《數據安全推進計劃：數據安全治理實踐指南（3.0）（2023）（59頁）.pdf》由會員分享，可在線閱讀，更多相關《數據安全推進計劃：數據安全治理實踐指南（3.0）（2023）（59頁）.pdf（59頁珍藏版）》請在三個皮匠報告上搜索。

1、 版 權 聲 明 版 權 聲 明 本報告版權屬于“數據安全推進計劃”，并受法律保護。轉載、摘編或者利用其他方式使用本報告文字、圖表或者觀點的，應注明“來源：數據安全推進計劃”。違反上述聲明者，編者將追究其相關法律責任。前 言 前 言 數據作為數字經濟發展的核心資源，是驅動社會創新、經濟高質量發展的源動能。近期，隨著國家數據局的成立、財政部企業數據資源相關會計處理暫行規定等的發布，數據獲得各方空前關注。作為數字經濟健康發展的重要基石，數據安全的重要性愈發突出，數據安全治理需求愈加明顯。為了梳理數據安全治理的概念內涵，探討數據安全建設路線，解決數據安全實踐難點問題，中國信息通信研究院數據安全推進計

2、劃發布數據安全治理實踐指南（以下簡稱指南）系列，圍繞數據安全治理目標、治理框架、治理實踐路徑展開論述。相較于指南（1.0）指南（2.0），本指南主要對數據安全治理總體視圖及相關內容進行更新，主要體現在：（1）針對數據安全治理體系，豐富了基于數據全生命周期視角、基于工作內容分工視角的體系解讀，貼近組織實際工作。（2）針對數據安全運營，豐富了從運營對象、管控流程兩個角度的建設內容，為組織提供更多的選擇。（3）增加數據安全專項工作開展思路，圍繞數據分類分級、數據安全風險評估及治理、個人信息保護、數據出境安全評估、合作方數據安全管理等重點話題，闡述工作思路與方法。（4）刪除數據安全治理實踐案例的附錄，

3、各組織的優秀實踐案例將另行匯聚出版。目 錄 目 錄 一、數據安全治理概述.1(一)數據安全治理概念內涵.1(二)數據安全治理原則.2 1.以數據為中心.2 2.多元化主體共同參與.2 3.兼顧發展與安全.3 二、數據安全治理總體視圖.4(一)數據安全治理目標.4(二)數據安全治理體系.5 1.基于數據全生命周期視角.5 2.基于工作內容分工視角.8(三)數據安全治理維度.9 1.組織架構.9 2.制度流程.12 3.技術工具.15 4.人員能力.17(四)數據安全治理專項.19(五)數據安全治理實踐.19 三、數據安全治理實踐路線.20(一)全局數據安全體系規劃.20 1.現狀分析.20 2.

4、方案規劃.21 3.方案論證.23(二)數據安全場景有序建設.23 1.全面梳理業務場景.24 2.確定業務場景治理優先級.27 3.評估業務場景數據安全風險.28 4.制定并實施業務場景解決方案.28 5.完善業務場景操作規范.28(三)數據安全運營持續加強.28 1.從運營對象的角度.29 2.從管控流程的角度.31(四)數據安全評估助力優化.34 1.內部評估.34 2.第三方評估.35 四、數據安全治理專項開展思路.36（一）數據分類分級專項.36 1.建立組織保障.36 2.進行數據資源梳理.37 3.明確分類分級方法、策略.38 4.完成數據分類.38 5.逐類完成定級.40 6.

5、形成分類分級目錄.41 7.制定數據安全策略.41（二）數據安全風險評估及治理專項.42 1.數據安全風險評估.42 2.數據安全風險治理.44（三）個人信息保護專項.45 1.個人信息采集風險.45 2.個人信息存儲風險.46 3.個人信息使用風險.46 4.組織管理風險.46（四）合作方數據安全管理專項.46 1.數據合作方識別.47 2.數據合作方安全評估.47（五）數據出境安全評估專項.48 1.判斷是否適用數據出境安全評估.49 2.明確需要數據出境安全評估的場景.49 3.準備各項申報材料.50 五、數據安全治理總結與展望.51 1 一、數據安全治理概述 一、數據安全治理概述 發展

6、數字經濟、加快培育發展數據要素市場，必須把保障數據安全放在突出位置。這就要求我們著力解決數據安全領域的突出問題，有效提升數據安全治理能力。隨著數據安全監管要求逐漸落地，組織數據安全治理動力明顯攀升，數據安全技術及服務供給不斷釋放。整體來看，數據安全治理進入快速發展階段。本章將解析數據安全治理概念內涵，分析數據安全治理原則。(一)數據安全治理概念內涵(一)數據安全治理概念內涵 為指導行業數據安全治理能力建設，促進行業數據安全治理能力發展，依據中國通信標準化協會大數據技術標準推進委員會 BDC 91-2022 數據安全治理能力評估方法，梳理數據安全治理概念內涵，本指南認為應該從廣義和狹義兩個角度進

7、行理解。狹義地說，狹義地說，數據安全治理是指在組織數據安全戰略的指導下，為確保組織數據處于有效保護和合法利用的狀態，以及具備保障持續安全狀態的能力，內外部相關方協作實施的一系列活動集合。包括建立數據安全治理組織架構，制定數據安全制度規范，構建數據安全技術體系，建設數據安全人才梯隊等。廣義地說，廣義地說，數據安全治理是在國家數據安全戰略的指導下，為形成全社會共同維護數據安全、促進開發利用和產業發展的良好環境，2 國家有關部門、行業組織、科研機構、企業、個人共同參與和實施的一系列活動集合。包括完善相關政策法規，推動政策法規落地，建設實施標準體系，研發應用關鍵技術，培養專業人才等。(二)數據安全治理

8、原則(二)數據安全治理原則 1.1.以數據為中心 以數據為中心 數據的高效開發和利用，涵蓋了數據的采集、傳輸、存儲、使用、共享、銷毀等全生命周期的各個環節，不同環節的特性不同，都面臨豐富多樣的數據安全威脅與風險。因此，必須構建以數據為中心的數據安全治理體系，根據具體的業務場景和各生命周期環節，有針對性地識別并解決其中存在的數據安全問題，防范數據安全風險。2.2.多元化主體共同參與 多元化主體共同參與 無論是從廣義還是狹義的角度出發，數據安全治理不是僅僅依靠一方力量可以開展的工作。對國家和社會而言，面對數據安全領域的諸多挑戰，政府、企業、行業組織、甚至個人都需要發揮各自優勢，緊密配合，承擔數據安

9、全治理主體責任，共同營造適應數字經濟時代要求的協同治理模式。這也與中華人民共和國數據安全法（以下簡稱數據安全法）中強調建立各方共同參與的工作機制相一致。對組織機構而言，數據安全治理需要從組織戰略層面出發，協調管理層、執行層等相關方，打通不同部門之間的溝通障礙，統一內部數據安全共識，實現數據安全防護建設一盤棋。因此，數據安全治理必然是涉及多元化主體共同參與的工作。3 3.3.兼顧發展與安全 兼顧發展與安全 隨著國內數字化建設的快速推進，無論是政府部門，還是其他組織均沉淀了大量的數據。數字經濟時代的應用場景下，數據只有在流動中才能充分發揮其價值，而數據流動又必須以保障數據安全為前提，因此，必須要辯

10、證看待數據安全治理。正如 數據安全法 提出的“堅持以數據開發利用和產業發展促進數據安全，以數據安全保障數據開發利用和產業發展?！睌祿踩卫聿皇菑娬{數據的絕對安全，而是需要兼顧發展與安全的平衡。4 二、數據安全治理總體視圖 二、數據安全治理總體視圖 本指南結合前期大量調研和數據安全治理能力評估實踐，依據中國通信標準化協會大數據技術標準推進委員會 BDC 91-2022 數據安全治理能力評估方法，提煉出一套行之有效的數據安全治理總體視圖，用以描繪數據安全治理的建設藍圖和實踐路線，如圖 1 所示。來源：數據安全推進計劃 圖 1 數據安全治理總體視圖(一)數據安全治理目標(一)數據安全治理目標 數據

11、安全治理目標是組織數據安全治理工作開展的前進方向。本指南認為其主要包括滿足合規要求、治理數據安全風險、促進數據開發利用三方面。滿足合規要求。滿足合規要求。逐漸細化的數據安全監管要求，為組織數據安全 5 合規工作的推進提出了更高的要求。及時發現合規差距，協助組織履行數據安全責任義務，為業務的穩定運行和規范化開展筑牢根基是數據安全治理工作的首要目標。治理數據安全風險。治理數據安全風險。不斷產出的海量數據在動態實時流轉過程中，面臨著較大的風險暴露面，數據安全威脅及帶來的影響與日俱增。疊加數據安全邊界較為模糊、數據安全基礎不夠強韌等問題，組織數據安全風險的有效治理必然是數據安全治理的重要使命。促進數據

12、開發利用。促進數據開發利用。數字經濟的高速發展離不開數據價值的充分釋放，數據安全則是保障數據價值釋放的重要基石。數據安全治理通過體系化的建設，完善組織的合規管理和風險管理工作機制，提升數據安全保護水平，促進數據的開發利用。(二)數據安全治理體系(二)數據安全治理體系 數據安全治理體系是組織達成數據安全治理目標需要具備的能力框架，組織應該圍繞該體系進行建設。本指南依據 BDC 91-2022 數據安全治理能力評估方法，基于數據全生命周期視角數據全生命周期視角提出了一個三層架構，同時基于該三層架構在實踐中的工作分工工作分工，演化出管理、技術、運營三類工作內容。1.1.基于數據全生命周期視角 基于數

13、據全生命周期視角 數據安全治理體系的三層框架包括數據安全戰略層、數據全生命周期安全層和基礎安全層，其中：數據安全戰略層數據安全戰略層是推進數據安全治理工作開展的戰略保障模塊，6 要求組織在啟動各項工作前，應制定相應的戰略規劃。數據安全戰略從數據安全規劃、機構人員管理兩方面入手，前者確立目標任務，后者組建治理團隊。數據安全規劃要求根據國家政策、組織業務發展需要以及數據安全需求等多方面因素明確組織整體數據安全規劃。機構人員管理要求建立負責組織內部數據安全工作的部門、崗位和人員，并與人力資源管理部門進行聯動，防范機構人員管理過程中存在的數據安全風險。數據全生命周期安全層數據全生命周期安全層是評估組織

14、數據安全合規及風險管理等工作下沉至各業務場景能力水平的重要模塊。要求組織以采集、傳輸、存儲、使用、共享、銷毀等環節為切入點，設置管控點和管理流程，保障數據安全。具體來說包括：數據采集安全是指根據組織對數據采集的安全要求，建立數據采集安全管理措施和安全防護措施，規范數據采集相關流程，從而保證數據采集的合法、合規、正當和誠信。數據傳輸安全是指根據組織對內和對外的數據傳輸需求，建立不同的數據加密保護策略和安全防護措施，防止傳輸過程中的數據泄露等風險。數據存儲安全是指根據組織內部數據存儲安全要求，提供有效的技術和管理手段，防止對存儲介質的不當使用而可能引發的數據泄露風險，并規范數據存儲的冗余管理流程，

15、保障數據可用性，實現數 7 據存儲安全。數據使用安全是指根據數據使用過程面臨的安全風險，建立有效的數據使用安全管控措施和數據處理環境的安全保護機制，防止數據處理過程的風險。數據共享安全是指根據組織對外提供或交換數據的需求，建立有效的數據交換安全防護措施，降低數據共享場景下的安全風險。數據銷毀安全是指通過制定數據銷毀機制，實現有效的數據銷毀管控，防止因對存儲介質中的數據進行恢復而導致的數據泄露風險?；A安全層基礎安全層作為數據全生命周期安全能力建設的基本支撐模塊，可以在多個生命周期環節內復用，是整個數據安全治理體系建設的通用要求，能夠實現建設資源的有效整合。具體來說包括：數據分類分級是指根據法律

16、法規以及業務需求，明確組織內部的數據分類分級原則及方法，并對數據進行分類分級標識，以實現差異化的數據安全管理。合規管理是指根據組織內部的業務需求和業務開展場景，明確相關法律法規要求，通過制定管理措施降低組織面臨的合規風險。合作方管理是指通過建立組織的合作方管理機制，防范組織對外合作中的數據安全風險。監控審計是指通過建立監控及審計的工作機制，有效防范不正當的數據訪問和操作行為，降低數據全生命周期未授權訪問、數據濫用、數據泄露等安全風險。8 身份認證與訪問控制是指根據組織的安全合規要求，建立用戶身份認證和訪問控制管理機制，防止對數據的未授權訪問。安全風險分析是指根據組織的業務場景建立數據安全風險分

17、析體系，將風險控制在可接受的水平，最大限度的保障數據安全。安全事件應急是指通過建立數據安全應急響應體系，確保在發生數據安全事件后能夠及時止損，保障業務的安全和穩定運行，最大程度降低數據安全事件帶來的影響。2.2.基于工作內容分工視角 基于工作內容分工視角 上述三層框架在組織內部落地實踐過程，涉及到多方面的工作，根據組織內常見的工作劃分，我們按照管理、技術、運營三類的工作內容進行演化，生成基于工作內容的數據安全治理體系視角，其中：管理類工作管理類工作涉及組織架構、制度流程、人員管理等三方面工作，是數據安全治理體系在組織內運作的基石，主要負責協調、整合及優化各種資源，最終實現數據安全治理目標。更詳

18、細的內容可以參考“（三）數據安全治理維度”。技術類工作技術類工作涉及基礎通用類、生命周期類、平臺類技術的策略配置、技術實現等，主要為管理類工作的落地提供技術支撐，是數據安全的直接保障。具體的技術工作將在“（三）數據安全治理維度”進行描述。運營類工作運營類工作可以從運營對象、管控流程兩個維度切入實現，主要承擔優化數據安全工作流程，及時持續的為數據安全決策提供有價值 9 的信息和洞察。更詳細的內容將在第三章進行闡述。(三)數據安全治理維度(三)數據安全治理維度 以數據安全治理目標為指引，圍繞數據安全治理體系框架，可以從組織架構、制度體系、技術工具和人員能力四個維度開展治理能力建設工作，以解決“誰來

19、干”、“怎么干”、“干的如何”、“有沒有能力干”等關鍵問題。1.組織架構 1.組織架構 數據安全組織架構是數據安全治理體系建設的前提條件。通過建立專門的數據安全組織，落實數據安全管理責任，確保數據安全相關工作能夠持續穩定的貫徹執行。同時，因數據安全治理是一項多元化主體共同參與的復雜工作，明確的組織架構有助于劃分各參與主體的數據安全權責邊界，促進協同機制的建立，實現組織數據安全治理一盤棋。在一個組織內部，安全部門、合規部門、風控部門、內審部門、業務部門、人力部門等都需要參與到數據安全治理的具體工作中，相互協同，共同保障組織的數據安全。一種較為典型的數據安全治理組織架構一般由決策層、管理層、執行層

20、與監督層構成，如圖 2 所示，各層之間通過定期會議溝通等工作機制實現緊密合作、相互協同。決策層決策層指導管理層工作的開展，并聽取管理層關于工作情況和重大事項等的匯報，一般以虛擬組織的形式存在，如數據安全領導小組，該小組通常由組織的高層領導及相關部門負責人共同構成，主要負責 10 對數據安全的重大事項進行統籌決策，主要職責包括：來源：數據安全推進計劃 圖 2 數據安全治理組織架構示例 制定數據安全整體目標和發展規劃；發布數據安全管理制度及規范；提供數據安全規劃、設計、建設、實施、運營等全過程的資源保障；重大數據安全事件協調與決策。管理層管理層則對執行層提出數據安全管理要求，并聽取執行層關于數據安

21、全執行情況和重大事項的匯報，形成管理閉環，一般由安全部門或數據部門牽頭，負責數據安全的管理、建設、宣貫等工作，主要職責包括：制定數據安全管理制度及規范；制定數據安全工作在各層級的運行機制，保障數據安全工作的 11 順利運營；推進數據安全風險評估、數據出境安全評估等專項工作的開展；推進數據安全意識培訓、安全技能提升、安全技術考核等工作；負責與國家數據安全相關監管部門及行業組織的協調溝通。執行層執行層一般由業務部門、技術部門等構成，負責執行或支撐各項數據安全管理要求的貫徹落實，主要職責包括：負責依據國家法律法規、政策文件、標準規范及企業相關數據安全管理要求，合理開展工作；負責制定本部門相關業務場景

22、下的數據安全實施細則；負責按照要求構建數據安全建設的技術支撐能力，助力管理要求落地；負責反饋合理的數據安全需求，促進數據安全防護工作的改進；積極參與數據安全意識培訓、能力培養及考核工作。監督層監督層負責對管理層和執行層各自職責范圍內的數據安全工作情況進行監督，并聽取各方匯報，形成最終監督結論后同步匯報至決策層，一般涉及合規、風控、內審等部門，主要職責包括：對數據安全制度及規范的執行情況進行監督；對數據安全技術工具的落地情況進行監督；對數據安全風險評估過程進行監督審計。各層的主要分工和構成如表 1 所示。因不同組織的部門設置都有較大不同，涉及到實際組織體系建設時，不同機構還需結合現有組織 12

23、架構，進行適度的調整和補充。表 1 數據安全組織職責分工表 來源：數據安全推進計劃 2.制度流程 2.制度流程 數據安全制度流程一般會從業務數據安全需求、數據安全風險控制需要，以及法律法規合規性要求等幾個方面進行梳理，最終確定數據安全防護的目標、管理策略及具體的標準、規范、程序等。數據安全管理制度文件可分為四個層面，一、二級文件作為上層的管理要求，應具備科學性、合理性、完備性及普適性。三、四級文件則是對上層管理要求的細化解讀，用于指導具體業務場景的具體工作。常見的制度體系如圖 3 所示。數據安全責任 數據安全責任 決策層 決策層 管理層 管理層 執行層 執行層 監督層 監督層 組織高層領導組織

24、高層領導及相關部門負及相關部門負責人責人 安全部門/安全部門/數據數據部門部門 業務部門/業務部門/技術技術部門部門/人力部門/人力部門 合規部門/合規部門/風控風控部門部門/內審部門/內審部門 整體建設規劃 整體建設規劃 牽頭負責 遵照執行 遵照執行 執行并監督 組織架構調整 組織架構調整 牽頭負責 遵照執行 遵照執行 執行并監督 制度流程建設 制度流程建設 意見審批 牽頭負責 遵照執行 執行并監督 技術體系建設 技術體系建設 意見審批 日常管理 牽頭負責 日常監督 安全要求落實 安全要求落實 意見審批 日常管理 牽頭負責 日常監督 安全專項檢查 安全專項檢查 意見審批 牽頭負責 遵照執行

25、日常監督 安全教育培訓 安全教育培訓 意見審批 牽頭負責 遵照執行 日常監督 13 來源：數據安全推進計劃 圖 3 數據安全治理制度體系示例 一級文件一級文件是由決策層明確的面向組織的數據安全管理方針、政策、目標及基本原則。二級文件二級文件是由管理層根據一級文件制定的通用管理辦法、制度及標準。三級文件三級文件一般由管理層、執行層根據二級管理辦法確定各業務、各環節的具體操作指南、規范。四級文件四級文件屬于輔助文件，是各項具體制度執行時產生的過程性文檔，一般包括工作計劃、申請表單、審核記錄、日志文件、清單列表等內容。根據圖 3 所示的常見制度體系，圍繞數據全生命周期安全要求，可以參考圖 4 完善組

26、織各級制度文件內容。14 15 3.技術工具 3.技術工具 數據安全治理體系的技術并非單一產品或平臺的構建，而是結合組織自身使用場景，圍繞數據全生命周期各階段的安全要求，建立起來的與制度流程相配套的技術和工具。一種典型的數據安全治理技術體系如圖 5 所示，由基礎通用類技術、生命周期類技術、平臺類技術構成。來源：數據安全推進計劃 圖 5 數據安全治理技術體系 基礎通用類基礎通用類技術工具為數據全生命周期的安全提供支撐：數據分類分級相關工具平臺主要實現數據資產掃描梳理、數據分類分級打標和數據分類分級管理等功能。身份認證及訪問控制相關工具平臺，主要實現在數據全生命周期各環節中涉及的所有業務系統和管理

27、平臺的身份認證和權限管理。監控審計相關工具平臺接入業務系統和管理平臺，實現對數據安全風險的實時監控，并能進行統一審計。16 日志管理平臺收集并分析所有業務系統和管理平臺的日志，并統一日志規范以支持后續的風險分析和審計等工作。安全及合規評估相關工具平臺主要用于綜合評估數據安全現狀和合規風險。數據全生命周期安全類數據全生命周期安全類技術為生命周期中特定環節面臨的風險提供管控技術保障。整個數據全生命周期可以通過組合或復用以下多種技術實現數據安全：敏感數據識別通過對采集的數據進行識別和梳理，發現其中的敏感數據，以便進行安全管理。備份與恢復技術是防止數據破壞、丟失的的有效手段，用于保證數據可用性和完整性

28、。數據加密相關工具平臺通過提供常見的加密模塊及密鑰管理能力，落地數據的加密需求。數據脫敏是通過一定的規則對特定數據對象進行變形的一類技術，用于防止數據泄露和違規使用等。數據安全網關通過建立統一的數據訪問、分發的出入口，基于協議訪問數據源，發現敏感數據，對訪問數據的行為進行分析、處理，提供持續的數據安全保障及監測能力。數據水印技術通過對數據進行處理使其承載特定信息，使得數據具備追溯數據所有者與分發對象等信息的能力。在數據處理過程中起到威懾及追責的作用。17 數據防泄露技術通過終端防泄露技術、郵件防泄露技術、網絡防泄露技術，防止敏感數據在違反安全策略規定的情況下流出組織。隱私計算通過實現數據的可用

29、不可見，從而滿足隱私安全保護、價值轉化及釋放。API 管控相關工具平臺提供內部接口和外部接口的安全管控和監控審計能力，保障數據傳輸接口安全。數據刪除是一種邏輯刪除技術，為保證刪除數據的不可恢復，一般會采取數據多次的覆寫、清除等操作。介質銷毀一般通過消磁機或者物理搗毀等方式對數據所在的介質進行物理銷毀。平臺類平臺類技術通過接入各技術工具的能力點，打破其之間的協作壁壘，實現對不同技術工具的能力編排與調度，進而提供統一的管理入口與操作方式，為組織的各項安全決策提供全局視角：數據安全運營管理平臺通過數據資產梳理、數據合規管理、安全能力管理等核心功能，建立“協同管理”的能力，規避產品在實際應用過程中的粗

30、防護、弱聯動、單視角等問題。4.人員能力 4.人員能力 數據安全治理離不開相應人員的具體執行，人員的技術能力、管理能力等都影響到數據安全策略的執行和效果。因此，加強對數據安全人才的培養是數據安全治理的應有之義。組織需要根據崗位職責、人員角色等明確相應的能力要求，并從意識和能力兩方面著手建立適 18 配的數據安全能力培養機制，如表 2 所示。表 2 不同類型人員的數據安全能力要求和培養機制 來源：數據安全推進計劃 意識能力培養方式。意識能力培養方式?？梢越Y合業務開展的實際場景，以及數據安全事件實際案例，通過數據安全事件宣導、數據安全事件場景還原、數據安全宣傳海報、數據安全月活動等方式，定期為員工

31、開展數據安全意識培訓，糾正工作中的不良習慣，降低因意識不足帶來的數據安全風險。技術能力培養方式。技術能力培養方式。一方面，構建組織內部的數據安全學習專區，營造培訓環境，通過線上視頻、線下授課相結合的方式，按計劃、有主題的定期開展數據安全技能培訓，夯實理論知識。另一方面，通過開展數據安全攻防對抗等實戰演練，將以教學為主的靜態培訓轉為以實踐為主的動態培訓，提高人員參與積極性，有助于理論向實踐轉化，切實提高人員數據安全技能。為保障培訓效果，形成人員能力培養的管理閉環，還需要結合能力考核的管理機制。通過結合人員角色及崗位職責，構建數據安全能人員角色 人員角色 數據安全能力要求 數據安全能力要求 決策層

32、 決策層 了解數據安全法律法規、具備數據安全意識、知曉常見數據安全陷阱 管理層 管理層 熟知數據安全法律法規、知曉數據安全風險、熟悉數據安全合規評估工作流程、熟悉數據安全操作規范 執行層 執行層 了解數據安全法律法規、具備數據安全技術能力、熟悉業務流程的安全風險、熟悉數據安全操作規范 監督層 監督層 熟知數據安全法律法規、熟悉數據安全工作流程、具備數據安全意識 19 力考核試題庫，通過考核平臺分發日常測驗及各項考核內容，評估人員數據安全理論基礎。同時將人員在實戰演練中的實際操作能力作為重要考核指標，以綜合評估數據安全人員能力水平。(四)數據安全治理專項(四)數據安全治理專項 如前所述，數據安全

33、治理的要點之一是多元化主體的共同參與，其工作過程涉及數據、安全、合規、業務等諸多部門，因此協調落實復雜程度較高，為了保障各部門及各項管理要求的有效配合及落實，數據安全專項工作必不可少。結合監管要求及業務發展需要，數據分類分級、數據安全風險評估、數據出境安全評估、合作方數據安全管理等專項工作的開展需要提上日程。本指南結合相關要求及行業實踐，將在第四章詳細描述以上專項工作的開展思路。(五)數據安全治理實踐(五)數據安全治理實踐 數據安全治理體系給出了組織數據安全治理的建設框架，如何將整套框架切實應用于建設過程，離不開實踐路線的繪制。本指南基于行業發展現狀，提煉出“全局體系規劃，場景有序落地，運營持

34、續加強，評估助力優化”的數據安全治理實踐理念，并進一步豐富形成“規劃建設運營優化”的閉環路線，用以指導各行業組織數據安全治理工作的落地推進。該實踐路線將在第三章展開論述。20 三、數據安全治理實踐路線 三、數據安全治理實踐路線 基于以上數據安全治理實踐理念，可以按照體系化和場景化相結合的思路推進實踐過程。一方面，體系化思路，以數據安全戰略規劃為指導，以規劃、建設、運營、優化為主線，圍繞構建數據安全治理體系這一核心，從組織架構、制度流程、技術工具和人員能力四個維度構建全局建設藍圖。另一方面，場景化思路，針對各業務場景敏捷落地相關數據安全能力點，通過實際業務場景中數據安全的建設落地實踐，反向總結輸

35、出相應管理規范，并由點及面應用至相似場景，以強化管理對業務的下沉指導。以上實踐過程可以有效避免管理和技術的“兩張皮”問題。(一)全局數據安全體系規劃(一)全局數據安全體系規劃 數據安全規劃階段主要確定組織數據安全治理工作的總體定位和愿景，根據組織整體發展戰略內容，結合實際情況進行現狀分析，制定數據安全規劃，并對規劃進行充分論證。1.現狀分析 1.現狀分析 組織應通過現狀分析找到數據安全治理的核心訴求及差距項，以此作為規劃設計的依據?？梢詮陌踩弦帉?、風險現狀分析、行業最佳實踐對比入手。一是數據安全合規對標。一是數據安全合規對標。數據安全合規是組織履行數據安全相關責任義務的底線要求。不同組織應

36、對組織適用的外部法律法規、監管 21 要求、標準規范等進行梳理，將重要條款與現有情況進行對比，分析其差距，確定合規需求。二是數據安全風險現狀分析。二是數據安全風險現狀分析。有效的數據安全風險管理是組織推進業務發展的重要保障。不同組織需結合其業務場景，基于數據全生命周期安全防護要求，通過數據安全風險評估等專項工作的開展，識別數據面臨的安全威脅及所在環境的脆弱性，形成風險問題清單，提煉數據安全建設需求點。三是行業最佳實踐對比。三是行業最佳實踐對比。行業對比是組織經營決策的主要參考。通過分析同行業的數據安全建設先進案例，并與組織現狀進行橫向對比，有助于提煉出更加適宜的數據安全建設方向和建設思路。2.

37、方案規劃 2.方案規劃 組織應根據現狀分析結果，結合數據安全治理目標，給出可落地實施的數據安全治理規劃方案，并提煉重點目標和任務，分階段落實到工程實施中。方案規劃可以從前文所述的四個數據安全治理維度入手，通過對組織架構、制度流程、技術工具、人員能力的不斷建設與完善達成建設目標。以一個數據安全治理建設剛起步的企業為例，一般來說，可以將數據安全規劃分為三個階段，如圖 6 所示。22 來源：數據安全推進計劃 圖 6 數據安全治理規劃示例 第一階段，第一階段，組織尚處于數據安全治理建設初期，急需在內部明確數據安全治理職責分工和管理要求，因而建議主要完成初步的數據安全治理體系建設工作，包括數據安全組織機

38、構的建立、數據安全制度體系的編制、數據安全基礎能力建設以及數據安全意識培訓宣貫。同時數據分類分級作為實施數據安全管理措施和技術措施的前提，是一個需要提前布局且長期推進的工作。第二階段，第二階段，組織有了一定的數據安全治理基礎，可以在這一階段著重完善數據安全技術能力體系，通過建設統一的管理平臺，全面落實數據安全管理規范及策略要求，并通過常態化數據安全運營，實現持續的數據安全保障能力。同時，應加強數據安全能力培訓體系的構建，培養復合型數據安全專業人才，壯大數據安全人才隊伍。第三階段，第三階段，組織已經初步建成數據安全治理體系，這一階段以持續優化為主要目標，重在建立數據安全治理的量化指標體系，定期開

39、展數據安全評估評測，監測各項指標的達標情況。再根據評估評測結果及時優化建設內容，最終達到較高的數據安全治理水平。同時，通 23 過提煉并輸出成功經驗，促進行業共同進步。3.方案論證 3.方案論證 為保障規劃方案在建設過程的順利實施，應從以下方面進行論證分析。一是可行性分析，一是可行性分析，根據組織現狀，明確人力、物力、資金的投入與產生的效益對比，協調數據安全管理機制和技術能力建設與業務系統之間的分歧，確保在業務發展與安全保障之間達到平衡。二是安全性分析，二是安全性分析，方案在正式實施前，要進行詳細的方案論證分析，確?？梢栽跇I務穩定運行的前提下實施治理建設，同時要考慮治理過程中可能產生的新風險，

40、避免未知風險的引入。三是可持續性分析，三是可持續性分析，數據安全治理是持續性過程，隨著業務拓展和技術進步，規劃方案在保證與當前組織現有體系兼容的同時，也要考慮與后續的發展相適應。因此數據安全治理方案不僅要考慮當下，還要著眼未來。在滿足當前數據安全需求的同時，適應后續的持續發展。(二)數據安全場景有序建設(二)數據安全場景有序建設 數據安全建設階段主要對數據安全規劃進行落地實施，建成與組織相適應的數據安全治理能力，包括組織架構的建設、制度體系的完善、技術工具的建立和人員能力的培養等。通過數據安全規劃，組織對如何從零開始建設數據安全治理體系有了一定認知，同時也應意識到數據安全治理的建設是一項需要長

41、期開展和持續投入的工作，無法一蹴而就。為了快速響應不同業務場景下不同的數據安全策略要求，應基于場景需要選擇性部署技術工具，24 編制三級操作指南文件，形成四級記錄模板。通過逐個場景的數據安全建設，最終推動數據安全治理體系在組織內的全面落地。本指南梳理了場景化數據安全治理建設的總體路線，如圖 7 所示。來源：數據安全推進計劃 圖 7 場景化數據安全建設五步走 1.1.全面梳理業務場景 全面梳理業務場景 梳理數據資產和業務場景是組織進行場景化數據安全治理建設的前提，可以幫助組織了解數據安全治理對象全貌，為組織場景化數據安全治理提供行動地圖。目前，對業務場景的劃分尚未有統一的標準，本指南根據對數據安

42、全供應側及需求側的調研，將場景劃分方法歸類為基于數據全生命周期和基于業務運行環境兩種劃分方式。（1）基于數據全生命周期的場景劃分（1）基于數據全生命周期的場景劃分 基于數據全生命周期的場景劃分是分別在采集、傳輸、存儲、使用、共享、銷毀各環節抽象出典型應用場景，如圖 8 所示。25 數據采集環節主要有個人信息主體數據采集、外部機構數據采集、數據產生等場景。數據傳輸環節主要有內部系統之間以及外部機構之間的數據傳輸場景。數據存儲環節主要有數據加密存儲、數據庫安全等場景。數據使用環節主要有應用訪問、數據運維、測試和開發、終端安全、數據準入、數據分析、模型訓練等場景。數據共享環節主要有內部共享和外部共享

43、等場景。數據銷毀環節有邏輯刪除、物理銷毀和數據退役等場景。此外還有一些基礎性的工作，如數據分類分級應該作為單獨的場景納入到整體的場景視圖中。來源：數據安全推進計劃 圖 8 基于數據全生命周期的場景劃分 在組織實際工作中，業務場景較為復雜，一般涉及多個全生命周期環節，兩者更多是如表 3 所示的多對多的關系。當組織從全生命周 26 期環節出發劃分業務場景難度較大時，也可以從業務的流轉視圖開始，分析其涉及到的全生命周期環節。其最終目的是建立業務場景與全生命周期環節的對應關系，便于形成基于數據全生命周期的統一安全管理?；跀祿芷诘膱鼍皠澐址绞?，一方面能更好地契合當前法律法規中關于數據全生命周期

44、的安全要求，一方面更加匹配當前主流的數據安全治理體系框架。表 3 業務場景與數據生命周期關系示例 來源：數據安全推進計劃（2）基于業務運行環境的場景劃分（2）基于業務運行環境的場景劃分 組織的業務雖然各有不同，但是其業務運行環境的劃分基本相同，據此可以將業務場景劃分為：辦公場景、生產場景、研發場景、運維場景等。還可以基于支撐業務運行的基礎設置進一步細分為云、終端等場景，如圖 9 所示。場景生命周期 場景生命周期 采集 采集 傳輸 傳輸 存儲 存儲 使用 使用 共享 共享 銷毀 銷毀 業務場景 1 業務場景 1 業務場景 2 業務場景 2 業務場景 3 業務場景 3 27 來源：數據安全推進計劃

45、 圖 9 基于業務運行環境的場景劃分 基于業務運行環境的場景劃分方式，一方面與業務的研發上線緊密關聯，有利于場景的識別，另一方面兼容組織安全域的劃分，有利于充分利用原有的網絡安全能力。2.2.確定業務場景治理優先級 確定業務場景治理優先級 在業務場景梳理完成后，組織需要綜合考慮監管要求、數據安全風險和業務發展需要，明確業務場景治理的開展優先級。以上文提到的基于數據全生命周期的場景劃分方式為例，數據分類分級是數據安全的基礎性工作基本已經成為行業共識，隨著行業數據分類分級指南的不斷建立和完善，組織應跟緊行業發展步伐，前置數據分類分級工作的優先級。其次，數據采集環節中個人信息主體數據采集、外部機構數

46、據采集等場景均涉及到個人信息權益保護，是當前數據安全合規出現問題的高危場景，容易影響組織品牌形象，因而需要優先治理。此外，數字經濟的繁榮發展離不開數據的流通共享，隨之而來的風險也在不斷顯現，對數據流通的安全保護勢在必行，因而也應著重進行相關場景的安全建設。28 3.3.評估業務場景數據安全風險 評估業務場景數據安全風險 評估業務場景的數據安全風險是指針對具體場景，綜合考慮合規要求、數據資源重要程度、面臨的數據安全威脅等因素，將數據流動過程的風險點梳理出來，并明確數據安全風險等級。業務方應根據此項評估結果，確定要進行整改的風險點，并將其作為數據安全治理建設需求的輸入，為制定場景化數據安全解決方案

47、提供依據。4.4.制定并實施業務場景解決方案 制定并實施業務場景解決方案 結合業務場景的數據安全風險評估結果，組織可以根據相關政策及標準要求，申請充分的資源保障，并制定可落地的解決方案。目前，對于部分場景，業界已經形成了一些公認的典型解決方案，例如在數據加密存儲場景中使用加解密系統，并在算法的選擇上避開不安全的 MD5、AES-ECB、SHA1 等算法；在終端場景下部署終端 DLP 等。但更多情況下，組織需要根據實際情況自研解決方案或者甄選適宜的供應側解決方案。5.5.完善業務場景操作規范 完善業務場景操作規范 為規范業務場景日常的數據安全管理和運營工作，組織應督促業務部門在實施具體的技術措施

48、后，及時完善組織整體數據安全制度體系中關于三級與四級的制度文件，如數據導出申請單 數據脫敏規則 數據安全合規清單 等，以保持制度流程和技術落地一致性。(三)數據安全運營持續加強(三)數據安全運營持續加強 數據安全運營階段通過不斷適配業務環境和風險管理需求，持續 29 優化安全策略措施，強化整個數據安全治理體系的有效運轉。運營體系的構建可以從運營對象、管控流程兩個方向進行切入建設。1.1.從運營對象的角度（1）數據的運營 從運營對象的角度（1）數據的運營 數據作為數據安全的主要管理對象，必然是數據安全運營的關鍵內容。通過對數據的運營，可以全面掌握數據的分布及流轉情況，為數據安全的策略制定、風險排

49、查等提供有效輸入。一般來說，數據運營可以從數據資源目錄、數據分布地圖、數據流轉視圖等幾個方面開展工作。數據資源目錄。數據資源目錄。將梳理的數據資源情況進行統一的納管，明確數據來源、數據屬主、數據類型等情況，形成數據資源的統一目錄視圖。一方面有助于解決數據重復、不一致等數據質量問題，另一方面可以作為數據分類分級工作的范圍參照和數據輸入。數據分布地圖。數據分布地圖。數據作為業務的共生體，存在于組織的不同部門、不同系統、不同存儲資源中。當發生數據泄露、篡改等安全事件時，清晰的數據分布地圖有助于快速定位受影響的系統和數據，提高數據安全措施的針對性，提升事件的應急響應效率。同時也能夠快速為業務指明目標數

50、據資源所在，加快數據協同。數據流轉視圖。數據流轉視圖。流動是發揮數據價值的重要環節，也是數據安全風險的源頭之一。數據流轉視圖一方面呈現了業務流過程，有助于業務流程優化，另一方面有助于呈現數據使用情況，為數據流動過程的 30 風險防范提供視角。（2）合規的運營（2）合規的運營 合規工作是組織數據安全治理的底線要求，如何將法律條文、監管要求內化為組織可落地的管理指標，并定期開展檢查及整改工作是合規運營的主要內容。因此，可以從合規庫管理、合規檢查、合規監管處置三方面開展工作。合規庫管理。合規庫管理。明確的合規要求以及清晰的合規理解，是合規實踐工作的重要前提，因此各機構需要依據國家法律法規、行業監管要

51、求等建立合規知識庫，并動態更新管理。與此同時，數據安全部門、合規部門等需要將以上要求分解為業務可用的數據安全指標，為數據安全運營活動提供輸入與參照。合規檢查。合規檢查。合規檢查主要基于合規庫，面向組織數據處理活動的安全合規情況進行定期檢查，包括對數據脫敏、數據采集、訪問控制等活動的合規性檢查，判斷數據安全合規現狀與檢查指標的符合程度。合規監管處置。合規監管處置。合規整改是合規運營的重要一環，主要實現對合規檢查結果的公布與處理，也可兼顧給上級監管機構的合規數據報送等工作。（3）安全的運營（3）安全的運營 安全是發展的保障，發展是安全的目的。對數據安全的有效運營才能促進業務更健康的持續發展。通過分

52、析產業界數據安全運營相關工作，安全策略運營、安全能力管理、協同管理關聯分析都是安全運 31 營的重要工作。安全策略運營。安全策略運營。風險的防范離不開相應策略的制定與實施，因此構建一套安全策略的運營機制是實現風險治理的前提。針對不同的數據安全風險，需要具備成熟的安全管理策略，同時能從數據安全事件中吸取經驗教訓，反哺安全策略的升級。安全能力管理。安全能力管理。據2022 年數據安全行業調研報告顯示，44%的組織已應用了 58 項的數據安全技術產品，產品的堆疊與管理不僅為組織帶來困擾，不同產品之間的壁壘也為安全作用的發揮帶來了阻礙。因此針對多個數據安全產品的接入與集成管理成為運營工作的關鍵。集成的

53、安全能力管理有助于實現不同安全策略的編排、下發，實現聯動防御。協同關聯分析。協同關聯分析。安全運營通過采集各安全設備和第三方廠商安全事件信息進行關聯分析，建立資產畫像、身份畫像等威脅模塊，提升風險感知效率，加快風險處置進程。2.2.從管控流程的角度（1）事前風險防范 從管控流程的角度（1）事前風險防范 數據安全治理的目標之一是降低數據安全風險，因此建立有效的風險防范手段，對于預防數據安全事件發生有重要作用，可以從數據安全策略制定、數據安全基線掃描、數據安全風險評估三方面入手。數據安全策略制定。數據安全策略制定。一方面，根據數據全生命周期各項管理要求，制定通用安全策略，另一方面，結合各業務場景安

54、全需要，制定針對 32 性的安全策略。通過將通用策略和針對性策略結合部署，實現對數據流轉過程的安全防護。數據安全基線掃描。數據安全基線掃描?；诿媾R的風險形勢，定期梳理、更新相關安全規范及安全策略，并轉化為安全基線，同時直接落實到監控審計平臺進行定期掃描。安全基線是組織數據安全防護的最低要求，各業務的開展必須滿足。數據安全風險評估。數據安全風險評估。通過將日?；ㄆ陂_展的數據安全風險評估結果與安全基線進行對標，發現不滿足基線要求的評估項，再通過改進業務方案或強化安全技術手段的方式實現風險防范。（2）事中監控預警（2）事中監控預警 數據安全保護以知曉數據在組織內的安全狀態為前提，需要組織在數據全

55、生命周期各階段開展安全監控和審計，以實現對數據安全風險的防控?？梢酝ㄟ^態勢監控、日常審計、專項審計等方式對相關風險點進行防控，從而降低數據安全風險。態勢監控。態勢監控。根據數據全生命周期的各項安全管理要求，建立組織內部統一的數據安全監控審計平臺，對風險點的安全態勢進行實時監測。一旦出現安全威脅，能夠實現及時告警及初步阻斷。日常審計。日常審計。針對賬號使用、權限分配、密碼管理、漏洞修復等日常工作的安全管理要求，利用監控審計平臺開展審計工作，從而發現問題并及時處置。審計內容包括但不限于表 4 所示內容。33 表 4 日常審計項目示例 來源：中國信息通信研究院 專項審計。專項審計。以業務線為審計對象

56、，定期開展專項數據安全審計、個人信息保護合規審計等工作。審計內容包括數據全生命周期安全、隱私合規、合作方管理、鑒別訪問、風險分析、數據安全事件應急、個人信息保護合規性等多方面內容，從而全面評價數據安全工作執行情況，發現執行問題并統籌改進。（3）事后應急處理（3）事后應急處理 一旦風險防范及監控預警措施失效，導致發生數據安全事件，組織應立即進行應急處置、復盤整改，并在內部進行宣貫宣導，防范安全事件的再次發生。數據安全事件應急處置。數據安全事件應急處置。根據數據安全事件應急預案對正在發生審計項目 審計項目 活躍度異常賬號、弱口令、異常登錄 敏感數據是否加密存儲 敏感數據是否加密傳輸 個人信息采集是

57、否得到授權 異常/高風險操作行為 敏感數據是否脫敏使用 漏洞是否定期修復 分類分級策略是否正確落實 接口安全策略的落實情況 銷毀過程的日常監督 34 的各類數據安全攻擊警告、數據安全威脅警報等進行緊急處置，確保第一時間阻斷數據安全威脅。數據安全事件復盤整改。數據安全事件復盤整改。應急處置完成后，應盡快在業務側組織復盤分析，明確事件發生的根本原因，做好應急總結，沉淀應急手段，跟進落實整改，并完善相應應急預案。數據安全應急預案宣貫宣導。數據安全應急預案宣貫宣導。根據數據安全事件的類別和級別，在相關業務部門或全線業務部門定期開展應急預案的宣貫宣導，降低發生類似數據安全事件的風險。(四)數據安全評估助

58、力優化(四)數據安全評估助力優化 數據安全評估優化階段主要是通過內部評估與第三方評估相結合的方式，對組織的數據安全治理能力進行評估分析，總結不足并動態糾偏，實現數據安全治理的持續優化及閉環工作機制的建立。1.1.內部評估 內部評估 組織應形成周期性的內部評估工作機制，內部評估應由管理層牽頭，執行層和監督層配合執行，確保評估工作的有效執行，并應將評估結果與組織的績效考核掛鉤，避免評估流于形式。常見的內部評估手段包括評估自查、應急演練、對抗模擬等。評估自查評估自查通過設計評估問卷、調研表、定期執行檢查工具等形式，在組織內部開展專項評估，主要評估內容至少應包括數據全生命周期的安全控制策略、風險需求分

59、析、監控審計執行、應急處置措施、安全合規要求等內容。35 應急演練應急演練通過構建內部人員泄露、外部黑客攻擊等場景，驗證組織數據安全治理措施的有效性和及時止損的能力，并通過在應急演練后開展復盤總結，不斷改進應急預案及數據安全防護能力。應急演練可采用實戰、桌面推演等方式，旨在驗證數據安全事件應急的流程機制是否順暢、技術工具是否實用、安全處置是否及時等，進一步完善應急預案，補足能力短板。對抗模擬對抗模擬通過搭建仿真環境開展紅藍對抗，或模擬黑產對抗，幫助組織面對內外部數據安全風險時實現以攻促防，沉著應對，并在這個過程中不斷挖掘組織數據安全可能存在的攻擊面和滲透點，尤其是面對組織內部數據泄露風險，可以

60、有針對性的完善數據安全治理工作機制和技術能力。2.2.第三方評估 第三方評估 除了內部評估外，組織還應引入第三方評估。第三方評估以法律法規、監管要求、標準文件等為執行準則，能客觀、公正、真實地反映組織數據安全治理水平，實現對標差距分析。如中國信息通信研究院 2020 年推出的國內首個數據安全治理能力評估服務，結合業務場景和全生命周期數據流，從組織架構、制度流程、技術工具、人員能力的建設情況入手，綜合考察組織數據安全治理能力的持續運轉及自我改進能力。目前該評估服務已在金融、電信、互聯網、汽車等多個行業領域獲得廣泛認可，是組織進行全面摸排、橫向對比的重要抓手。36 四、數據安全治理專項開展思路 四

61、、數據安全治理專項開展思路（一）數據分類分級專項（一）數據分類分級專項 數據分類分級是數據安全治理實踐過程中的關鍵場景，是數據安全工作的橋頭堡和必選題。本指南結合行業實踐，提出如圖 10 所示的七步走建設思路，可供剛開展數據分類分級工作的組織參考。來源：中國信息通信研究院 圖 10 數據分類分級“七步走”建設思路 1.1.建立組織保障 建立組織保障 對組織而言，數據分類分級工作是一項復雜的長期性工作，是業務知識、數據知識和安全知識的交叉領域，需要相關部門協作開展。這就需要通過明確數據分類分級工作的組織架構，劃分各部門職責分 37 工，為數據分類分級工作的協同開展提供支撐。在實際工作中，我們看到

62、各組織一般由數據安全或數據管理部門牽頭或統籌數據分類分級工作的開展，而在職責分工上，則體現出一定的差異性。以某電信運營商為例，在職責劃分方面，明確了由數據安全的管理部門負責制定數據分類分級的方法及策略，規范數據資產梳理工作，并監督數據分類分級工作的落實。而各數據生產運營和使用的責任部門則需要維護本部門的數據資源清單、梳理部門的重要數據目錄、并按照數據安全管理部門制定的標準執行數據分類分級規定動作，制定并落實差異化管控措施等。以某金融機構為例，在職責劃分方面，明確了由數據管理部門牽頭開展數據分類分級工作，制定相關制度流程，并建設數據分類分級技術能力。由于建設了數據中臺對數據進行統一管理，其他部門

63、僅需配合數據分類分級評估工作，對數據分類分級結果進行復核。以某互聯網公司為例，在職責劃分方面，明確了由數據安全管理部門負責各類數據的分類、匯總和管理等工作。其他部門主要負責識別本部門的各類敏感數據并同步至數據安全管理部門，同時負責本部門敏感數據相關數據安全管控措施的制定。2.2.進行數據資源梳理 進行數據資源梳理 在進行數據分類分級之前，需要對組織內的全部數據資源進行識別、梳理，明確當前組織內部存儲了哪些數據、數據存儲的格式、數 38 據范圍、數據流轉形式、數據訪問控制方式、數據價值高低等問題，并形成數據資源清單。在實際工作中，數據資源的梳理有兩種常見的工作思路。一種是站在數據治理的角度，為了

64、達到對數據質量進行管理的首要目標而進行全量數據的盤點梳理，與此同時，梳理的結果可以復用于數據分類分級工作。一種是站在數據安全的角度，先對敏感數據進行識別梳理，以快速響應相關安全管理要求，再逐漸擴展至全域數據范圍。3.3.明確分類分級方法、策略 明確分類分級方法、策略 數據分類分級的方法、策略是指導此項工作開展的重要依據。組織需要參考國家及行業相關數據分類分級要求及規范，并結合自身業務屬性與管理特點，明確數據分類分級的方法、策略，如明確數據分類與定級的基本原則、基本方法等。當前，為指導數據分類分級工作的推進落實，各行業、各領域紛紛制定相關標準規范。通過明確數據分類分級工作的原則、方法、定義，并在

65、此基礎上給出部分示例，進一步細化國家關于數據分類分級工作的要求，推動該項工作在不同行業企業及組織機構的落地實施。4.4.完成數據分類 完成數據分類 組織應根據已制定的數據分類原則，定義包含多個層級的數據類別清單，再對數據資源清單中的數據逐個進行分類。39 表 5 各行業數據分類示例 來源：數據安全推進計劃 在實際工作中，如表 5 所示，基礎電信、證券期貨、工業行業等行業領域 行業領域 一級分類示例 一級分類示例 二級分類示例 二級分類示例 基礎電信 基礎電信 用戶相關數據 用戶身份相關數據、用戶服務內容數據、用戶服務衍生數據、用戶統計分析類數據 企業自身數據 網絡與系統的建設與運行維護類數據、

66、業務運營類數據、企業管理數據、其他數據 證券期貨行業 證券期貨行業 交易 交易管理、結算管理、行情、資訊、投資者管理、產品管理 監管 監管報送、合規風控、稽核 信息披露 信息披露管理、研究報告 其他 營銷服務、業務管理、技術管理、綜合管理 工業數據 工業數據（工業企業）（工業企業）研發數據域 研發設計數據、開發測試數據等 生產數據域 控制信息、工況狀態、工藝參數、系統日志等 運維數據域 物流數據、產品售后服務數據等 管理數據域 系統設備資產信息、客戶與產品信息、產品供應鏈數據、業務統計數據等 外部數據域 與其他主體共享的數據等 工業數據 工業數據（平臺企業）（平臺企業）平臺運營數據域 物聯采集

67、數據、知識庫模型庫數據、研發數據等 企業管理數據域 客戶數據、業務合作數據、人事財務數據等 通用 通用 用戶數據/業務數據/經營管理數據/系統運行/安全數據/40 領域制定了較為明確的分類方法和示例，有利于行業組織參考。對于暫未形成分類模板的行業，組織可以從經營維度按照通用分類模板進行分類1?？傮w來說，類別定義一般會根據行業領域的不同而產生不同的子類劃分方式，需要注意的是不同類別之間不能重復和交叉。5.5.逐類完成定級 逐類完成定級 數據分級主要從數據安全保護的角度，考慮影響對象、影響程度兩個要素對數據所在的安全級別進行判定。不同行業分級標準在影響對象和影響程度的劃分上有所不同，從而也導致了分

68、級結果的差異性。組織應根據實際情況完成定級工作，常見的數據定級示例如表 6 所示。表 6 各行業數據分級示例 來源：數據安全推進計劃 1 網絡安全標準實踐指南網絡數據分類分級指引（TC260-PG-20212A）行業領域 行業領域 影響對象 影響對象 影響程度 影響程度 分級示例 分級示例（從高到低）（從高到低）基礎電信 基礎電信 國家安全、社會秩序、企業經營管理和公眾利益 嚴重、高、中、低 第四級、第三級、第二級和第一級 金融 金融 國家安全、公眾權益、個人隱私、企業合法權益等 嚴重損害、一般損害、輕微損害、無損害 5 級、4 級、3 級、2 級、1級 證券期貨 證券期貨 行業、機構、客戶

69、嚴重、中等、輕微、無 4（極高）、3（高）、2（中）、1（低）工業數據 工業數據 工業生產、經濟效益/三級數據、二級數據和一級數據 41 6.6.形成分類分級目錄 形成分類分級目錄 基于上述工作，組織還需形成整體的數據分類分級目錄，明確數據類別和級別的對應關系，為各部門落實數據分類分級工作提供依據。金融機構典型數據分類分級目錄如圖 11 所示。來源：中國人民銀行 圖 11 金融業機構典型數據定級規則示例 7.7.制定數據安全策略 制定數據安全策略 在完成數據分類定級的基礎上，還需要依據國家及行業領域給出的安全保護要求，建立數據分類分級保護策略，對數據實施全流程分類分級管理和保護。如某電信運營商

70、建立了如表 7 所示的數據分類分級保護要求映射表。42 表 7 數據分類分級保護要求映射表示例 來源：數據安全推進計劃（二）數據安全風險評估及治理專項（二）數據安全風險評估及治理專項 數據安全風險形勢持續嚴峻，傳統業務的數字化轉型推進以及數據價值化加速推進，數據安全風險的識別、評估與綜合治理已成為廣大數據處理者面臨的最緊迫、也同樣是最根本的問題。1.1.數據安全風險評估 數據安全風險評估 數據安全風險評估工作得到了國家、行業主管部門以及產業多方的高度重視與關注：業內相繼發布了多項風險評估標準、實施指引，現已形成一套完整、清晰的實施流程。（1）評估準備（1）評估準備 組織內部在評估準備階段首先需

71、要明確數據安全風險評估的目標，與相關方建立基本共識?；谧陨硇枨蠛鸵阎贫ǖ脑u估目標，組織能夠進一步確定數據安全風險評估的對象、范圍和邊界。通常來說，評估范圍可以覆蓋組織全部的數據和數據處理活動，也可以僅針對某個單獨的業務、信息系統涉及的數據和數據處理活動。組織可以采取數據全生命周期環節 數據全生命周期環節 安全管控要求 安全管控要求 級別 級別 1 1 2 2 3 3 4 4 5 5 數據收集環節數據收集環節 安全管控要求 1 安全管控要求 2 安全管控要求 3 43 “全面摸排、重點評估”的原則，結合數據分類分級工作成果，識別出重點評估對象，例如個人敏感信息、重要數據、核心數據及其相關的數據

72、處理活動。針對已選定的評估對象和范圍，組織需要選取并參照自身適用的評估依據，規劃數據安全風險評估工作，確定風險評估依據。以金融行業為例，組織可以參考的評估依據包括但不限于國家法律法規、國家網信、工信及金融等監管、主管部門的數據安全規章以及相關標準。涉及到組織相對特殊的業務和數據處理活動的，組織還可以將內部的數據安全管理制度納入評估依據的參考范圍。（2）評估實施（2）評估實施 組織在實施數據安全風險評估的過程中，主要圍繞數據處理者、業務、信息系統、數據處理活動、安全措施的基本情況進行信息調研，重點識別組織在數據安全管理、數據安全技術、個人信息保護、數據處理活動安全等方面是否存在潛在的風險問題。例

73、如 2023 年金融領域關于印發銀行保險機構信息科技外包風險監管辦法的通知，提示了銀行保險機構需要有效控制由于外包而引發的風險，加強重點外包安全管理，對敏感信息采取嚴格管控措施、風險持續監測。針對這一問題，組織可以從合作方管理機制、合作協議約束、外包人員訪問權限、第三方接入與數據回收等常見風險點入手進行評估，識別、分析是否存在合作方安全能力水平低、合作安全責任不明確、外包訪問權限過大等典型的風險問題，結合風險的影響程度與發生的可能性，44 定性或定量判斷具體風險的等級，結合組織資源分配等實際情況，輸出問題清單、整改建議、風險分析等評估結果。（3）評估總結（3）評估總結 在完成數據安全風險問題的

74、識別、評估分析后，組織需要總結在評估實施過程中獲取的信息以及發現的風險問題，提出風險處置建議，形成數據安全風險評估報告。至此，數據安全風險評估工作已基本完成，但組織的相關方還需要制定整改計劃，限期完成整改，無法及時完成整改的，應采取臨時安全措施，防止數據安全事件發生。風險整改結束后，組織可以開展數據安全風險復評工作，重點分析風險處置后的殘余風險或者衍生風險。2.數據安全風險治理數據安全風險治理 數據在流動中體現并創造價值，而流動必然伴隨風險。業內相關研究多次提到數據安全風險的治理應與組織風險戰略保持一致，不應是點對點的撲救與應對。這意味著組織不僅要在風險評估，更要在風險治理上緊密結合業務及數據

75、處理活動，以實現風險可控的安全防護總體目標。然而，大量組織將注意力集中在對風險的評估與分析，整體上缺乏全局視角與調優參考，對風險評估的結果應用也不甚充分，未能形成一條可聯動、可協同的治理鏈條。針對這一問題，2022 年中國信通院基于對互聯網、金融、電信運營商等行業企業的實地調研，牽頭編制 BDC 136-2022 數據安全風險治理成熟度評價模型，提出了數據安全風險治理的基本框架。數據 45 安全風險治理以風險為核心，強調了面向風險的控制與治理，關注對風險的識別、評估、處置以及監控改進的全生命周期管理，從“以建設防范風險”走向“主動認知風險”。數據安全風險治理體系在面對協同管控及復雜數據生態上具

76、有優勢：其在風險準則確立、風險要素識別、風險評估分析、風險處置解決、風險治理改進五個能力領域明確了治理工作要求與對應的能力水平，提出了“預防為主、主動發現、積極防范”的工作原則，充分考慮了組織內部的多方多維協同、技術與管理措施配合，在推動組織的數據安全風險評估與后續風險處置、監控、改進的有效串聯上具有重大的價值。（三）個人信息保護專項（三）個人信息保護專項 面對垃圾短信、電信詐騙、騷擾電話、財產損失等由于個人信息泄露帶來的負面影響，國家重拳出擊發布中華人民共和國個人信息保護法，為個人信息保護工作的開展落實提出了法律要求。當前，個人信息保護作為數據安全的一項重要內容，個人信息保護認證、個人信息保

77、護影響性評估等工作備受關注，組織可以根據需要選擇適用的專項開展。本小節只對個人信息常見的風險項2進行闡述，不針對某一項具體評估展開。1.1.個人信息采集風險 個人信息采集風險 采集過程不滿足最小必要、合法性、授權同意等要求。2 GB/T 35273-2020 信息安全技術 個人信息安全規范 46 采集內容與采集聲明不符。隱私政策方面，沒有相關隱私政策或者展示形式不夠明顯，沒有在隱私政策中突出標識或以顯著方式告知用戶采集相關信息的目的、方式、存儲時間、地點等。2.2.個人信息存儲風險 個人信息存儲風險 保存時間不滿足相關要求，未對到期的個人信息進行處理。技術手段缺失，未對需要存儲的信息施展加密、

78、脫敏或去標識化等安全措施。未按照個人信息主體的要求對其信息進行處理操作。3.3.個人信息使用風險 個人信息使用風險 未設置審批流程或者未執行審批過程。未按照最小授權原則分配訪問權限。使用目的與采集聲明不一致。展示過程未進行去標識化等技術處理。委托處理、共享、轉讓、公開披露等處理過程不滿足合規要求。4.4.組織管理風險 組織管理風險 未明確個人信息保護的責任部門和人員。未定期開展個人信息保護相關評估測試工作。缺少個人信息保護的員工培訓及合規審計工作。（四）合作方數據安全管理專項（四）合作方數據安全管理專項 我國數據要素市場正處于蓬勃發展階段，在政策、業務、技術等 47 多方因素的驅動下，數據合作

79、需求激增，數據合作場景愈發多樣化。然而數據合作方的安全保護能力參差不齊，數據合作過程中，數據泄露、數據濫用等安全事件頻發，嚴重危及國家、公眾及個人安全。國家戰略要求統籌好安全和發展，保障數據合作安全已成為重要議題。1.1.數據合作方識別 數據合作方識別 落實數據合作方安全管理要求的首要任務是識別數據合作方，需要明確數據合作的形式、觸發條件、對象。數據合作形式多樣，主要可以概括為業務合作、技術支撐、數據服務和監管要求四大類。參照上位法和行業標準，可以明確將“參與組織的數據處理活動過程”作為數據合作的觸發條件。數據合作的對象包括外包服務機構和外部合作機構。綜上，數據合作方定義為因業務合作、技術支撐

80、、數據服務、監管要求等參與本組織數據處理活動的外包服務機構與外部合作機構。2.2.數據合作方安全評估 數據合作方安全評估 數據合作安全事件頻發，落實數據安全保護和個人信息保護義務，組織需要建立數據合作安全保護機制，開展數據合作方的數據安全保障能力動態評估，對數據合作方的安全保護能力進行核驗，采取必要的安全保護措施。本指南結合前期大量調研和數據安全評估實踐，依據 BDC 163-2023數據合作方安全評估要求，提出數據合作方安全評估框架，從背景資質、數據安全管理、數據處理活動安全、安全監測響應四方面評價合作方的數據安全保護能力，如圖 12 所示。48 來源：數據安全推進計劃 圖 12 數據合作方

81、安全評估框架 數據合作業務場景復雜，可以按照數據合作方在數據流轉中的角色實施差異化評估內容。按數據流轉參與的角色及其功能，可以將數據合作方劃分為數據提供方、數據接收方、數據中間商、重點相關方。針對數據提供方，應重點評估數據的真實性、準確性、合法合規情況以及數據保護措施等安全能力。針對數據接收方，應重點評估接收方組織架構和制度流程等安全管理的合規性，安全保護措施和安全事件應急預案的充分性和有效性。針對數據中間方，應重點評估中間方服務、基礎設施的安全性，所采取數據安全保護措施的充分性和有效性。針對重點相關方，即數據上報到監管部門的情況不在評估范圍內。（五）數據出境安全評估專項（五）數據出境安全評估

82、專項 數據出境安全評估是由國家網信部門為落實國家上位法而實施的數據安全專項工作。通過數據出境安全評估能夠劃定可能影響國家安全的數據出境行為，強化數據處理者的數據出境風險自評估義務。本指南根據國家互聯網信息辦公室公布數據出境安全評估辦法，49 梳理了數據出境評估工作角色與流程，如圖 13 所示。此處我們僅討論申請主體在出境評估中的工作內容。來源：數據安全推進計劃 圖 13 數據出境安全評估流程及執行主體 1.1.判斷是否適用數據出境安全評估 判斷是否適用數據出境安全評估 當前數據出境有數據出境安全評估、個人信息保護認證、個人信息出境標準合同三條路徑，各組織機構需要根據業務場景，結合監管規定，選擇

83、適合的路徑開展出境工作。2.2.明確需要數據出境安全評估的場景 明確需要數據出境安全評估的場景 出境安全評估的適用范圍在數據出境安全評估辦法第二條有明確規定，主要涉及重要數據和個人信息。2023 年 9 月 28 日，國家網信辦針對規范和促進數據跨境流動規定（征求意見稿）公開征求意見，明確了無需申報數據出境安全評估的場景。因此各組織在判斷適用情形時，可以參考以上兩個文件。50 3.3.準備各項申報材料 準備各項申報材料 依據數據出境安全評估申報指南（第一版）（簡稱申報指南（第一版），出境安全評估需要準備申報書、自評估報告、法律文件等材料。申報書：申報書：申報書由承諾書和數據出境安全評估申報表組

84、成，可以參見申報指南（第一版）。自評估報告：自評估報告：申報指南（第一版）中給出了自評估報告的模板，主要由自評估工作簡述、出境活動整體情況、擬出境活動的風險評估情況、出境活動自評估結論組成。相較風險自評估，由國家網信部門執行的安全評估，還關注接收方所在地的法律政策環境、數據安全保障能力、數據處理者歷史合規情況等內容，各組織需要在自評估報告中對以上問題詳細闡述。關于數據安全保障能力，主要關注管理組織體系及制度流程、數據分類分級、應急處置、風險評估、全生命周期技術能力等內容。法律文件：法律文件：與境外接收方擬訂立的數據出境相關合同或者其他具有法律效力的文件影印件。具體的材料準備內容，可以參考國家網

85、信辦或者地方網信辦的申報指南及相關規定。各組織機構作為申報主體完成申報工作后，需要及時關注申報進展，對需要補充說明的內容進行準備，并在申請通過后，根據需要開展重新評估工作。51 五、數據安全治理總結與展望 五、數據安全治理總結與展望 隨著國家數據局的成立，數據要素市場化進度加快，數據流通交易力度加強，數據安全的重要性愈發突出。同時，由人工智能等新技術發展帶來的數據安全風險愈加嚴峻，未來：數據要素市場化進程加快，數據安全進入流通安全深水區。數據要素市場化進程加快，數據安全進入流通安全深水區。國家數據局于 2023 年 10 月 25 日正式揭牌，標志著數據資源整合共享與開發利用進程加快，各組織機

86、構的數據將逐漸由組織“內”流通轉向組織“外”流通，數據安全問題隨之而來。一方面，流通環節涉及的責任主體增多，如何有效劃分各方數據安全責任，成為數據高效流通的基本保障；另一方面，多頻次、廣范圍的數據流轉將帶來更大的風險暴露面，如何保障流通環節的安全合規是現實問題。因此隨著數據要素市場化的發展，數據安全風險在流通場景下會不斷放大，數據安全工作難度也隨之加深。人工智能浪潮席卷全球，數據安全面臨新發展與新挑戰。人工智能浪潮席卷全球，數據安全面臨新發展與新挑戰。人工智能技術可以通過對海量數據的收集分析與實時學習建立大模型文件，以驅動數據分類分級、數據安全風險監測等數據安全治理工作向智能化、高效化、精準化

87、方向演進。同時，數據作為人工智能技術的主要輸入之一，在訓練、調優等過程面臨數據竊取、數據泄露、數據篡改等安全風險，訓練生成的模型文件也有可能遭到安全攻擊，因此，大模型數據安全風險管理必將成為行業新議題。52 數據生態日益復雜，數據安全能力運營愈發關鍵。數據生態日益復雜，數據安全能力運營愈發關鍵。一方面，面對數據流通交易場景下愈加復雜多樣的數據生態，數據安全的常態化實踐與持續運營成為各機構提升流通效率，降低流通風險的關鍵手段。另一方面，數據安全運營能力的構建能夠打破各組織既有數據安全產品之間的壁壘，實現策略的有效整合，提升數據安全工作成效。簡 介 簡 介 數據安全推進計劃（Data Security Initiative，DSI）是 2021 年 9 月1 日成立的公益性項目，主要圍繞數據安全政策學習、數據安全標準建設、數據安全評估評測、數據安全咨詢服務、數據安全人員培訓等內容搭建交流平臺，構建專業社群。致力于推動法律法規及監管要求的貫徹落實，促進數據安全技術交流，推廣數據安全最佳實踐，提升數據安全治理水平。成立至今，DSI 成員單位已達 300 余家，涵蓋金融、汽車、電信、互聯網、安全廠商等不同行業。并在專家智庫、行業工作組、公開課等方面構建專業品牌，輸出豐富研究成果。聯系人：李老師 聯系方式：13581661287 數據安全推進計劃公眾號