内容字号: 默认 大号超大号

段落设置: 段首缩进取消段首缩进

字体设置:切换到微软雅黑切换到宋体

信通院李雪妮等:数据安全治理能力评估框架构建研究

2022-09-06 09:04 出处:人气: 评论(

随着数据的战略性地位空前提高,数据安全风险日益成为影响产业发展、经济运行甚至国家安全的重要因素,数据安全也成为保障数据要素市场有序发展的必要前提。

2021年我国数据立法进展突飞猛进,备受关注的《中华人民共和国数据安全法》(简称《数据安全法》)和《中华人民共和国个人信息保护法》分别出台,与《中华人民共和国网络安全法》共同形成了数据安全领域的“三驾马车”,为我国数字经济的健康有序发展保驾护航。在此基础上,重点行业及地方政府也陆续出台相应政策法规[1],落实国家要求,推进数据安全建设工作。

在强监管趋势下,如何落实监管要求,保障业务发展的合规合法,是社会各界面临的重要议题。《数据安全法》中就明确指出“维护数据安全,应当坚持总体国家安全观,建立健全数据安全治理体系,提高数据安全保障能力。”并鼓励“数据安全检测评估、认证等服务的发展”。为落实国家法律法规要求,全面、准确、客观评估数据安全治理能力建设情况,推进行业数据安全治理能力建设,本文给出针对数据安全治理能力的评估框架,并从评估项、评估维度、评估等级三方面进行详细研究分析。

1  数据安全治理能力评估现状

1.1  国外数据安全评估现状

随着大数据时代的到来,数据安全成为关注焦点,早期聚焦于信息安全的相关评估认证也逐渐转移至数据安全保护。目前,美国、法国、英国等国家纷纷根据各自法律要求,针对企业的数据使用、数据存储、数据流通和隐私保护等开展安全评估认证,旨在保护数据安全,保障数据价值。表1对部分代表性的数据安全认证进行了介绍。总体上看,部分发达国家依托市场化机制,已经形成了较为完备的数据安全第三方评估测试体系,在助力法律法规落地,提升数据安全管理水平,推动行业健康有序发展方面发挥了重要作用。

表1  部分代表性数据安全认证

图片

1.2  国内数据安全评估现状

我国高度重视数据安全标准化工作,自2017年开始就发布了数据安全管理、个人信息安全管理等方面的标准,这表明我国在数据安全技术产品、服务能力、安全能力等方面的规范化要求逐渐增加,基于标准的评估评测市场需求也愈加旺盛。《数据安全法》 中明确提出支持专业机构开展数据安全相关评估认证服务工作。

目前,我国第三方数据安全评估工作尚处于起步阶段。2020年12月,中国信息通信研究院依据团体标准T/ISC-0011-2021《数据安全治理能力评估方法》[2]推出了国内首个数据安全治理能力评估服务,并提出数据安全治理总体视图[3-4],为治理实践提供操作指南和度量准则。

2  数据安全治理能力评估框架

数据安全治理能力的建设是一个持续性的过程,成效评估是考核组织数据安全治理能力的重要环节,其结果也是新一轮数据安全治理的改进依据。如何评价数据安全治理成效,并实现治理体系的优化改进是组织在数据安全治理能力建设过程中面临的重要问题。依据团体标准T/ISC-0011-2021《数据安全治理能力评估方法》,本文提出如图1所示的数据安全治理能力评估框架,主要包括评估项、评估维度、评估等级3部分内容,具体如下。

图片

图1  数据安全治理能力评估框架图

2.1  评估项

评估项作为数据安全治理能力的主要考察对象,包括数据安全战略、数据全生命周期安全、基础安全3部分。

2.1.1  数据安全战略在组织启动数据安全治理工作前,必须制定相应的战略规划,明确治理目标和具体任务,匹配对应的资源,使得治理工作能够有条不紊地展开[5]。数据安全战略可以从数据安全规划、机构人员管理两个能力项入手,前者确立目标任务,后者组建治理团队。

(1)数据安全规划关注组织对当前数据安全风险现状的梳理情况,要求结合业务发展,制定组织整体的数据安全发展规划。

(2)机构人员管理关注组织数据安全治理的团队及人员,考察在人员入职、转岗、离职等环节设置的安全控制措施,防范由人员本身带来的数据安全风险。

2.1.2  数据全生命周期安全数据安全治理以数据为中心,围绕数据全生命周期展开,以采集、传输、存储、使用、共享、销毁各个环节为切入点,通过对数据全流转过程进行规范和约束以有效降低数据安全风险。

分享给小伙伴们:

更多文章

相关文章