《數(shù)據(jù)安全治理實(shí)踐指南(2.0)》發(fā)布 | 強(qiáng)調(diào)第三方數(shù)據(jù)安全評(píng)估認(rèn)證
2023-01-06 
0
《指南(2.0)》依據(jù)大量行業(yè)調(diào)研和組織實(shí)踐,在《指南(1.0)》的基礎(chǔ)上優(yōu)化了數(shù)據(jù)安全治理總體視圖,并針對(duì)數(shù)據(jù)分類分級(jí)難落地、管理與技術(shù)易脫鉤等焦點(diǎn)問題的建設(shè)方案進(jìn)行了初步探索,進(jìn)一步細(xì)化了數(shù)據(jù)安全治理實(shí)踐路線。
在這個(gè)大背景下,我們持續(xù)研究數(shù)據(jù)安全治理實(shí)踐方法論,幫助各行業(yè)提升數(shù)據(jù)安全治理能力。
相比1.0版本,《指南(2.0)》在三方面進(jìn)行了優(yōu)化升級(jí)。一是提出3344數(shù)據(jù)安全治理總體視圖,即3項(xiàng)治理目標(biāo)、3層治理體系、4項(xiàng)治理維度、4步實(shí)踐路線;二是提出全新數(shù)據(jù)安全治理理念,優(yōu)化規(guī)劃-建設(shè)-運(yùn)營(yíng)-優(yōu)化的數(shù)據(jù)安全治理實(shí)踐路線;三是提出數(shù)據(jù)分類分級(jí)7步建設(shè)路線。更加切合企業(yè)數(shù)據(jù)安全治理建設(shè)實(shí)際需要,同時(shí)也分析了企業(yè)數(shù)據(jù)安全治理最為關(guān)注的熱點(diǎn)問題。
由此,梳理出數(shù)據(jù)安全治理的三個(gè)要點(diǎn):一是“以數(shù)據(jù)為中心”,二是“多元化主體共同參與”,三是“兼顧發(fā)展與安全”。
數(shù)據(jù)安全治理目標(biāo)是組織數(shù)據(jù)安全治理工作開展的前進(jìn)方向。數(shù)據(jù)安全治理工作有三大目標(biāo):滿足合規(guī)要求是底線,管理數(shù)據(jù)安全風(fēng)險(xiǎn)是需要解決的重要問題,促進(jìn)數(shù)據(jù)開發(fā)利用則是確保數(shù)據(jù)安全與業(yè)務(wù)發(fā)展的雙向促進(jìn)。
數(shù)據(jù)安全治理體系是組織達(dá)成數(shù)據(jù)安全治理目標(biāo)需要具備的能力框架,組織應(yīng)圍繞該體系進(jìn)行建設(shè)。本指南中的數(shù)據(jù)安全治理體系是一個(gè)三層架構(gòu),分別包括數(shù)據(jù)安全戰(zhàn)略層、數(shù)據(jù)全生命周期安全層和基礎(chǔ)安全層。
數(shù)據(jù)安全治理維度包括組織架構(gòu)、制度體系、技術(shù)工具和人員能力四個(gè)方面,,以解決“誰來干”、“怎么干”、“干的如何”、“有沒有能力干”等關(guān)鍵問題。
在數(shù)據(jù)安全治理實(shí)踐路線上,本指南從大量企業(yè)數(shù)據(jù)安全治理實(shí)踐經(jīng)驗(yàn)中提煉出“全局體系規(guī)劃,場(chǎng)景有序落地,運(yùn)營(yíng)持續(xù)加強(qiáng),評(píng)估助力優(yōu)化”的數(shù)據(jù)安全治理實(shí)踐理念,并進(jìn)一步豐富形成“規(guī)劃—建設(shè)—運(yùn)營(yíng)—優(yōu)化”的閉環(huán)路線。
數(shù)據(jù)安全治理實(shí)踐的第一步是全局體系規(guī)劃,在該階段主要確定組織數(shù)據(jù)安全治理工作的總體定位和愿景,根據(jù)組織整體發(fā)展戰(zhàn)略內(nèi)容,結(jié)合實(shí)際情況進(jìn)行現(xiàn)狀分析,制定數(shù)據(jù)安全規(guī)劃,并對(duì)規(guī)劃進(jìn)行充分論證。
第二步是場(chǎng)景落地建設(shè)。為了快速響應(yīng)不同業(yè)務(wù)場(chǎng)景下不同的數(shù)據(jù)安全策略要求,本指南提出場(chǎng)景化的建設(shè)思路。一般來說,可以從數(shù)據(jù)全生命周期和業(yè)務(wù)運(yùn)行環(huán)境兩個(gè)角度對(duì)場(chǎng)景進(jìn)行劃分。組織通過逐個(gè)場(chǎng)景的數(shù)據(jù)安全建設(shè),最終推動(dòng)數(shù)據(jù)安全治理體系在組織內(nèi)的全面落地。
數(shù)據(jù)分類分級(jí)作為最為關(guān)鍵的場(chǎng)景,是數(shù)據(jù)安全工作的橋頭堡和必選題。針對(duì)這一特定場(chǎng)景,本指南結(jié)合行業(yè)實(shí)踐,進(jìn)一步細(xì)化了分類分級(jí)建設(shè)過程,提出了分類分級(jí)7步走的建設(shè)思路。
如何評(píng)價(jià)數(shù)據(jù)安全治理成效,并實(shí)現(xiàn)治理體系的優(yōu)化改進(jìn)是組織在數(shù)據(jù)安全治理能力建設(shè)過程中面臨的重要問題。一般來說,可以從內(nèi)部評(píng)估和第三方評(píng)估兩個(gè)維度入手。
