数据安全治理白皮书3.0
下面是小编为大家整理的数据安全治理白皮书3.0,供大家参考。
数据安全治理白皮书 3.0 数据安全治理专业委员会编著 2021
Preface ■编写目的 数据对全球经济和社会发展的影响和作用正在发生由“量”到“质”的根本 性跃升°在由互联网、移动互联网为代表的信息时代,数据被定义为信息的形式 化表示,而物联网、云计算和人工智能技术的飞速发展,已经并仍在加速促生着 从“数据‘‘到“大数据"的由量变到质变的演进:大数据除了沿袭数据作为表示 信息的形式化载体这一属性外,同时又反过来成为挖掘新信息和新知识的基础原 材料,在经过统计分析和机器学习等技术和方法的发掘和利用后,既迸发出巨大 价值,又预示着无限潜能。根据 2020 年 4 月 9 日发布的《中共中央国务院关于构 建更加完善的要素市场化配置体制机制的意见》,我国已将数据上升为与土地、 劳动力、资本、技术并列的新型生产要素。
随着数据逐渐变成新时代生产生活的支柱,数据安全也日益成为保障经济发 展、社会稳定和国家安全的重要基石。近年来,为了在全球数字化转型竞争中抢 占战略先机,为本国基于数据的新兴产业发展提供良性有序的发展环境,包括我 国在内的世界各国都纷纷加速推进数据安全和公民隐私保护立法,积极编制并陆 续密集发布各种相关的政策、法规、标准、规范,不断对企业和组织提出严格细 致的合规要求和数据保护义务。
在上述背景下,作为数据采集、存储和处理等主要数据活动的执行者和参 与者,企业或组织无可逃避地需要面对越来越严峻和紧迫的数据安全挑战:如何 对已有的数据资产进行全面系统化的梳理?自身的数据资产和相关业务正在面临 着哪些安全威胁和潜在风险?能够采取哪些方法和手段对自身的数据安全风险进 行全面准确的评估和管控?如何加强数据安全建设,以实现对数据资产的有效保 护?当前有哪些数据安全方面的政策、法规和行业监管要求与自身业务有关?如 何及时跟进数据安全方面的标准规范以满足合规性要求?如何在数据资产的开发 利用和价值实现与安全保护和履行合规义务之间进行恰当平衡?如何在数据安全 方面编制合理的制度策略和选取适宜的技术方案?…… 为了帮助企业或组织应对以上众多数据安全方面的困惑和难题,安全领域提 出了 “数据安全治理”的理念。这一理念一经提出,就在全球范围内得到世界各 国的各级政府、各行各业的企业和组织的关注,并很快就被各方广泛视为在数字 化转型过程中满足数据安全合规要求和防控数据安全风险的具有重要实践指导意 义的系统性方法论。近年来,关于数据
安全治理的研究成果和产业实践不断涌现, 发展迅猛,方兴未艾。
本白皮书力图从剖析理念、分析形势、归纳框架、汇聚实践案例、解读法律 法规等角度,尽可能全面、系统地整理和总结了当前与数据安全治理有关的各种 资料和最新进展,希望为促进我国推广、普及和完善数据安全治理的理念、方法 和体系添砖加瓦、贡献力量。
■读者对象 本白皮书主要面向负责在企业或组织内开展数据安全治理工作的决策人员、 方案规划和实施人员、安全管理人员、技术培训人员,帮助他们更加深入全面地 了解在企业或组织的数字化转型过程中正在和将要面对的数据安全威胁、风险和 合规性要求,从而更积极主动地筹划和开展系统化的数据安全治理,确保企业或 组织能够有效应对数据时代的各种安全挑战。
此外,本白皮书对于数据安全相关政策法规和标准规范的编制人员、数据安 全行业的产品策划和市场开发人员、数据安全领域的研究人员和技术,也具有一 定参考价值。
■数据安全治理白皮书编写工作组简介 中国(中关村)网络安全与信息化产业联盟数据安全治理专业委员会(以下 简称数据安全治理专业委员会)是在中国(中关村)网络安全与信息化产业联盟(以 下简称中国(中关村)网信联盟)的指导与支持下,由委员会主任单位安华金和 牵头,联合业内知名企业发起的专业技术创新工作组织,这也是迄今为止,全国 首家数据安全领域的专项委员会。
数据安全治理专业委员会在中国(中关村)网信联盟的指导下,在行业专家 及学术专家的支持下,以行业数据安全应用为目标、以产业协作为主线、以技术 创新为核心,形成在数据安全领域的技术研究、思维碰撞、学术探讨、行业实践 分享的交流平台,探索和推动政府、行业、企业在数据安全治理工作上的思路、 规范和技术实践,以期达成在数据即资产时代,既保障数据安全又促进数据的分 享和使用。
2018 年第二届中国数据安全治理高峰论坛上,数据安全治理专业委员会正 式成立并对外发布《数据安全治理白皮书》 1.0 版本。
2019 年,延续 1.0 版本, 数据安全治理专业委员会编写团队共同编著修订了 2.0 版本。
2021 年,委员会 主任单位北京安华金和科技有限公司牵头成立了 “数据安全治理白皮书编写工作 组”,并完成了《数据安全治理白皮书》 3.0版本的更新修订,增加最新的法律法规、 数据安全治理实践案例以及数据安全技术介绍等。共同推动数据安全治理理念与 框架在各行业中的应用落地与经验分享,以期为各级政府与企业单位提供具有行 业针对性的数据安全治理方案与技术支撑,帮助共同实现数据资产的
价值释放。
■本白皮书起草单位 北京安华金和科技有限公司、国家工业信息安全发展研究中心、全球能源互 联网研究院有限公司、国网辽宁省电力有限公司信息通信分公司、陕西省信息化 工程研究院、南开大学网络空间安全学院、北京师范大学网络法治国际中心、深 圳市联软科技股份有限公司、北京明朝万达科技股份有限公司、华控清交信息科 技(北京)有限公司、北京谷安天下科技有限公司、南京壹进制信息科技有限公司、 北京数字认证股份有限公司、中金金融认证中心有限公司、北京安信天行科技有 限公司、杭州立思辰安科科技有限公司、北京海泰方圆科技股份有限公司、北京 协力友联科技发展有限公司、北京网络信息安全技术创新产业联盟、阿里云 ■本白皮书主要起草人 刘晓韬、杨海峰、唐力、国君、陈东玲、白倩、潘妍、李卫、郭晓栋、许智鑫、 郭昊、高先周、刘忠海、王丹妮、周金磊、张勇、刘哲理、吴玉铎、吴沈括、张建耀、 曲正、孙亚东、陈伟、张兵、李海鹏 ■版权声明 本白皮书版权属于中国(中关村)网络安全与信息化产业联盟数据安全治理 专业委员会(简称数据安全治理专业委员会),并受法律保护。转载、摘编或利 用其他方式使用本白皮书文字或观点的,应注明“来源:中国(中关村)网络安 全与信息化产业联盟数据安全治理专业委员会”,违者将被追究法律责任。
Catalog 一、 概述 ....................................................................... 2 1.1 数据安全治理基本理念
...................................................
2 1.1.1 治理“愿景”更加清晰 ..............................................
3 1.1.2 需求覆盖愈发明确
.................................................
3 1.1.3 核心理念全面凸显 ................................................... 3 1.1.4 建设步骤指导实践 ................................................... 4 1.1.5 安全框架推动顶层设计 ..............................................
5 1.2 近似概念的联系与区别
...................................................
5 1.2.1 数据安全与信息安全和网络安全 ......................................
5 1.2.2 数据安全治理与数据治理 ............................................. 6 1.2.3 数据安全治理与数据安全管理 ......................................... 7 1.2.4 数据安全治理与数据安全成熟度模型 ................................... 8 1.3 起源和发展简史 ........................................................... 9 二、 数据安全形势与挑战 ........................................................ 11 2.1 重新认识数据的价值与风险
............................................... 11 2.1.1 安全是价值实现的前提 .............................................. 11 2.1.2 数据生存周期安全 .................................................. 12 2.1.3 外部数据安全威胁 .................................................. 12 2.1.4 内部数据安全风险 .................................................. 13 2.1.5 数据意外丢失风险 .................................................. 14 2.2 空前严峻的数据安全形势 .................................................. 15 2.2.1 威胁风险迅速升级 .................................................. 15
2.2.2 影响范围不断扩大 .................................................. 15 2.2.3 危害程度更加严重 .................................................. 15 2.2.4 防护难度显著增加 .................................................. 16 2.3 数据安全的合规和标准化 .................................................. 17 三、 数据安全治理框架 .......................................................... 18 3.1 数据安全组织架构
....................................................... 19 3.1.1 职能架构 .......................................................... 19 3.1.2 定岗定员 .......................................................... 21 3.2 数据安全管理体系
....................................................... 21 3.2.1 管理体系制度架构 .................................................. 22 3.2.2 管理体系建设思路 .................................................. 23 3.3 数据安全技术体系 ........................................................ 23 3.3.1 技术体系架构 ...................................................... 23 3.3.2 技术体系建设思路 .................................................. 24 3.4 数据安全治理规划建设
................................................... 35 四、 行业实践案例 .............................................................. 36 4.1 政务云的数据安全治理
................................................... 36 4.1.1 常德市政务云数据安全治理实践 ...................................... 36 4.2 金融行业的数据安全治理
................................................. 39 4.2.1 国内某大型农村商业银行的数据安全防护实践 .......................... 39 4.2.2 某国有银行数据防泄漏实践 .......................................... 42 4.2.3 浙江农信数据安全治理实践 .......................................... 45 4.2.4 苏州银行数据安全治理实践 .......................................... 49 4.3 能源行业的数据安全治理 .................................................. 52 4.3.1 国家电网的数据安全治理实践 ........................................ 52 4.3.2 面向流动共享的电力数据合规管控平台
............................... 55 4.3.3 国网辽宁电力数据安全治理实践 ...................................... 58
4.4 教育行业的数据安全治理
................................................. 59 4.4.1 教育部数据安全治理实践 ............................................ 59 4.5 电信运营商行业的数据安全治理 ............................................ 62 4.5.1 中国电信国际的数据安全治理实践 .................................... 62 4.6 医疗行业的数据安全治理 .................................................. 65 4.6.1 中日友好医院安全防护实践 .......................................... 65 4.6.2 上海瑞金医院移动信息化安全治理实践 ................................ 69 五、数据安全的政策、法律和标准 ................................................. 72 5.1 数据安全政策和法律 ...................................................... 72 5.1.1 《网络安全法》解析
................................................ 72 5.1.2 网络安全等级保护 2.0 解析
.......................................... 73 5.1.3 《数据安全法》草案解析
............................................ 73 5.1.4 《个人信息保护法》草案解析
........................................ 74 5.1.5 政策和其他法律法规 ................................................ 75 5.2 相关国家标准
........................................................... 76 5.2.1 个人信息保护方向
................................................. 77 5.2.2 数据安全方向 ...................................................... 78 5.3 各行业标准和要求 ..........................................