数据安全治理实践一般路线 供参考版本

数据安全治理是一项体系化工程，需要以数据为中心，结合业务场景和风险分析情况，构建可持续运转的闭环数据安全防护体系，实现组织数据安全治理能力建设。本文从实践角度出发，围绕参考框架，探讨数据安全治理规划、建设、运营、成效评估等方面的 工作路线。

(一) 第一步：治理规划

1.现状分析

如前所述，数据安全治理的目标是在合规保障和风险管理的前提下，实现数据的充分开发利用，确保安全和发展的双向促进。因此，在规划初期就需要充分考虑组织现状，分析差距，从而得出针对性的需求点，作为组织数据安全治理规划设计的依据。一是外部合规遵从，对业务适用的外部法律法规、监管要求进行梳理，将重要条款与现有情况进行对比，分析其差距，确定合规需求。二是现状风险分析，结合业务场景，基于数据全生命周期安全防护要求，梳理并形成组织风险问题清单，明确内外部风险形成原因，提炼数据安全建设需求点。三是行业最佳实践对比，将组织数据安全能力现状与国内外或行业先 进实践进行横向对比，明确差距所在，找到突出问题。

2.方案规划

根据现状分析结果，结合上述参考框架，应从以下方面着手规划适用于本组织的数据安全治理体系，防范数据泄露、数据篡改、数据非法使用等风险，保障数据安全。一是组织机构建设，通过成立专门的数据安全治理团队，自上而下的建立从各个领导层面至基层执行层面的管理组织架构，以保障数据安全管理方针、策略、制度的统一制定和有效实施。二是制度流程建设，应在遵循现有相关国家要求的基础上，结合自身业务场景，明确需要编制的相关一级、二级、三级、四级管理和技术文件，指导数据安全制度体系的总体建设。三是技术工具建设，应结合业务场景，通过建立围绕数据全生命周期的安全防护技术体系，实现各项数据安全制度要求的自动化落实，为实现数据安全防护总体目标提供技术支撑。四是人员能力建设，人员是数据安全工作开展的主要参与方，应根据人员角色、岗位职责，从安全意识培养、安全能力培训、安全能力考核三方面入手构建相适应的人才培 养机制。

3.方案论证

为保障规划方案在建设过程的顺利实施，应从以下方面进行论证分析。一是可行性分析，根据组织现状，明确人力、物力、资金的投入与产生的效益对比，确保在业务发展与安全保障之间达到平衡。二是安全性分析，通过对方案的各项实施内容进行安全性分析，确保方案的引入不会带来额外的安全风险。三是可持续性分析，数据安全治理是持续性过程，无法一蹴而就，随着业务拓展和技术进步，规划方案在保证与当前组织现有体系兼容的同时，也要考虑与后续的发展相 适应。

(二) 第二步：治理建设

1.组织架构体系

明晰的组织建设是保障数据安全治理工作顺利开展的首要条件。决策层。为保证数据安全工作的顺利开展及持续保持，建议数据安全管理采取“一把手负责制”，由各业务、技术、法务等部门的直接领导共同组成“数据安全领导小组”，负责组织数据安全整体目标及发展规划等的制定。
管理层。由数据安全领导小组指派中高层管理人员作为数据安全负责人，并组建数据安全管理团队。为保证数据安全管理的独立性、客观性，建议数据安全负责人应为专职人员。管理团队应结合行业监管及组织业务发展需要，制定与组织整体目标相适应的数据安全管理策略，形成规范化管理体系等。
执行层。由各业务部门中与数据处理活动相关的人员，以及风控、技术、运营等团队的人员组成数据安全执行团队，需要与管理团队紧密配合。针对各数据安全场景，负责按照既定的数据安全管理策略、管理要求，在不同的业务流程中进行落地及运营维护。
监督层。由风控、合规、审计等多部门组成数据安全监督小组，负责对管理层、执行层的工作进行定期审核监督，并将发现的问题及 时反馈给决策层，对违规行为予以纠正。

2.制度流程体系

数据安全相关制度流程一般会从业务数据安全需求、数据安全风险控制需要，以及法律法规合规性要求等几个方面进行梳理，最终确 定数据安全防护的目标、管理策略及具体的标准、规范、程序等。
数据安全管理制度文件可分为四个层面，一、二级文件作为上层的管理要求，应具备科学性、合理性、完备性及普适性。三、四级文件则是对上层管理要求的细化解读，用于指导具体业务场景的具体工 作。
一级文件是由决策层明确的面向组织的数据安全管理方针、政策、目标及基本原则。二级文件是由管理层根据一级文件制定的通用管理办法、制度及标准。三级文件一般由管理层、执行层根据二级管理办法确定各业务、各环节的具体操作指南、规范。四级文件属于辅助文件，是各项具体制度执行时产生的过程性文档，一般包括工作计划、 申请表单、审核记录、日志文件、清单列表等内容。

为保证数据安全管理制度的落实，基于数据安全管理制度体系各级文件要求，应制定相应的执行流程规范及审核规范，保障数据安全 管理的高效运行。

3.技术工具体系

技术工具是落实各项安全管理要求的有效手段，也是支撑数据安全治理体系建设的能力底座。围绕参考框架，结合实际场景，构建完善的技术工具，可以体系化的解决数据全生命周期各阶段安全隐患。 数据安全技术工具的部署 进行展开。

4.人员能力体系

数据安全治理离不开相应人员的具体执行，因此，加强对数据安全人才的培养是数据安全治理的应有之义。组织需要根据岗位职责、人员角色，明确相应的能力要求，并建立适配的数据安全人员能力培 养机制
数据安全意识提升。可以结合业务开展的实际场景，以及数据安全事件实际案例，通过数据安全事件宣导、数据安全事件场景还原、数据安全宣传海报、数据安全月活动等方式，定期为员工开展数据安全意识培训，纠正工作中的不良习惯，降低因意识不足带来的数据安 全风险。
数据安全能力培训。一方面，构建组织内部的数据安全学习专区，营造培训环境，通过线上视频、线下授课相结合的方式，按计划、有主题的定期开展数据安全技能培训，夯实理论知识。另一方面，通过开展数据安全攻防对抗等实战演练，将以教学为主的静态培训转为以实践为主的动态培训，提高人员参与积极性，有助于理论向实践转化， 切实提高人员数据安全技能。
数据安全能力考核。结合人员角色及岗位职责，构建数据安全能力考核试题库，通过考核平台分发日常测验及各项考核内容，评估人员数据安全理论基础。同时将人员在实战演练中的实际操作能力作为重要考核指标，以综合评估数据安全人员能力水平，实现人员培养的 闭环建设。

(三) 第三步：治理运营

1.风险防范

数据安全治理的目标之一是降低数据安全风险，因此建立有效的风险防范手段，对于预防数据安全事件发生有重要作用，可以从数据安全策略制定、数据安全基线扫描、数据安全风险评估三方面入手。数据安全策略制定。一方面，根据数据全生命周期各项管理要求，制定通用安全策略，另一方面，结合各业务场景安全需要，制定针对性的安全策略。通过将通用策略和针对性策略结合部署，实现对数据 流转过程的安全防护。
数据安全基线扫描。基于面临的风险形势，定期梳理、更新相关安全规范及安全策略，并转化为安全基线，同时直接落实到监控审计平台进行定期扫描。安全基线是组织数据安全防护的最低要求，各业 务的开展必须满足。
数据安全风险评估。在业务需求阶段开展数据安全风险评估，并将评估结果与安全基线进行对标检查。针对不满足基线要求的评估项， 可以通过改进业务方案或强化安全技术手段的方式实现风险防范。

2.监控预警

数据安全保护以知晓数据在组织内的安全状态为前提，需要组织在数据全生命周期各阶段开展安全监控和审计，以实现对数据安全风险的防控。可以通过态势监控、日常审计、专项审计等方式对相关风 险点进行防控，从而降低数据安全风险。
态势监控。根据数据全生命周期的各项安全管理要求，建立组织内部统一的数据安全监控审计平台，对风险点的安全态势进行实时监 测。一旦出现安全威胁，能够实现及时告警及初步阻断。
日常审计。针对账号使用、权限分配、密码管理、漏洞修复等日常工作的安全管理要求，利用监控审计平台开展审计工作，从而发现 问题并及时处置。

3.应急处理

一旦风险防范及监控预警措施失效，导致发生数据安全事件，组织应立即进行应急处置、复盘整改，并在内部进行宣贯宣导，防范安 全事件的再次发生。
数据安全事件应急处置。根据数据安全事件应急预案对正在发生的各类数据安全攻击警告、数据安全威胁警报等进行紧急处置，确保 第一时间阻断数据安全威胁。
数据安全事件复盘整改。应急处置完成后，应尽快在业务侧组织复盘分析，明确事件发生的根本原因，做好应急总结，沉淀应急手段， 跟进落实整改，并完善相应应急预案。
数据安全应急预案宣贯宣导。根据数据安全事件的类别和级别，在相关业务部门或全线业务部门定期开展应急预案的宣贯宣导，降低 类似数据安全事件风险。

(四) 第四步：治理成效评估

数据安全治理是一个持续性过程，成效评估是考核组织数据安全治理能力的重要环节，其结果也是新一轮数据安全治理的改进依据。如何评价数据安全治理成效，并实现治理体系的优化改进是组织在数 据安全治理能力建设过程中面临的重要问题。

1.内部评估

组织应形成周期性的内部评估工作机制，内部评估应由管理层牵头，执行层和监督层配合执行，确保评估开展的有效执行，并应将评估结果与组织的绩效考核挂钩，避免评估流于形式。常见的内部评估 手段包括评估自查、应急演练、对抗模拟等。
评估自查通过设计评估问卷、调研表、定期执行检查工具等形式，在组织内部开展评估，主要评估内容至少应包括数据全生命周期的安全控制策略、风险需求分析、监控审计执行、应急处置措施、安全合 规要求等内容。
应急演练通过构建内部人员泄露、外部黑客攻击等场景，验证组织数据安全治理措施的有效性和及时止损的能力，并通过在应急演练 后开展复盘总结，不断改进应急预案及数据安全防护能力。
对抗模拟通过搭建仿真环境开展红蓝对抗，或模拟黑产对抗，帮助组织面对数据安全攻击时实现以攻促防，并在这个过程中不断挖掘组织数据安全可能存在的攻击面和渗透点，有针对性的完善数据安全 治理技术能力。

2.第三方评估

除了内部评估外，组织应引入第三方评估。第三方评估以国家、行业及团体标准等为执行准则，能客观、公正、真实地反映组织数据安全治理水平，实现对标差距分析。结合业务场景和数据全生命周期数据流，可以从组织架构、制度流程、技术工具、人员能力体系的建设情况入手，考察组织数据安全治理能力的持续运转及自我改进能力。依托市场化机制，国外已经形成了较为完备的数据安全治理能力第三方评估评测体系，例如美国TRUSTe认证、欧盟GDPR相关认证等，在助力法律法规落地，提升组织数据安全治理水平，推动行业健康有序发展方面发挥了重要的作用。
目前，我国第三方数据安全治理能力评估处于起步阶段。 2020 年12 月，中国信息通信研究院依据团体标准T/ISC- 0011 - 2021 《数据安全治理能力评估方法》推出了国内首个数据安全治理能力评估服务，为实践提供操作指南和度量准则。
《数据安全法》中也明确提出支持专业机构开展数据安全相关评估认证服务工作。

参考文档

信通院 数据安全治理实践指南-1.0
信通院 数据安全风险分析及应对策略研究-2022年