数据安全治理实施办法

随着《数据安全法》和《个人信息保护法》陆续出台，各行业数据安全监管力度持续增强，数据安全合规成为企业数据安全治理体系建设的第一推动力。同时，企业普遍面临数据安全治理成本过高，对业务影响过大，实施路径不清晰等问题。

《数据安全治理实施办法》旨在为电信及互联网企业提供数据安全治理的合规性指导方向，通过对企业开展安全评估，并且及时发现企业在组织机构、安全管理和技术能力等方面存在的合规风险，并根据先行法律法规、标准规范、行业最佳实践，帮助企业建立健全的数据安全治理体系，提升企业的安全组织能力、安全管理能力、安全技术能力，并通过安全监督体系形成数据安全合规治理闭环管理，确保数据安全治理体系有效落地。《数据安全治理实施办法》主要从六个阶段进行指导性参考，包括现状调研、敏感数据分析、数据流向分析、数据安全保护体系设计、差异性管控设计等。

遵守安全红线

谨守安全红线是底线，是数据安全治理首要遵循的原则。数据安全的合规既有其不变性、又有其应变性。不变性体现在安全的底线和原则是不变的，需要谨守国家法律法规、行业标准规范。同时，应变性体现在数据安全要符合业务战略目标，不同行业在数据安全基本合规的基础上有其各自特点，因此在合规治理中要针对行业形成最佳实践。

全局统筹规划

全局统筹规划是路线，要建立覆盖全企业乃至全行业的统一数据安全管理体系，重点是全面覆盖、一致执行。数据贯穿于组织和业务之中，在谨守安全红线基础上，需要全局视角统筹规划数据安全保障。全局统筹规划的对象可以是一个企业、一个行业、一个地区、甚至是国家，要针对对象全局识别数据，并实施分类分级的管理策略。同时，全局统筹规划要兼顾时间维度，即数据的全生命周期，要建设覆盖数据全生命周期的安全保护能力。

推进常态建设

推进常态建设是方法，开展常态化数据安全能力建设重点是安全能力与数字化业务场景的相融和赋能。天融信构建了“三横四纵”的《数据安全能力体系框架》，实践了“三同步推进治理，常态化能力建设，双闭环安全改进”的数据安全合规治理理念。推进角度看，从同步规划、同步建设、同步使用三个阶段入手，初步推进并形成PDCA管理闭环。能力角度看，构建数据安全现状识别、分级管控、风险控制及评价改进等四大能力领域，实现IPDRR的安全管控闭环。

树立积极文化

树立积极文化是根本，人的主观因素是数据安全成败的关键，重点是全员参与，积极行动。数据无所不在，数据安全文化意识的培养建设会给组织带来长期收益。一般情况下，建立积极的数据安全文化会经历“自律阶段”、“自觉阶段”、“自为阶段”三个阶段。建立积极的数据安全文化关键是形式上要创新、适宜行业和企业自身特点，要以人为本，营造氛围，激发每个人的意识和热情。