《数据安全治理实践指南(4.0)》是中国通信标准化协会大数据技术标准推进委员会于2024年12月发布的报告,旨在帮助企业提升数据安全治理水平。报告由多家单位共同编写,包括中国信息通信研究院云计算与大数据研究所、浙商银行等。相较于前序版本,4.0版本在数据安全场景化实践路线、数据分类分级专项、数据出境安全评估专项以及数据安全治理技术体系等方面进行了更新。
报告强调数据作为数字经济的核心资源,其安全治理对于社会创新和经济高质量发展至关重要。随着相关法规的发布,数据安全的重要性被推向新高度。报告从数据安全治理的概念内涵、原则出发,提出了总体视图,并详细阐述了实践路线、专项开展思路,最后进行了总结与展望。
核心内容概述:
-
数据安全治理概念内涵:
-
狭义上,指在组织数据安全战略指导下,确保数据有效保护和合法利用的系列活动。
-
广义上,是在国家数据安全战略指导下,全社会共同参与维护数据安全的活动集合。
-
-
数据安全治理原则:
-
以数据为中心,构建治理体系,解决全生命周期的数据安全问题。
-
多元化主体共同参与,包括政府、企业、行业组织和个人。
-
兼顾发展与安全,促进数据开发利用的同时保障数据安全。
-
-
数据安全治理总体视图:
-
包括治理目标、治理体系、治理维度和专项。
-
治理目标是满足合规要求、治理数据安全风险、促进数据开发利用。
-
治理体系基于数据全生命周期视角,包括战略层、生命周期安全层和基础安全层。
-
治理维度涵盖组织架构、制度流程、技术工具和人员能力。
-
-
数据安全治理实践路线:
-
全局数据安全体系规划,包括现状分析、方案规划和论证。
-
数据安全场景有序建设,涉及梳理场景、评估风险、确定优先级、进行治理建设和完善管控措施。
-
数据安全运营持续加强,从运营对象和管控流程角度出发。
-
数据安全评估助力优化,包括内部评估和第三方评估。
-
-
数据安全治理专项开展思路:
-
数据分类分级专项,包括建立组织和制度保障、进行数据资源梳理、明确分类分级方法等。
-
数据安全风险评估及治理专项,涵盖评估准备、实施和总结,以及风险治理。
-
合作方数据安全管理专项,涉及数据合作方识别和安全评估。
-
数据出境安全评估专项,包括合规管理现状、评估流程和内容。
-
-
数据安全治理总结与展望:
-
2023年国家数据局成立,2024年继续推动数据工作。
-
数据要素市场高速发展,需要建立数据流通安全体系。
-
人工智能技术发展带来数据安全技术突破契机,同时也带来新挑战。
-
报告最后介绍了数据安全推进计划(DSI),这是一个公益性项目,旨在推动数据安全政策学习、标准建设、评估评测等,提升数据安全治理水平。DSI参与单位广泛,涵盖多个行业,并在专家智库、行业工作组、公开课等方面构建了专业品牌。
---------------------------------------------------------------------------------------------------------------------------------
