《中华人民共和国数据安全法》第四条 维护数据安全,应当坚持总体国家安全观,建立健全数据安全治理体系,提高
数据安全保障能力。
定义
数据治理是一种“制度化”过程,所谓制度化是执行一个“正式批准”的体系,该体系包括明确的价值目的、必须遵从的规范和落实个治理责任的组织机构。数据安全治理以“人”与数据为中心,通过平衡业务需求与风险,制定数据安全策略,对数据分级分类,对数据的全生命周期进行管理,从技术到产品、从策略到管理,提供完整的产品与服务支撑。
可以从不同的视角来了解数据治理的基本内涵:
目的:确保数据作为一种满足业务需要的资产(从数据到数据资产)
风险:致力于消除/降低数据资产的风险,包括法规依从性风险、质量风险、安全风险等。
收益:设置数据管理投入的正确方向,以获得更好的回报。
内容:明确作为企业资产的数据主体、建立围绕这些主体的权责体系
过程:覆盖数据的完整生命周期管理
实施:自上而下、面向企业整体范围的数据策略和高层规范。
Gartner提出,数据安全治理不仅仅是一套用工具组合的产品级解决方案,是从决策层到技术层,从管理制度到工具支撑,自上而下贯穿整个组织架构的完整链条。组织内的各个层级之间需要对数据安全治理的目标和宗旨取得共识,确保采取合理和适当的措施,以最有效的方式保护信息资源。
峰会
【2023年5月】 第六届中国数据安全治理高峰论坛举办,主题“数安新征程,共探治理路”
本届峰会由中国计算机学会计算机安全专业委员会、工业信息安全产业发展联盟、中国网络安全产业联盟数据安全工作委员会、中关村网络安全与信息化产业联盟、中国信息产业商会信息安全产业分会、北京工业互联网技术创新与产业发展联盟主办,北京安华金和科技有限公司、中关村网络安全与信息化产业联盟数据安全治理专业委员会承办。
【2022年5月】 工业数据安全论坛成功召开,打造创新发展新引擎
5月20日,由中国计算机学会计算机安全专委会、工业信息安全产业发展联盟、中关村网络安全与信息化产业联盟、北京工业互联网技术创新与产业发展联盟联合主办,国家工业信息安全发展研究中心指导、北京安华金和科技有限公司承办的第五届中国数据安全治理高峰论坛云上论坛——工业数据安全论坛圆满举行。
【2022年5月】 个人信息保护与数据安全治理论坛成功举办
5月13日,由中国计算机学会计算机安全专委会、工业信息安全产业发展联盟、中关村网络安全与信息化产业联盟、北京工业互联网技术创新与产业发展联盟联合主办,北京安华金和科技有限公司承办的第五届中国数据安全治理高峰论坛在云上盛大开启,首个云上论坛——个人信息保护与数据安全治理论坛成功召开。
【2021年5月】 第四届中国数据安全治理高峰论坛,主题“数据之光,安全未来”
【2021年5月】 《数据安全治理白皮书》3.0发布
【2019年4月】第三届中国数据安全治理高峰论坛,主题“共享数据价值·共担安全责任”
【2019年4月】《数据安全治理白皮书》2.0发布
报道
数据二十条”对外发布,构建数据基础制度体系——做强做优做大数字经济
数据基础制度建设事关国家发展和安全大局。《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称“数据二十条”)对外发布,从数据产权、流通交易、收益分配、安全治理等方面构建数据基础制度,提出20条政策举措。
建立安全可控、弹性包容的数据要素治理制度,构建政府、企业、社会多方协同的治理模式。
《专家解读|数据安全治理的中国智慧》
数据的无序流动、泄露等问题给个人和社会安全带来了潜在危害,数据安全风险日益成为影响产业发展、网络安全甚至国家安全的重要因素。因此,亟需以系统观同步探索数据治理体系,防范和化解风险挑战,有效实现数据安全与经济发展的统筹协调。
《有数据安全才有数据未来》
2015年图灵奖获得者、世界著名密码技术与安全技术专家惠特菲尔德·迪菲说,数据量越大,安全保障的重要性就越大,有太多案例已经证明了这一点。
《深度关注 | 数据安全关乎国家安全》
随着网络安全法、数据安全法等法律的施行,我国网络和数据相关的法律法规体系正在不断完善
“我国在网络安全和数据治理方面的立法体系不断构建完善,为开展网络安全和数据治理工作提供了充分的立法保障。”
《新视野 | 大数据时代的信息安全》
在我国数字经济进入快车道的时代背景下,如何开展数据安全治理,提升全社会的“安全感”,已成为普遍关注的问题。
这就要求我们必须解决数据安全领域的突出问题,有效提升数据安全治理能力。
数据保护是在进行数字化转型的大背景下,在数据流动和使用状态中的数据保护,不同于以前防火墙式的静态保护,数据安全治理更倾向于动态保护。
数据安全治理能力建设需要从决策到技术、从制度到工具、从组织架构到安全技术的通盘考虑,既要注重“硬实力”的锻造,也要聚焦“软实力”的提升。
《覆盖数据全生命周期 规范数据流通共享 提升数据安全治理能力(新知新觉)》
发展数字经济、加快培育发展数据要素市场,必须把保障数据安全放在突出位置。这就要求我们着力解决
数据安全领域的突出问题,有效提升数据安全治理能力。
《数据安全需共建生态协同治理》
在刘晓韬看来,如果对数据安全进行划分,我们会发现其中存在三个不同的阶段,分别是以边界安全为核心的1.0时代、以场景安全为核心的2.0时代、以体系化安全为核心的3.0时代。而想要应对持续变化发展中的
数据安全环境和需求,数据安全治理就不可能是单一的技术应用或产品堆砌,而要通过组织构建、规范制定、技术支撑等要素共同完成数据安全建设的方法论。
专家解读|《数据安全法》为全球数据安全治理贡献中国智慧和中国方案
设专章对支持促进
数据安全与发展的措施作了规定,保护个人、组织与数据有关的权益,提升数据安全治理和数据开发利用水平,促进以数据为关键生产要素的数字经济发展;
《五部门联合发布《汽车数据安全管理若干规定(试行)》》
《规定》倡导汽车数据处理者在开展汽车数据处理活动中坚持“车内处理”、“默认不收集”、“精度范围适用”、“脱敏处理”等数据处理原则,减少对汽车数据的无序收集和违规滥用。《规定》自2021年10月1日起施行。
《工业和信息化部关于加强车联网网络安全和数据安全工作的通知》
(十三)加强数据分类分级管理。按照“谁主管、谁负责,谁运营、谁负责”的原则,智能网联汽车生产企业、车联网服务平台运营企业要建立数据管理台账,实施数据分类分级管理,加强个人信息与重要数据保护。定期开展数据安全风险评估,强化隐患排查整改,并向所在省(区、市)通信管理局、工业和信息化主管部门报备。所在省(区、市)通信管理局、工业和信息化主管部门要对企业履行数据安全保护义务进行监督检查。
《网络安全审查办法》
2022年2月15日起施行。第七条 掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。
标准
参考标准:
国际标准化组织 (ISO/IEC) 38505数据治理框架
国际数据管理协会(CDMA)DAMA-DMBOK框架
国际数据治理研究所(DGI)DGI数据治理框架
IBM数据治理委员会(IBMDGA)数据治理成熟度模型
中国电子工业标准化技术协会信息技术服务分会(ITSS)数据治理规范
数据安全治理:数据治理中的过程,可独立实施。数据安全领域数据、业务、安全、技术、管理集合。数据安全治理关注于数据的安全保护,以数据业务属性为始,数据的分级分类为核心,从数据存放位置为核心,建立以数据为中的安全架构体系。
参考标准:Gartner数据安全治理框架(GartnerDSG)
信息安全技术—健康医疗数据安全指南(GB/T 39725-2020)医疗行业分级分类标准
原理
通过识别核心业务、关键数据资产与暴露面,采用“技术工具+咨询流程”分解实现。同时,数据集、重要数据目录规模、形态与企业或政府组织特征与发展过程息息相关,应建立阶段性目标与动态适应的数据分级分类体系。然后基于人工智能,通过行为分析和数据安全形成统一安全防护,建立传统边界与云环境下“端、管、云”立体化数据安全围栏,并可建立智能化、主动式的数据威胁预防体系。
主要特点
应用
按照Gartner DSG数据安全治理框架的建议,应该从组织根据业务战略制定数据集开始,在平衡业务战略、治理、合规、IT战略、风险容忍度后制定数据集的优先级进行关键数据资产目录的确定与分级分类,结合统一的安全策略与防护技术形成差异化数据安全技术保障能力。