数据安全治理

一、为什么要进行数据安全治理？
随着数据作为生产要素的重要性凸显，数据安全的地位不断提升， 尤其随着《数据安全法》的正式颁布，数据安全在国家安全体系中的重要地位得到了进一步明确。发展数字经济、加快培育发展数据要素市场，必须把保障数据安全放在突出位置。这就要求我们着力解决数据安全领域的突出问题，有效提升数据安全治理能力。
为指导行业数据安全治理能力建设，促进行业数据安全治理能力 发展，中国互联网协会发布团体标准 T/ISC-0011-2021《数据安全治理能力评估方法》，为不断提升数据安全治理能力提供标准依据。本指南以上述标准为基础，梳理数据安全治理概念内涵，认为应该从广义和狭义两个角度进行理解。
广义地说，数据安全治理是在国家数据安全战略的指导下，为形成全社会共同维护数据安全和促进发展的良好环境，国家有关部门、行业组织、科研机构、企业、个人共同参与和实施的一系列活动集合。包括完善相关政策法规，推动政策法规落地，建设与实施标准体系，研发并应用关键技术，培养专业人才等。
狭义地说，数据安全治理是指在组织数据安全战略的指导下，为 确保数据处于有效保护和合法利用的状态，多个部门协作实施的一系 列活动集合。包括建立组织数据安全治理团队，制定数据安全相关制 度规范，构建数据安全技术体系，建设数据安全人才梯队等。它以保障数据安全、促进开发利用为原则，围绕数据全生命周期构建相应安全体系，需要组织内部多利益相关方统一共识，协同工作，平衡数据安全与发展。
无论是广义还是狭义的数据安全治理，都可以从以下三个要点进 行阐释。
1.以数据为中心
数据的高效开发和利用，涵盖了数据的采集、传输、存储、使用、共享、销毁等全生命周期的各个环节，由于不同环节的特性不同，面临的数据安全威胁与风险也大相径庭。因此，必须构建以数据为中心的数据安全治理体系，根据具体的业务场景和各生命周期环节，有针对性地识别并解决其中存在的数据安全问题，防范数据安全风险。
2.多元化主体共同参与
 
无论是从广义还是狭义的角度出发，数据安全治理不是仅仅依靠 一方力量可以开展的工作。对国家和社会而言，面对数据安全领域的诸多挑战，政府、企业、行业组织、甚至个人都需要发挥各自优势，紧密配合，承担数据安全治理主体责任，共同营造适应数字经济时代要求的协同治理模式。这也与《数据安全法》中强调建立各方共同参与的工作机制相一致。对组织机构而言，数据安全治理需要从组织战略层面出发，协调管理层、执行层等各相关方，打通不同部门之间的沟通障碍，统一内部数据安全共识，实现数据安全防护建设一盘棋。因此，数据安全治理必然是涉及多元化主体共同参与的工作。
3.兼顾发展与安全
随着国内数字化建设的快速推进，无论是政府部门，还是其他组  织均沉淀了大量的数据。数字经济时代的应用场景下，数据只有在流  动中才能充分发挥其价值，而数据流动又必须以保障数据安全为前提， 因此，必须要辩证的看待数据安全治理。正如《数据安全法》提出的  “坚持以数据开发利用和产业发展促进数据安全，同时也要以数据安  全保障数据开发利用和产业发展。”数据安全治理不是强调数据的绝  对安全，而是需要兼顾发展与安全的平衡。
数据安全治理目标：合规保障是组织数据安全治理的底线要求， 风险管理是数据安全治理需要解决的重要问题。数字经济时代，数据的流通交易才能最大限度释放数据价值。因此，数据安全治理的目标是在合规保障及风险管理的前提下，实现数据的开发利用，保障业务的持续健康发展，确保数据安全与业务发展的双向促进。
二、数据全生命周期安全
数据安全治理应围绕数据全生命周期展开，以采集、传输、存 储、使用、共享、销毁各个环节为切入点，设置相应的管控点和管 理流程，以便于在不同的业务场景中进行组合复用。数据全生命周 期安全包括数据采集安全在内的九项内容，如图所示。
 
数据采集安全是指为确保在组织系统中生成新数据，或者从外 部收集数据过程的合法、合规及安全性，而采取的一系列措施。应 从以下关键活动入手：
l 明确负责数据采集安全工作的团队及职责；
l 采集数据源的可信管理、身份鉴定、用户授权；
l 数据采集设备的管理，比如访问控制、安全加固等；
l 涉及个人信息和重要数据的业务场景，应在采集前进行合规
性评估；
l 采集过程的日志记录及监控审计；
l 建立数据采集工具；
l 采集过程中，实现敏感数据识别及防泄漏。
数据传输安全是指为防止传输过程中的数据泄漏，而采取的一 系列数据加密保护策略和安全防护措施。应从以下关键活动入手：
l 明确负责数据传输安全工作的团队及职责；
l 传输通道两端主体的身份鉴别；
l 在数据分类分级的基础上，根据业务场景，制定数据加密传
输方案，以及传输通道加密方案；

 
l 梳理数据传输接口，形成接口管控清单；
l 开展接口调用日志记录及监控审计。
存储安全是指为确保存储介质上的数据安全性，而采取的一系列 措施。应从以下关键活动入手：
l 明确负责存储安全工作的团队及职责；
l 在数据分类分级的基础上，结合业务场景，明确不同类别和
级别数据的加密存储要求，包括对加密算法的要求和加密密钥的管理要求；
l 建立存储系统或平台，并实现对账号、权限、安全基线等的
管理；
l 建立存储介质管理系统或平台，对购买、标记、审批、入库、
出库等操作进行安全管理，保障存储介质本身的安全。
数据备份与恢复是指通过规范数据存储的冗余管理工作机制，保 障数据的高可用性。应从以下关键活动入手：
l 明确负责数据备份与恢复工作的团队及职责；
l 制定数据备份与恢复的操作规程；
l 建立数据备份与恢复清单；
l 建立数据备份与恢复平台，按照上述清单定期执行备份，并
对备份数据完整性和可用性进行验证。
使用安全是指为保障在组织内部对数据进行计算、分析、可视化 等操作过程的安全性，而采取的一些列措施。应从以下关键活动入手：
l 明确负责使用安全工作的团队及职责；
 
l 基于数据分类分级情况，建立不同类别和级别的数据使用审
批流程及安全评估机制；
l 部署数据脱敏工具，实现不同类别、不同级别的数据脱敏；
l 对各类数据处理活动进行日志记录和监控审计。
数据处理环境安全是指为确保组织的数据处理系统、终端、平台 等环境的安全性，而采取的一系列措施。应从以下关键活动入手：
l 明确负责数据处理环境安全工作的团队及职责；
l 明确系统开发、上线、运维过程的安全控制措施；
l 对生产网、测试网等不同环境进行资源隔离；
l 对用户在数据处理环境上的各项加工操作进行日志记录和监
控审计；
l 部署数据处理环境的数据防泄漏工具。
数据内部共享安全是指为确保组织内部之间的数据交互过程安 全，而采取的一系列措施。应从以下关键活动入手：
l 明确负责数据内部共享安全工作的团队及职责；
l 对共享的数据内容进行评估、审批；
l 对共享过程进行日志记录及监控审计；
l 建立内部共享清单，明确共享链条；
l 建立数据共享工具或平台，并对其账号、权限等进行管控。
l 部署数据脱敏工具；
l 部署数据溯源工具。
数据外部共享安全是指为确保不同组织之间的数据交互过程安