、数据分类分级、应急处置、制度体系、风险评估等挑战。

数据安全推进计划（DSI）

• 发起单位：中国信息通信研究院发起，依托大数据协同安全技术国家工程实验室、中国通信标准化协会大数据技术标准推进委员会开展工作。
• 核心工作：建设数据安全标准体系、搭建交流平台、提供咨询与评估评测服务、开展数据安全研究。
• 工作体系：形成“可信数安”工作体系，涵盖数据安全治理能力评估、数据安全风险评估、个人信息保护评估、数据安全产品评测、数据安全服务能力评估等。
• 行业工作组：成立DSI金融工作组、汽车工作组，整合行业专家资源，推动数据安全建设。
• 数安智库：整合行业专家资源，凝聚共识，研究行业痛难点问题。
• 数安Talks：打造公开课品牌，每月聚焦数据安全话题，邀请行业企业共同探讨。

下一步工作计划

• 开展数据安全领域技术、应用、产业相关研究，撰写标准、研究报告、白皮书。
• 深入行业开展数据安全治理研究，促进行业数据安全能力提升。
• 发掘数据安全治理优秀案例，促进行业应用推广。
• 促进人才培养及行业交流，定期举办公开课、培训会等活动。
• 依托数安智库，推动数据安全难点、重点问题研究。