數(shù)據(jù)安全治理與探索指南（2022）企業(yè)數(shù)據(jù)安全治理實踐企業(yè)數(shù)據(jù)安全治理實踐探索PAGEPAGE10目錄一、數(shù)據(jù)安全治理概述 1(一)數(shù)據(jù)安全治理概念內涵 1(二)數(shù)據(jù)安全治理要點闡釋 2二、數(shù)據(jù)安全治理總體視圖 3三、數(shù)據(jù)安全治理參考框架 5(一)數(shù)據(jù)安全戰(zhàn)略 5(二)數(shù)據(jù)全生命周期安全 7(三)基礎安全 10四、數(shù)據(jù)安全治理實踐路線 13(一)第一步：治理規(guī)劃 14(二)第二步：治理建設 15(三)第三步：治理運營 24(四)第四步：治理成效評估 27五、數(shù)據(jù)安全治理未來展望 29一、數(shù)據(jù)安全治理概述(一)數(shù)據(jù)安全治理概念內涵尤其(二)數(shù)據(jù)安全治理要點闡釋無論是廣義還是狹義的數(shù)據(jù)安全治理，都可以從以下三個要點進行闡釋。以數(shù)據(jù)為中心多元化主體共同參與兼顧發(fā)展與安全二、數(shù)據(jù)安全治理總體視圖1圖1數(shù)據(jù)安全治理總體視圖

來源：中國信息通信研究院數(shù)據(jù)安全治理目標：數(shù)據(jù)安全治理參考框架：《數(shù)數(shù)據(jù)安全治理實踐路線：圍繞上述數(shù)據(jù)安全治理參考框架，按照三、數(shù)據(jù)安全治理參考框架T/ISC-0011-20212來源：中國信息通信研究院圖2數(shù)據(jù)安全治理參考框架(一)數(shù)據(jù)安全戰(zhàn)略動入手：針對崗位變動，落實人力資源部門與數(shù)據(jù)安全管理部門、IT(二)數(shù)據(jù)全生命周期安全數(shù)據(jù)安全治理應圍繞數(shù)據(jù)全生命周期展開，以采集、傳輸、存儲、使用、共享、銷毀各個環(huán)節(jié)為切入點，設置相應的管控點和管理流程，以便于在不同的業(yè)務場景中進行組合復用。數(shù)據(jù)全生命周期安全包括數(shù)據(jù)采集安全在內的九項內容，如圖2所示。數(shù)據(jù)采集安全是指為確保在組織系統(tǒng)中生成新數(shù)據(jù)，或者從外部收集數(shù)據(jù)過程的合法、合規(guī)及安全性，而采取的一系列措施。應從以下關鍵活動入手：性評估；數(shù)據(jù)傳輸安全是指為防止傳輸過程中的數(shù)據(jù)泄漏，而采取的一系列數(shù)據(jù)加密保護策略和安全防護措施。應從以下關鍵活動入手：管理；控審計；數(shù)據(jù)內部共享安全是指為確保組織內部之間的數(shù)據(jù)交互過程安全，而采取的一系列措施。應從以下關鍵活動入手：數(shù)據(jù)外部共享安全是指為確保不同組織之間的數(shù)據(jù)交互過程安全，而采取的一系列措施。應從以下關鍵活動入手：數(shù)據(jù)銷毀安全是指通過對數(shù)據(jù)及其存儲介質實施相應的操作手(三)基礎安全2所示。合作方管理是指通過建立組織的合作方管理機制，防范組織對外合作中的數(shù)據(jù)安全風險?？梢詮囊韵玛P鍵活動入手：鑒別與訪問，顧名思義，即用戶身份鑒別與訪問控制管理，是組織實現(xiàn)數(shù)據(jù)安全保障的關鍵環(huán)節(jié)，可以從以下關鍵活動入手：風險和需求分析是指根據(jù)組織面臨的具體數(shù)據(jù)安全風險和安全四、數(shù)據(jù)安全治理實踐路線(一)第一步：治理規(guī)劃現(xiàn)狀分析結方案規(guī)劃方案論證(二)第二步：治理建設組織架構體系明晰的組織建設是保障數(shù)據(jù)安全治理工作順利開展的首要條件。一種典型的組織架構如圖3所示。來源：中國信息通信研究院圖3數(shù)據(jù)安全治理組織架構示意圖31表1數(shù)據(jù)安全組織架構角色及職責分工組織層級承擔角色角色描述主要職責決策層數(shù)據(jù)安全領導小組采取“一把手織高層管理者、各業(yè)務部門及技術部門的直接領導共同組成。制定數(shù)據(jù)安全整體目標和發(fā)展規(guī)劃；發(fā)布數(shù)據(jù)安全管理制度及規(guī)范；負責重大數(shù)據(jù)安全事件協(xié)調與決策等。管理層數(shù)據(jù)安全管理團隊由數(shù)據(jù)安全領導小組指派中高層人員作為數(shù)據(jù)安全負責人，并組建數(shù)據(jù)安全管理團隊。制定數(shù)據(jù)安全管理制度及規(guī)范；制定數(shù)據(jù)安全工作在各層級的運行機制，保障數(shù)據(jù)安全工作的順利運營；負責與數(shù)據(jù)安全相關監(jiān)管部門及行業(yè)組織的協(xié)調溝通；負責數(shù)據(jù)安全的日常管理工作等執(zhí)行層數(shù)據(jù)安全執(zhí)行團隊由各業(yè)務部門中與數(shù)據(jù)處理活動相關的人技術、運營等團隊的人員組成。負責數(shù)據(jù)安全制度及規(guī)范的具體執(zhí)行；負責數(shù)據(jù)安全的風險評估；監(jiān)督層數(shù)據(jù)安全監(jiān)督小組合規(guī)、等多部門組成的數(shù)據(jù)安全監(jiān)督小組。對數(shù)據(jù)安全制度及規(guī)范的完整性及執(zhí)行情況進行監(jiān)督；對數(shù)據(jù)安全技術工具的落地情況進行監(jiān)督；對數(shù)據(jù)安全風險評估過程進行監(jiān)督審計等。來源：中國信息通信研究院監(jiān)督層。制度流程體系4所示。來源：中國信息通信研究院圖4數(shù)據(jù)安全管理制度體系示意圖一級文件是由決策層明確的面向組織的數(shù)據(jù)安全管理方針、政策、根據(jù)以上圖4所示的常見制度體系，圍繞數(shù)據(jù)全生命周期安全要求，可以參考圖5完善組織各級制度文件內容。來源：中國信息通信研究院圖5一套可參考的數(shù)據(jù)安全管理制度體系6來源：中國信息通信研究院圖6數(shù)據(jù)安全管控流程參考示意圖技術工具體系7來源：中國信息通信研究院圖7數(shù)據(jù)安全技術工具部署示意圖根據(jù)以上圖7所示的示意圖，可以參考但不限于表2內容，完善各項技術工具以及產(chǎn)品平臺的功能項，確保數(shù)據(jù)安全技術能力的具體落實。表2技術工具對應功能描述參考框架技術工具/產(chǎn)品平臺功能訴求數(shù)據(jù)安全戰(zhàn)略公文/制度管理平臺公文審批、上傳、下發(fā)、更新、廢止；人員管理/考核平臺內部員工新增、轉崗、離職管理；實習/第三方人員新增、離職管理；員工數(shù)據(jù)安全責任承諾書等管理；員工數(shù)據(jù)安全違規(guī)管理；員工績效分發(fā)、考核記錄等。數(shù)據(jù)全生命周期安全數(shù)據(jù)采集安全技術采集數(shù)據(jù)源身份鑒別；敏感數(shù)據(jù)識別；采集工具及防泄漏工具部署；采集過程監(jiān)控及日志記錄；采集合規(guī)性評估等。數(shù)據(jù)傳輸安全技術傳輸主體兩端身份鑒別；數(shù)據(jù)加密/脫敏算法管理及實現(xiàn)；密鑰管理；傳輸通道加密管理；傳輸接口管理、認證及監(jiān)控等。存儲安全技術存儲加密算法管理及實現(xiàn)；密鑰管理；存儲系統(tǒng)部署及安全配置管理；數(shù)據(jù)備份與恢復技術數(shù)據(jù)備份；數(shù)據(jù)恢復；備份數(shù)據(jù)可用性及完整性驗證等。使用安全技術數(shù)據(jù)靜態(tài)/動態(tài)脫敏算法管理及實現(xiàn)；使用授權審批；數(shù)據(jù)流轉及人員操作監(jiān)控及審計等。數(shù)據(jù)處理環(huán)境安全技術測試環(huán)境、開發(fā)環(huán)境等的資源隔離；數(shù)據(jù)處理系統(tǒng)等的身份鑒別及訪問控制；數(shù)據(jù)處理系統(tǒng)等的數(shù)據(jù)操作日志記錄部署數(shù)據(jù)防泄漏工具等。數(shù)據(jù)內部共享安全技術、數(shù)據(jù)外部共享安全技術共享雙方身份鑒別；數(shù)據(jù)脫敏算法管理及實現(xiàn)；數(shù)據(jù)流轉溯源實現(xiàn)，如數(shù)字水??；共享審批及授權；共享過程日志記錄及監(jiān)控審計；數(shù)據(jù)共享平臺建設等。數(shù)據(jù)銷毀安全技術消磁、搗碎、焚毀等介質銷毀；銷毀結果驗證等；基礎安全數(shù)據(jù)分類分級技術敏感數(shù)據(jù)識別；分類分級規(guī)則定義及管理；分類分級結果打標等。數(shù)據(jù)資產(chǎn)管理平臺數(shù)據(jù)資產(chǎn)的識別、錄入、管理；數(shù)據(jù)資產(chǎn)分類分級標識。工單審批管理平臺覆蓋數(shù)據(jù)全生命周期和業(yè)務場景的各合規(guī)管理平臺合規(guī)風險庫管理；覆蓋數(shù)據(jù)全生命周期和各業(yè)務場景的合作方管理平臺合作方錄入、刪除、更新等；合作商機評審管理；監(jiān)控審計平臺監(jiān)控點及監(jiān)控閾值管理；風險告警策略的配置管理等。日志管理平臺覆蓋數(shù)據(jù)全生命周期和各業(yè)務場景的日志監(jiān)控與分析等。賬號及權限管理平臺賬號申請、分配、回收等的管理；涉敏/超級賬號的統(tǒng)一管理；涉敏/超級賬號權限的統(tǒng)一管理等。需求管理平臺（1）業(yè)務數(shù)據(jù)安全需求的申請、分析及安全方案管理等。風險管理平臺覆蓋數(shù)據(jù)全生命周期和各業(yè)務場景的與以上風險相對應的防控措施記錄及數(shù)據(jù)安全事件管理平臺數(shù)據(jù)安全事件的登記、應急處置記錄；數(shù)據(jù)安全事件的宣貫宣導管理等。來源：中國信息通信研究院人員能力體系8來源：中國信息通信研究院圖8數(shù)據(jù)安全人員能力培養(yǎng)體系(三)第三步：治理運營風險防范監(jiān)控預警測。3表3日常審計項目示例審計項目活躍度異常賬號、弱口令、異常登錄敏感數(shù)據(jù)是否加密存儲敏感數(shù)據(jù)是否加密傳輸個人信息采集是否得到授權異常/高風險操作行為敏感數(shù)據(jù)是否脫敏使用漏洞是否定期修復分類分級策略是否正確落實接口安全策略的落實情況銷毀過程的日常監(jiān)督來源：中國信息通信研究院應急處理數(shù)據(jù)安全應急預案宣貫宣導。根據(jù)數(shù)據(jù)安全事件的類別和級別，在相關業(yè)務部門或全線業(yè)務部門定期開展應急預案的宣貫宣導，降低類似數(shù)據(jù)安全事件風險。(四)第四步：治理成效評估內部評估應急演練通過構建內部人員泄露、外部黑客攻擊等場景，驗證組織數(shù)據(jù)安全治理措施的有效性和及時止損的能力，并通過在應