中國信通院：數據安全治理能力評估（DSG評估）（2022）（33頁）.pdf

《中國信通院：數據安全治理能力評估（DSG評估）（2022）（33頁）.pdf》由會員分享，可在線閱讀，更多相關《中國信通院：數據安全治理能力評估（DSG評估）（2022）（33頁）.pdf（33頁珍藏版）》請在三個皮匠報告上搜索。

1、數據安全治理能力評估數據安全治理能力評估（DSGDSG評估）評估）中國信息通信院中國信息通信院2022.04數據安全進入“強監管”時代 2021年，數據安全相關法律法規相繼發布實施，數據安全進入“強監管”時代。數據安全法個人信息保護法網絡安全法法律行政法規部門規章地方01網絡數據安全管理條例（征求意見稿）02工業和信息化領域數據安全管理辦法（試行）（征求意見稿）數據出境安全評估方法（征求意見稿）03上海市數據條例深圳經濟特區數據條例04落實數據安全保護和個人信息保護義務，需要建設數據安全治理體系 數據安全法明確提出要建立健全數據安全治理體系。通過數據安全治理提升企業數據安全水平已成為行業共識。

2、明確的組織架構作保障體系的制度流程作依據完備的技術工具是能力底座合格的人員能力是有效支撐需要體系化，建立機制，形成閉環國家促進數據安全檢測評估、認證等服務的發展第四條維護數據安全，應當堅持總體國家安全觀，建立健全數據安全治理體系，提高數據安全保障能力。第十一條國家積極開展數據安全治理、數據開發利用等領域的國際交流與合作，參與數據安全相關國際規則和標準的制定，促進數據跨境安全、自由流動。第十八條國家促進數據安全檢測評估、認證等服務的發展，支持數據安全檢測評估、認證等專業機構依法開展服務活動。國家支持有關部門、行業組織、企業、教育和科研機構、有關專業機構等在數據安全風險評估、防范、處置等方面開展協

3、作。數據安全法明確提出促進數據安全檢測評估、認證等服務的發展。吸收借鑒了CCPA、GDPR等各國法律法規和OECD、APEC等國際組織的隱私保護框架。對企業隱私與數據治理實踐進行認證，聚焦數據隱私保護。美國 TRUSTe 安全認證對企業和組織的數據行為進行評估認證。歐盟 GDPR 數據保護機制基于BS10012:2009數據保護個人信息管理系統規范:實施方法。側重于信息管理過程，并有針對中小企業設置的特別準則。英國個人信息管理系統認證由特定非營利性組織依據美國兒童在線隱私保護法(COPPA)的原則和要求對APP、云解決方案和網絡服務等針對兒童個人信息的行為進行評估。美國iKeepSafeCOP

4、PA認證由CNIL依據法國數據保護法案對數據存儲的安全性進行評估認證。法國CNIL電子保險箱認證 依托市場化機制，國外已經形成了較為完備的數據安全第三方評估測試體系，在助力法律法規落地、提升企業數據安全管理水平、推動行業健康有序發展方面發揮了重要的作用。國外數據安全治理能力評估現狀 我國數據安全標準化工作邁入了新階段，針對企業數據安全能力和產品數據安全能力的評估評測標準需求較大。中國信息安全認證中心：開展企業信息安全認證工作中國信息安全測評中心：開展信息安全漏洞分析與風險評估、信息技術產品、系統和工程建設的安全性測試與評估等工作 當前我國安全評估工作的重點在于信息安全，而面向數據安全的市場化評

5、測評估尚處于起步階段。中國信息通信研究院：數據安全治理能力評估國內數據安全治理能力評估現狀GB/T 35274-2017信息安全技術 大數據服務安全能力要求GB/T 37973-2019信息安全技術 大數據安全管理指南GB/T 37988-2019信息安全技術 數據安全能力成熟度模型GB/T 35273-2020信息安全技術 個人信息安全規范T/ISC-0011-2021數據安全治理能力評估方法國家高度重視標準化工作偏重信息安全認證通過準確度量企業的數據安全治理能力現狀，合理規劃數據安全治理能力提升路徑。一套構建方法一套度量準則一套改進指南通過以評促建的方式，實現企業數據安全治理在組織、制度、

6、技術、人員方面的閉環、循環提升目標用途效果行業水平參差不齊度量方法缺失與監管要求、公眾期待尚有差距，缺乏貼近產業現狀的指南?，F狀如何讓監管放心如何使用戶滿意如何保數據安全數據安全治理能力評估（DSG評估）組織制度技術人員01規劃02建設03審查04優化問題推出國內首款數據安全治理能力評估工作2020.092020.102020.102021.42021.012021.032021.06-2021.12深入企業調研數據安全治理痛點和需求，發起數據安全治理能力評估項目。編寫標準數據安全治理能力評估方法1.0。由來自百度、聯通大數據、奇安信等20余家企業的近30位專家參與。按照評估原則，遵照評估標準

7、，開展首批5家正式評估。2021.042021.072021.082021.122021.122022.06開展第四批評估。開展第二批7家評估。開展第三批21家評估。標準2.0版本的修訂，依據數據安全法、個人信息保護法等最新要求進行合規要求對標，細化評估等級等.各項工作按計劃順利推進，成效明顯。DSG評估總體推進事項DSG評估框架研制過程 標準1.0于2021年4月27日正式發布。標準2.0于2021年6月初在中國通信標準化協會成功立項，由中國信通院牽頭來自移動、聯通數科、百度、螞蟻等20余家電信和互聯網企業共同修訂。擬參編單位 數據安全治理能力評估方法2.0標準修訂工作全面覆蓋數據安全法和個

8、人信息保護法中規定的數據安全和個人信息安全保護義務與要求。DSG評估框架對標國家法律法規數據安全法數據安全法標準標準2.0條款覆蓋率條款覆蓋率總覆蓋率總覆蓋率第四章第四章數據安全保護義務數據安全保護義務8.x，9.2.x，9.4.x，9.6.x，9.7.x100%100%第五章第五章政務數據安全與開放政務數據安全與開放7.1.x，8.x，9.3.x100%個人信息保護法個人信息保護法標準標準2.0條款覆蓋率條款覆蓋率總覆蓋率總覆蓋率第二章第二章 個人信息處理規則個人信息處理規則8.x，9.2.x100%100%第三章第三章 個人信息跨境提供的規個人信息跨境提供的規則則8.2.2.x 8.5.3

9、.x100%第四章第四章 個人在個人信息處理活個人在個人信息處理活動中的權利動中的權利8.1.x100%第五章第五章 個人信息處理者的義務個人信息處理者的義務7.2.x8.1.x8.6.x9.1.x9.3.x9.6.x 9.7.x100%DSG評估框架 評估框架：三層治理體系、四個評估維度、五個評估等級。數據安全治理能力評估框架2.0評估等級評估等級持續優化級量化評估級全面治理級重點執行級初始級評估維度評估維度組織架構制度流程技術工具人員能力DSG評估內容示例能力項數據安全治理領域的最小建設集合。規定每個能力等級應具備的安全能力，從組織架構、制度流程、技術工具、人員能力四個維度定義。明確與各等

10、級要求對應的評估方法，包括查文檔、看日志、驗平臺等方式。對每個能力項的總體要求進行定義。評估等級等級要求 根據數據安全治理能力的覆蓋范圍、支撐力度等方面明確評估等級要求。DSG評估等級第1級 初始級第2級 重點執行級第3級 全面治理級第4級 量化評估級第5級 持續優化級沒有正式的管理流程和體系，被動地執行數據安全工作。在部門中建立了基本的管理流程和初步的體系。擁有完善的數據安全治理能力量化評估體系。在組織層面，具備完善的標準化管理機制，能夠促進數據安全的規范化落地。據最新的外部監管要求、內部發展需要以及技術發展，不斷改進和優化數據安全治理體系。DSG評估特色更加聚焦專注數據安全容易操作評估方法

11、明確，操作性強與時俱進緊跟立法要求與技術趨勢市場機制自下而上推動行業發展通過問卷、訪談等形式對現狀進行了解，發現存在的問題及人員能力缺陷，分析和行業水平的差距，并總結提煉關鍵發現。企業亦可依據標準進行自評估，初步發現企業自身問題?，F狀總結數據安全法發布實施，強調提升企業數據安全治理能力。通過評估，在應對監管時做到心中有數。優化建議通過評估，實現企業與行業水平的橫向對比，找出差距所在，有助于后續水平拉齊。推薦最佳實踐參與數據安全治理相關沙龍、論壇、大會等的交流中，了解行業發展情況，借鑒學習，提升治理經驗。業內交流對內加強宣講，提升安全意識，對外加強推廣，擴大企業知名度，推動行業發展。宣傳推廣針對

12、現狀總結，結合最佳實踐以及企業發展需要，給出針對性的優化建議。資訊獲取 發現存在問題，指明發展方向，提升治理能力。DSG評估意義企業收益DSG評估：企業數據安全治理的自運轉能力組織建設由誰來做多方協同的團隊架構執行者管理者協作者決策者應該怎么做層次化的制度文件制度流程方針總則管理辦法操作指南記錄模板技術工具實際怎么做體系化的技術能力事前預防事中監控事后審計有沒有能力做自建人才培養體系人員能力意識培養能力提升定期考核DSG評估助推企業形成數據安全治理的雙閉環 規劃、執行、檢查、處置4個環節流通的大閉環，以及各環節內的小閉環。規劃Plan執行Do檢查Check處置Act年度規劃規劃論證任務派發員工

13、績效提請需求上報審批策略落實嚴格執行事前預防事中管理事后審計檢查復盤結果推廣數據安全規劃機構人員管理數據全生命周期能力項合規管理、監控審計、鑒別與訪問等基礎能力項安全事件應急DSG評估 準確評估行業數據安全治理能力發展現狀。DSG評估等級分布共性問題分析發現企業標桿行業內企業數據安全治理能力等級分布情況，逐年的改進和提升效果，以評價行業數據安全治理能力發展情況。準確把握數據安全建設過程中普遍存在的問題，為下一步的數據安全治理能力的提升奠定基礎。發現行業內數據安全治理能力建設的標桿企業，總結最佳實踐，開展推廣，提升行業整體水平。DSG評估意義行業治理抓手 評估實施階段主要分為前期準備、中期實施、

14、后期審核三個階段。DSG評估實施流程受理評估申請評估策劃資料收集與解讀正式評估評估報告編制報告評審證書發放評估準備評估執行評估審核DSG評估實施步驟評估申請商務流程企業自評自評情況提交與評審前期工作評估排期正式評估證明材料提交定級正式評估企業確認及申辯補充材料重新定級專家評審證書頒發后期工作評估人員查閱數據安全相關文件資料，如企業數據安全管理制度、業務技術資料和其他相關文件；用以評估數據安全管理相關制度文件是否符合標準要求；企業需要事先完整準備上述文檔以供評估人員查閱。評估人員通過與被評估企業相關人員進行交流、討論、詢問等活動；以評估數據安全保障措施是否有效；企業需要安排熟悉數據流轉過程，以及

15、承載數據的應用、系統、規劃等情況的人員參加訪談。企業相關人員演示，評估人員查看承載數據的應用、系統；以評估數據安全保障措施是否有效；企業需要安排相關人員進行現場演示，評估人員根據系統演示情況進行查驗。主要通過文檔查驗、人員訪談、系統演示等方式對被評估對象的實際建設情況進行評估。DSG評估實施手段文檔查驗DSG評估證書及Logo示例DSG評估進展 數據安全治理能力評估（以下簡稱“DSG評估”）正在持續開展中，2021年共完成3批次33家企業DSG評估工作，參評單位行業涉及電信運營商、互聯網、金融、醫療、物聯網等。第4批參評企業11家序號參與評估企業能力等級1聯通數字科技有限公司（原聯通大數據有限

16、公司）優秀級2螞蟻科技集團股份有限公司優秀級3度小滿科技（北京）有限公司優秀級4北京百度網訊科技有限公司優秀級5中國電信股份有限公司云計算分公司優秀級6深圳市和訊華谷信息技術有限公司基礎級7聯通（廣東）產業互聯網有限公司優秀級8天道金科股份有限公司優秀級9興業證券股份有限公司試點10北京愛奇藝科技有限公司試點11北京智者天下科技有限公司（知乎）試點12貴州白山云科技股份有限公司試點序號參與評估企業能力等級13中國建設銀行股份有限公司在線評估14中國郵政儲蓄銀行股份有限公司在線評估15中原銀行股份有限公司在線評估16桂林銀行股份有限公司在線評估17河北幸福消費金融股份有限公司在線評估18百行征信

17、有限公司在線評估19瓶安用氣（杭州）物聯網科技有限公司在線評估20杭州宇鏈科技有限公司在線評估21北京華品博睿網絡技術有限公司在線評估22貝殼找房(北京)科技有限公司在線評估23小米通訊技術有限公司在線評估序號參與評估企業能力等級24網易（杭州）網絡有限公司在線評估25天翼電子商務有限公司在線評估26天翼數字生活科技有限責任公司在線評估27東方證券股份有限公司在線評估28中移信息技術有限公司在線評估29上海瑞家信息技術有限公司（安居客）在線評估30OPPO廣東移動通信有限公司在線評估31云南白藥集團股份有限公司在線評估32廣東美的制冷設備有限公司在線評估33廣州小鵬汽車科技有限公司在線評估法律

18、法規企業落地實踐主管部門監管要求？數據安全相關監管應對？數據安全審查制度如何推行？怎樣合規？數據分類分級怎么做？數據安全應急處置如何達標？數據安全制度體系如何建？數據安全風險評估怎么開展？數據安全風險監測如何推進？數據安全治理能力如何建設、提升、評估？數據安全技術怎樣提升？數據安全整體解決方案如何實現？監管實施 數據安全法的發布實施，為行業主管部門的監管要求提供了法條依據及監管方向，企業側也將在監管應對上面臨新的巨大挑戰。數據安全落地面臨諸多挑戰 數據安全推進計劃（Data Security Initiatives，DSI）由中國信息通信研究院發起，致力于推動法律法規及監管要求的貫徹落實，促進

19、數據安全技術交流，推廣數據安全最佳實踐，提升數據安全治理水平。DSI將依托大數據協同安全技術國家工程實驗室、中國通信標準化協會大數據技術標準推進委員會、中國互聯網協會數據治理工作委員會開展具體工作，攜手共建數據安全生態。建設數據安全標準體系數據安全治理能力評估數據安全風險評估數據安全技術標準數據安全服務標準數據安全人才培養搭建交流平臺提供咨詢與評估評測服務培訓與人才認證 數據安全治理咨詢 數據安全治理能力評估 數據安全風險評估 數據安全產品評測 數據安全服務能力評估數據安全培訓體系數據安全公開課數據安全人才認證體系法律法規、監管政策解讀數據安全實踐交流數據安全優質成果推廣數據安全治理大會、論壇

20、開展數據安全研究數據安全治理框架數據安全技術工具行業數據安全治理實踐中國信通院發起數據安全推進計劃27參與單位名單參與單位名單 DSI自發起以來，共征集了4批參與單位，共收到200余家單位的申請，經過審核，共有200家成為DSI參與單位。電信：互聯網：金融：汽車：云公司：安全公司：28通信：隱私計算：律所：其他：軟件與大數據企業：參與單位名單（續）參與單位名單（續）制造業：數據安全治理能力評估（DSG評估）數據安全風險評估個人信息保護評估 針對數據應用方，推出企業級DSG評估、系統級數據安全風險評估、個人信息保護評估。評估等級評估等級持續優化級量化評估級全面治理級重點執行級初始級工作介紹-面向

21、數據應用方數據安全服務能力評估數據安全產品評測 針對數據安全技術/服務提供方，推出數據安全產品評測、數據安全服務能力評估。工作介紹-面向數據技術/服務提供方數據分類分級數據脫敏數據審計數據防泄漏數據水印溯源數據安全網關數據安全運營管理平臺成果展示3317 DSG評估：3批次33家9 數據安全產品評測：9款 標準制定：9項 數據安全服務能力評估：已報名17項5 數據安全公開課系列活動：5場92 2021數據安全行業調研報告 2021數據安全治理能力評估觀察 DSI在標準研制、報告產出、培訓研討、評估評測方面取得豐碩成果。成果展示下一步工作計劃開展數據安全領域技術、應用、產業相關研究，撰寫相關標準、研究報告、白皮書。深入行業開展數據安全治理研究，促進行業數據安全能力提升。發掘數據安全治理優秀案例，促進行業應用推廣。促進人才培養及行業交流，定期舉辦公開課、培訓會等活動。成立專家組，推動數據安全難點、重點問題研究?！境闪蛋仓菐臁俊綝SI 金融組籌備已完成，DSI汽車組等其他行業組正在籌備中】