数据安全治理实践探索

　　摘要随着《中华人民共和国数据安全法》的深入实施和数据要素市场化深入发展，数据安全治理相关技术与实践也将得到持续发展.但是目前为止业内对于数据安全治理的相关实践还未形成统一的认识，相关国家及行业标准也未能推出，尝试从数据安全治理实现目标与方法等方面探索一种行之有效的数据安全治理实践.提出了一套数据安全治理体系架构，围绕数据安全治理实践机制的管理、技术、评估和运营等几个方面要求逐一展开进行详细说明，并重点对数据安全治理实践所涉及的关键措施及技术要求进行了介绍.

　　关键词数据安全;数据安全治理;数据滥用;数据安全风险控制;数据安全运营

　　业内期待已久的《中华人民共和国数据安全法》[1](以下简称《数据安全法》)在2021年6月10日正式公布，数据产业发展迎来有法可依的法治发展时代.《数据安全法》中明确提出应“建立健全数据安全治理体系，提高数据安全保障能力”，数据安全治理也已经获得业内广泛的关注.

　　数据安全论文范例： 基于区块链的微电网数据安全共享方案

　　1业务背景

　　数据安全治理从治理范围来看可以分为国家数据安全治理和组织数据安全治理.中国信息通信研究院发布的《数据安全治理实践指南(1.0)》[2]针对数据安全治理概念提出了广义和狭义2个定义，广义是针对国家战略层面落实数据开发利用和数据安全统筹发展的策略，狭义则是基于数据生命周期建立涵盖组织保障、制度规范、安全技术和人才建设等多重维度的策略.本文聚焦在组织层面的数据安全治理探索，即在某个组织内部，或者多个有数据关联的组织之间的数据安全治理工作.

　　一个典型的业务场景就是当前数字政府建设过程中所力推的政务数据共享.如省级政务数据共享一般都是以省大数据局或省大数据中心作为省级政务数据共享平台建设和运营方，来拉通省内各政府部门及地市单位的数据共享，以及与国家数据平台的数据共享等.在这个场景下，政务数据的治理业务范围就涉及省级政务数据共享平台，以及参与政务数据共享的各个政府部门及地市单位的数据业务系统，也包括省级政务数据共享平台与国家平台之间的数据共享接口的安全等.目前数据安全治理业内并没有达成一个统一共识，本文尝试从数据安全治理实现目标与方法等方面探索一种行之有效的数据安全治理实践方案.

　　2数据安全治理现状

　　2.1业内数据安全治理研究及实践情况

　　2019年发布的GB?T37988—2019《信息安全技术数据安全能力成熟度模型》国家标准(简称“DSMM”)[3]对于推动数据安全治理发展起到了非常积极的作用.DSMM标准提炼了一套数据安全能力成熟度评估体系，该体系涵盖了数据安全能力、数据安全过程和能力成熟度等级的3个维度，和1～5共5个成熟度等级，以及覆盖采集、传输、存储、处理、交换、销毁等数据生存周期的30个数据安全过程域等相关内容.阿里巴巴等单位也针对性地发布了《数据安全能力建设实施指南V1.0(征求意见稿)》[4]用于指导各单位基于DSMM标准进行数据安全相关能力的建设.

　　《基于精准治理的大数据安全治理体系创新》[5]提出了一种大数据安全治理运行框架，该框架包括基于主体精准化的多元共治体系、基于流程精准化的科学预判体系、基于手段精准化的分类处置体系和基于保障精准化的动态保障体系等方面，涵盖了组织、流程、手段和制度等大数据安全治理的主要方面.

　　《数据安全治理实践指南(1.0)》提出了一套涵盖规划、建设、运营、评估等系统建设的各个过程，并基于数据全生命周期的数据安全治理实践总体视图，覆盖了基础安全、数据全生命周期安全和数据安全战略的数据安全治理参考框架，同时指南还给出了目前业内多家单位的典型实践方案.另外《数据安全法》中对开展数据安全保护及治理工作给出的具体要求包括：建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全.

　　国家网信办2019年发布的《数据安全管理办法(征求意见稿)》[6]进一步明确了建立数据安全管理责任和评价考核制度，制定数据安全计划，实施数据安全技术防护，开展数据安全风险评估，制定网络安全事件应急预案，及时处置安全事件，组织数据安全教育、培训.

　　总之，当前业内对于数据安全治理应该涵盖组织机构、管理制度、安全技术及专业人员几个方面是具有统一认识的.中国互联网协会发布的团体标准T?ISC-0011—2021《数据安全治理能力评估方法》[7]给出了一套数据安全治理能力评估框架，框架涵盖了数据安全战略、数据生命周期安全和基础安全3个层面的共18个数据安全能力项，并对于每个能力项又细分为基础、优秀和先进3个等级.Gartner曾提出了一个DCAP(以数据为中心的审核和保护)的数据安全治理理念，基于该理念业内提出过很多的以数据为中心的数据安全解决方案，这些解决方案的一个共性就是对数据进行发现和标识化(数据分类分级)，并基于这些数据标识进行相应的安全策略控制.

　　2.2数据安全治理存在的主要问题

　　业内对数据安全治理过程及关键路径基本都有一定共识，并进行了一些相关实践.但是目前数据安全治理研究及实践存在一些典型问题，主要有以下几个方面.

　　2.2.1数据安全合规不等同于数据安全保障

　　安全行业一个重要业务目标就是“合规”，即遵守国家各类安全相关法律法规的要求，在数据安全领域也是如此.数据安全领域涉及的合规要求除了既要遵守网络安全相关的法规，还要遵守数据安全专有的法规.典型的数据安全法规包括：2021年刚发布的《数据安全法》和《个人信息保护法》[8]，另外国家网信办发布的《网络安全审查办法(修订草案征求意见稿)》[9]也专门增补了数据安全相关要求，正式发布后也将是各关键信息基础设施数据处理者所应重点遵守的法规之一.

　　另外还有很多其他法规(如《中华人民共和国民法典》等)也涉及数据安全相关规定，同时有些部委和地方政府也会出台面向行业或区域的数据安全相关法规，比如银保监会发布的《中国银保监会监管数据安全管理办法(试行)》[10]、工信部发布的《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》[11]、天津市发布的《天津市数据安全管理办法(暂行)》[12]等.

　　数据安全合规工作非常重要，合规也是从事数据处理事项的基本前提条件.但是数据安全合规不能等同于数据安全保障，即使符合各种相关的数据安全法规要求，不能认为数据安全就万无一失.我们知道，数据安全防护本质符合“木桶原理”，即数据安全防护水平取决于数据安全所涉及各个方面的安全防护水平的最低点，合规仅确保这个最低点能达到基本要求，也就是底线要求.另外数据安全合规检查的粒度也直接决定了合规结果与安全效果是否一致，就算拿到了合规证明也很难确保系统达到数据安全防护能力要求.

　　比如数据安全法规要求数据采集必须经过充分授权，但实际执行过程是得到明示同意还是只单纯进行公示.数据处理者对数据必须进行分类分级，但是实际执行分类分级的粒度是否涵盖了所有重要数据，是否能确保重要数据都得到有效防护.这些情况在数据安全合规评估和检测中未必能得到充分确认.同时数据安全合规评估和检测也与执行评估和检测人员自身水平及采用的评估和检测的工具能力也有很大关系.因此，数据安全合规只能作为数据安全防护的基础和底线的要求，要做好数据安全保障还需要做更多工作.

　　2.2.2数据安全方案不等同于数据安全防护

　　数据安全治理还经常存在重视数据安全设计方案和建设方案，但却忽视数据安全防护效果的问题.编制数据安全方案是几乎所有数据安全建设项目所必需的要求，但是很多项目都存在重建设轻运营的问题，即数据安全方案编制得比较全面，实际建设也按方案要求进行了部署和应用，但是数据安全治理效果是否能发挥出来、数据安全策略是否达到方案预期效果等数据安全运营阶段所应重点考察的指标往往被忽视.

　　2.2.3数据安全运维不等同于数据安全运营

　　数据安全治理实践经常是重视运维，很多项目基本都会要求配置驻场运维人员，但是对数据安全运营不是非常重视，甚至有些项目还经常把运维和运营2个概念混淆不清.数据安全运营的目的是把数据安全的价值挖掘出来，但是在平常业务中，数据安全运营与数据安全运维、数据安全管理等既有部分重叠，又各有侧重点.数据安全运维的核心目标就是维护好数据安全相关软硬件产品，确保数据安全软硬件产品正常运转，相关故障、告警得到及时处置.通俗来讲，数据安全运维是确保产品用起来，数据安全运营则是确保产品用好.

　　以数据库防火墙产品为例：数据安全运维确保防火墙运行状态正常，没有死机、没有故障、没有异常等;数据安全运营则是确保防火墙的安全防护规则始终有效，并及时剔除失效的策略.另外，数据安全运维人员技能更多强调对数据安全软硬件产品的使用及维护等方面，数据安全运营人员技能则更多是侧重数据安全防护与具体业务方面.

　　2.2.4数据安全技术不等同于数据安全治理

　　经过多年研究发展，目前已经有很多的数据安全相关技术逐步成熟，比如加密、脱敏、数字水印、数据库审计等等，这些技术也在绝大部分数据安全治理实践中得以落实.

　　3数据安全治理体系研究

　　3.1数据安全治理目标

　　本文研究的数据安全治理目标还是限定在1个或多个组织机构内，面向重要数据或敏感信息的数据安全管理与控制等相关措施.典型的业务场景就是数字政府中各政府部门的数据安全治理，既包括各政府部门内部数据安全治理，也包括跨部门的数据共享层面的数据安全治理.数据安全治理主要目标包括以下方面：

　　1)数据安全合规目标.必须满足国内各类数据安全法规的要求，包括国家、地方及相关行业方面的法律和法规.2)数据安全防护目标.必须确保数据安全治理所涵盖的业务系统的重要数据运行安全，包括数据可靠性要求、数据防泄露要求以及数据防滥用要求等.3)数据安全治理目标.提供涵盖技术与管理等多层次的数据安全治理体系，确保数据安全与数据业务持续同步发展.

　　3.2数据安全治理体系架构

　　本文提出一套集管理、技术、评估和运营为一体的数据安全治理体系架构，从多个维度提出数据安全治理实践机制.数据安全治理机制主要涵盖4个维度的数据安全治理实践机制：1)数据安全管理机制.主要包括数据安全治理所涉及的组织建设、人力保障和相应的规范制度等.2)数据安全治理技术.涉及数据安全治理所涉及的各个领域的技术及工具，主要包括数据发现、分类分级、数据安全防护策略、安全风险控制及安全运营等方面.3)数据安全治理评估.具体涉及评估和评价，以及针对评估和评价后的结果进行改进与提升方面的内容.

　　4数据安全治理实践探索

　　4.1数据安全治理管理机制

　　数据安全治理离不开组织和人力方面的投入，因此数据安全治理管理机制需要重点落实以下方面的工作.

　　4.1.1组织建设

　　需要制定数据安全治理组织机构，明确数据安全治理所涉及业务范围的相关组织团队在数据安全治理工作中的相关职责和具体要求，建议至少应制定下面几个数据安全治理组织角色：1)数据安全决策层.由整个组织高级管理人员或数据安全官等组成，负责整个组织的数据安全目标与规划、数据安全治理全过程的资源保障及重大事件协调与决策等职责，承担整个组织数据安全最终责任.2)数据安全管理层.由整个组织内各个具体业务部门管理人员等组成，负责具体业务部门数据安全措施与决策的执行，包括但不限于制定数据安全管理规范、组织制定及落实数据安全技术方案、组织数据安全业务及技能培训等，承担具体业务部门数据安全的责任.

　　3)数据安全执行层.由各个具体业务部门承担数据安全执行的人员组成，主要负责具体数据安全治理相关的技术及管 理措施的落实，包括但不限于数据安全技术方案与数据管理管理制度执行、数据安全产品部署及运维、数据安全事件监控及处置、数据安全漏洞排查及修复、数据安全事件溯源及分析等.4)数据安全监督层.由组织内与业务部门没有隶属关系的第三方人员组成，主要负责数据安全治理过程与结果的监控和审计，确保数据安全治理组织执行的效果.

　　4.1.2人力保障

　　数据安全治理除了需要相关的技术工具和产品，也离不开相应的人员保障，组织建设中明确的各个数据安全治理组织角色都需要明确具体人员保障，并制定相关人员的职责和考核要求，以及为了确保人员数据安全业务技能符合数据安全治理要求所应该开展的人员技能培训及职业发展规划等.

　　4.1.3规范制度

　　数据安全治理涉及多方面的规范制度，主要包括：1)《数据安全管理制度》明确各个业务系统所涉及的数据安全管理范围及责任人，以及相应的组织保障机制等.2)《数据分类分级规范》对组织内的各类业务数据，尤其是个人信息和重要数据，明确数据类别和安全级别.

　　3)《数据安全管理规范》明确不同类别、不同级别数据的安全管理措施，建立涵盖数据采集、传输、存储、处理、交换、销毁等数据生存周期的安全管理规范.4)《数据安全运营管理规范》明确数据安全风险监控措施、数据安全风险响应和应急处置措施、数据安全漏洞排查、数据备份恢复等相应措施要求.5)《数据安全培训管理制度》明确数据安全人员培训等相关要求.

　　4.3数据安全治理评估机制

　　数据安全治理评估机制是检查数据安全治理效果的最有效措施，评估机制主要包括评估与评价措施和改进与提升措施2个方面.数据安全评估措施主要包括：确定评估的目标数据及所涉及的应用系统和人员，梳理数据全生命周期过程及所涉及的数据安全技术与管理措施，分析各个数据流转环节数据安全措施的有效性，输出数据安全评估分析报告.数据安全评价措施在数据安全评估措施的基础上对数据安全治理能力和效果进行打分评价.另外DSMM标准可以作为数据安全评估和评价措施的一个重要参考材料，该标准提炼出的30个安全过程域基本涵盖了数据安全评估过程的各个环节，标准对数据安全能力成熟度模型的定级也可以作为评价结果的重要参考.

　　4.4数据安全治理长效运营

　　数据安全治理与数据业务发展紧密相关，这也导致数据安全治理不是一个短期的一蹴而就的工作，而是需要长期持续运营.数据安全治理运营的核心工作包括应急处置、隐患排查、预警通报和安全审计等几个方面.

　　4.4.1应急处置对于数据安全治理过程中发现的各类数据安全事件和威胁隐患能够及时进行闭环处置，确保数据安全威胁得到解除，降低数据安全事件对数据业务的影响程度.数据安全应急处置具体措施需要根据数据安全事件根本原因进行针对性处理，常见措施包括修复数据业务系统安全漏洞、改进数据处理业务流程、完善数据管理措施与制度等.

　　4.4.2隐患排查数据安全隐患排查工作需要定期或基于数据安全威胁情报实时开展，主要是针对数据业务系统及数据处理流程中是否存在数据泄露、数据损毁或数据滥用等方面的漏洞进行检查，隐患排查还可以借助相关数据安全漏洞扫描等工具辅助进行.

　　5结束语

　　近年来数据已经成为国家重要的新型生产要素[13]，数据要素的数据安全治理还处于初期研究阶段，同时针对人工智能等新型技术领域的数据安全治理研究也在持续深入[14]，一些相关的技术(如隐私安全计算、数据安全溯源等)还处于发展和成熟过程中，数据安全治理相关的行业及国家标准还没有展开.相信随着数据要素市场化的深入推进以及国家对数据安全领域的重视持续加强，数据安全治理将在实践中逐步成熟.

　　参考文献：

　　[1]全国人民代表大会常务委员会.中华人民共和国数据安全法[EB?OL].新华社，(2021-06-10)[2021-08-17].

　　[2]中国信息通信研究院云计算与大数据研究所.数据安全治理实践指南(1.0)[R].北京：中国信息通信研究院，2021

　　[3]全国信息安全标准化技术委员会.GB?T37988—2019信息安全技术数据安全能力成熟度模型[M].北京：中国标准出版社，2019

　　[4]阿里巴巴，数梦工场，安恒信息，等.数据安全能力建设实施指南V1.0(征求意见稿)[R].杭州：阿里巴巴数据安全研究院，2018

　　[5]王欣亮，任弢，刘飞.基于精准治理的大数据安全治理体系创新[J].中国行政管理，2019(12)：121126

　　[6]国家互联网信息办公室.数据安全管理办法(征求意见稿)[EB?OL].(2019-05-28)[2021-08-17].

　　作者：胡国华