数据安全风险与治理的实践指南解读

数据安全风险与治理的实践指南解读

蒋娴媛

数数信息科技（上海）有限公司,上海市长宁区,200051

摘要：随着数字经济时代来临，中国高度重视数据安全和个人信息保护、数字隐私，在已有《网络安全法》基础上，今年制定了《数据安全法》《个人信息保护法》并加紧出台。此外，还要求及时跟进研究数字经济、互联网金融、人工智能、大数据、云计算等相关法律制度，抓紧补齐短板，以良法善治保障新业态新模式健康发展。本文就数据安全风险与治理的实践的重点内容进行相关阐述。

关键词：数据安全风险；治理；指南解读

《网络安全法》、《数据安全法》、《个人信息保护法》等一系列规范和促进数字经济发展而制定的法律法规以及政策，构成了中国数字规则体系，主要是满足数字经济快速发展的需要，在数字经济时代必须有完善的法律法规才能促进数字经济健康发展。数据已经成为“21世纪的石油”，作为一种新的生产要素，也是企业、社会和国家安全的重要战略资源。这些数据在推动人工智能技术发展方面也具有巨大的战略价值，而中国则是全球生产数据最多的国家，必须加以保护并巩固优势。

一、数据安全治理研究现状

数据安全问题由来已久，尤其在数据上升为新型生产要素后，面临的挑战越来越大。一方面，各类数据泄露事件频发，为组织和企业的数据安全状况敲响警钟；另一方面，数据和隐私相关法律规范陆续颁布，监管力度不断加强，监管要求不断提升。然而，当前的行业数据安全治理处于发展初期，与监管的要求存在较大差距。

（一）数据安全治理保障体系不完善

数据安全治理能力建设涉及多个部门，沟通成本高，协同难度大，需要建立统一的数据安全治理组织框架，分层次切实履行数据安全管理职责。然而，当前大多数企业缺乏相应的治理组织，难以对数据安全治理进行统一的战略规划和资源协调。

（二）数据安全治理技术体系不成熟

数据应用技术的复杂性、数据海量汇聚的风险性、数据的深度挖掘及隐私保护等问题都对传统数据安全保障能力提出了新挑战。如何解决多样化场景下面临的数据安全威胁和潜在风险，需要加强数据安全核心技术的创新研究与深化应用。

（三）数据安全人才队伍不健全

当前数据安全从业人员多由信息安全人员或网络安全人员兼任，缺少专业的数据安全培训和体系化的管理，对数据安全的知识储备不足，无法保障数据安全治理的成效。未来要逐步建立多层次、多类型的数据安全从业者梯队，夯实数据安全治理基础。

（四）业务发展与安全保障之间的协调经验不足

过度的保护不利于数据价值的释放，但是保护的缺失会造成更大的危害。数据安全法指出“坚持以数据开发利用和产业发展促进数据安全，以数据安全保障数据开发利用和产业发展”。如何把握发展和安全的界限，是数据安全治理能力面临的重要考验。

二、数据安全治理目标

合规保障是组织数据安全治理的底线要求，风险管理是数据安全治理需要解决的重要问题。在数字经济时代，数据只有经过流通交易才能最大限度释放数据价值。因此，数据安全治理的目标是在合规保障及风险管理的前提下，实现数据的开发利用，保障业务的持续健康发展，确保数据安全与业务发展的双向促进。

三、企业数据安全治理的5个步骤

（一）数据安全治理评估

首先从业务视角出发，对业务应用的现状、使用情况进行调研、分析，确定业务的关联关系 、访问的关键路径、数据的流向及演变过程，结合对基础安全管控措施的分析，找出主要业务所面临的管理、技术及运营风险。

其次，集合多个业务系统的调研结果，找出系统间的共性问题，为制定业务的数据安全管理规范提供第一手的参考依据。针对业务各系统及数据资产全面开展评估梳理工作，形成《数据资产清单》，明确相关平台各系统的输入输出，数据所在位置及其处理、共享、交换等使用过程中数据重要度等内容。

最后，基于业务场景梳理数据操作过程中的主体（人、用户、账号）、客户（数据）、过程（操作的时域、地域、权限、结果等）属性；以角色控制为视角，明确被审计用户（账号）的类型、角色，包括应用程序所有者（业务账号）、应用程序终端用户（业务终端）、数据管理账号（数据库管理员）等；建立符合业务最小够用的安全策略模型。

（二）数据安全组织架构建设

数据安全管理是一项需要多方联动型的复合型工作，在开展组织架构建设时，需要考虑组织层面实体的管理团队及执行团队，同时也要考虑虚拟的联动小组，所有部门均需要参与安全建设当中。同时，需要根据部门职责建立不同的数据安全角色以满足数据安全建设的需求。

（三）数据安全管理制度建设

数据安全保障体系的规范一般从业务数据安全需求、数据安全风险控制需要及法律法规合规性要求等几个方面进行梳理，最终确定数据安全防护的目标、管理策略及具体的标准、规范、程序等。

一般情况下，数据安全管理规体系文件可分为四个层面：

（1）一级文件是由决策层确定管理要求、目标及基本原则；

（2）二级文件是由管理层根据一级管理要求制定通用的管理办法、制度及标准。二级文件作为上层的管理要求，应具备科学性、合理性、完善性及普遍的适用性；

（3）三级文件一般由管理层、执行层根据二级管理办法确定各业务、各环节的具体操作指南、规范；

（4）四级文件属于辅助文件，一般包括操作程序、工作计划、资产清单、过程记录等过程性文档。四级文件是对上层管理要求的细化解读，用于指导具体业务场景的具体工作。

4.数据安全技术保护体系建设

不同安全级别的数据，可参照数据生命周期的原则进行数据安全应用执行。具体保护要求及措施，可参照国家相关法律、法规、标准及自身的数据安全相关管理制度、规范、标准执行。

（五）数据安全运营管控建设

数据安全保障体系因其业务的持续性，需要进行长期性服务，建立完善的数据安全运营团队是必然选择。数据安全运营主要包括以下内容：

（1）数据安全运维：主要是数据安全措施的使用、运维，驻场或定期对数据安全产品的使用情况进行分析，并结合管理要求，持续进行管控措施策略和配置的优化，并定期输出数据安全运维报告和策略优化建议等；

（2）应急预案与演练：按照相关要求，制定数据安全事件应急预案。并按照制定的应急规划，按照安全事件的危害程度、影响范围等对安全事件建分级，定期进行应急预案演练；

（3）监测预警：围绕数据安全目标，依据相关安全标准，建立数据安全监测预警和安全事件通报制度，收集分析数据安全信息，对安全风险及时上报，包括按需发布数据安全监测预警信息等；

（4）应急处置：相关方按照应急预案，在发生安全事件时，采取应急处置措施，向主管部门上报重大安全事件，定期对应急预案和处置流程优化完善；

（5）灾难恢复：在数据安全事件发生后，根据安全事件的影响和优先级，采取合适的恢复措施，确保信息系统业务流程按照规划目标恢复。

数据安全治理必定是一个持续性过程，如何评价数据安全治理成效并实现治理体系的优化改进，是组织在数据安全治理能力建设过程中面临的重要问题。数据安全治理离不开相应人员的具体执行，因此，加强对数据安全人才的培养是数据安全治理的应有之义。组织需要根据岗位职责、人员角色，明确相应的能力要求，并建立适配的数据安全人员能力培养机制。

作者简介：蒋娴媛，籍贯江苏宜兴，法学本科，法律总监。