中国测评：电信和互联网行业数据安全治理白皮书(51页).pdf

1、 技术白皮书 电信和互联网行业 数据安全治理白皮书 （2020 年） 中国软件评测中心网络空间安全测评工程技术中心 2020 年 7 月 版权声明 本白皮书版权属于中国软件评测中心， 并受法律保护， 转载、 摘编或利用其他方式使用本白皮书文字或观点的， 应注明 “来源： 中国软件评测中心”，违反上述说明的，本单位将追究其相关法 律责任。 编写指导：安 晖 唐 刚 编写小组：白利芳 朱信铭 王 涛 王翔宇 张嘉欢 张德馨 黄 峥 宁黄江 李杺恬 目 录 前 言 . 1 一、概述 . 3 1.1.概念及内涵 . 3 1.1.1.数据治理概念分析 . 3 1.1.2.数据安全治理理念 . 5 1.2

2、.行业数据主要分类 . 6 1.2.1.基于行业特点划分 . 6 1.2.2.基于服务对象划分 . 7 1.3.行业数据典型应用 . 8 1.3.1.行业数据主要应用类型 . 8 1.3.2.行业数据典型应用案例 . 10 二、电信和互联网行业数据安全发展形势 . 11 2.1.行业数据安全总体形势 . 11 2.1.1.事件影响范围不断扩大 . 11 2.1.2.风险危害程度日趋严重 . 12 2.1.3.安全治理难度持续升级 . 13 2.2.行业数据安全主要风险 . 13 2.2.1.互联网暴露面问题突出 . 13 2.2.2.数据不可控性明显增加 . 14 2.2.3.数据安全管理体系

3、不完善 . 14 三、电信和互联网行业数据安全治理环境 . 15 3.1.国际数据安全治理环境 . 15 3.1.1.欧盟密集立法深刻影响全球治理格局 . 15 3.1.2.美国多点立法捍卫其多元化社会利益 . 17 3.1.3.国际数据治理情绪高涨配套动作频繁 . 18 3.2.国内数据安全治理环境 . 20 3.2.1.国内政策多头并进迎来治理新格局 . 20 3.2.2.国内数据治理标准化进展领先国际 . 23 四、电信和互联网行业数据安全治理需求 . 24 4.1.国内外政策形势紧迫 . 24 4.2.安全和发展双重驱动 . 25 4.3.数据拥有者权益期待 . 26 五、电信和互联网

4、行业数据安全治理实践 . 27 5.1.国外典型实践案例 . 27 5.1.1.微软之 DGPC 框架 . 27 5.1.2.Gartner 之 DSG 框架 . 28 5.2.国内典型实践案例 . 29 5.2.1.监管层主要实践 . 29 5.2.2.企业层实践案例 . 31 5.3.国内外实践对比 . 34 5.3.1.国外标志性实践 . 34 5.3.2.国内标志性实践 . 35 5.4.行业实践问题分析 . 35 5.4.1.企业顶层驱动力不足 . 35 5.4.2.“网元”模式待升级 . 36 5.4.3.缺乏用户侧权益考量 . 36 六、电信和互联网行业数据安全治理框架 . 36

5、 6.1.数据安全治理层 . 37 6.2.数据安全管理层 . 37 6.3.数据安全执行层 . 38 6.4.数据安全监督层 . 38 七、电信和互联网行业数据安全治理建议 . 40 7.1.政策协调为逻辑起点 . 40 7.2.权责分明为框架主线 . 40 7.3.分级分类为实践基础 . 41 7.4.治理评估为落地支撑 . 42 - 1 - 前前 言言 网络信息技术创新日新月异，数字化、网络化、智能化融合 发展，对我国建设网络强国、数字中国、智慧社会发挥着至关重 要的作用。 世界各国都把推进经济数字化作为创新发展的重要动 能，并作出前瞻性布局。以数据为关键要素的数字经济发展历程 中，数据

6、价值也由最初的数据资源发展成为数据资产，再进一步 发展为数据资本。4 月 9 日，中共中央、国务院印发关于构建 更加完善的要素市场化配置体制机制的意见，要求“加快培养 数据要素”，将数据作为新型生产要素，正式与土地、劳动力、 资本、 技术等传统生产要素并列为国家基础战略性资源和社会生 产创新要素之一。 电信和互联网行业（以下简称“行业”）在数据规模、覆盖范 围、存储和传输能力，及实时性和多样性方面均具有突出的价值 优势。随着行业数据内外部应用的同步拓展和推进，数据安全问 题日益凸显，严重阻碍行业数据资源价值释放。做好行业数据安 全治理刻不容缓。 本白皮书聚焦行业数据安全治理，首先，对数据治理、