中国软件测评中心：数据安全复合治理与实践白皮书（65页）.pdf

1、 数据安全复合治理与实践白皮书 中国软件评测中心 国家信息中心信息安全研究 蚂蚁科技集团股份有限公司 2021 年 12 月 - I - 前 言 伴随着以数据为关键要素的数字经济的蓬勃发展，数据已逐渐成为基础性、战略性、先导性资源，正在对国家治理、社会发展、个人生活等产生着革命性影响。当前，建设数字中国已成为国家发展战略的重要组成部分，如何保障数据安全、促进数字经济发展是事关国家安全、社会稳定和人民福祉的重大问题。此外，在数字产业化和产业数字化浪潮中，数据安全产业作为新兴数字产业为产业数字化提供有力支撑，是数字经济高质量发展的关键保障。目前，我国数据安全产业系列工作正在有序推进，相关政策及配套

2、文件正在加紧制定。数据安全治理作为一项体系化工程是夯实产业基础的重要手段，而高水平的治理能力则是产业高质量发展的重要体现。 备受关注的数据安全法已于 2021 年 9 月 1 日起正式实施。作为数据安全领域的纲领性法律， 数据安全法为下一阶段国家、地区、行业和组织开展数据安全工作提供了明确指引，贯彻落实数据安全法的具体要求需要政府部门、行业机构、企事业单位等各类组织在实践中建立健全数据安全治理体系，不断提升数据安全保障能力，切实履行数据安全保护义务。 近年来，数据非法贩卖、数据滥用、敏感数据泄露等数据安全风险持续加剧，数据安全形势空前严峻，提高数据安全治理能力迫在眉睫，组织需要新形势下能够有效

3、落地的数据安全治理体系。本白皮书从组织建设数据安全治理体系的视角出发，通过对法律法规、标准规范、数据安全治理发展现状等进行充分调研和分析，并结合有关组织的实践经验，总结提出了帮助组织更好实现数据安全治理有效落地的数据安全复合治理模式。 数据安全复合治理模式强调系统性、落地性，对治理框架搭建中战略、管理和技术进行统筹规划设计，形成基线设定、心智运营、原生设计、安全度量、可证溯源、红蓝对抗、测评认证等丰富的治理环节，强化治理过程的联动，将安全与业务复合、管理与技术复合，发生化学反应，形成有机整体，充分发挥复合协同效能。 数据安全复合治理模式的特点概括为战略要位、实战牵引、全员参与、技术破局。战略要

4、位强调明确数据安全保护工作在组织中的重要战略位置和管理部门对违反数据安全行为的处罚权责。实战牵引强调实战化红蓝对抗、头部风险治理和管控效果的精确度量来牵引整体治理工作落地。全员参与强调丰富、活泼的心智运营活动设计，充分调动全员主动参与积极性，实现不同特点人群的精确触达。技术破局强调依托系统、数据和算法方面的科技能力创 - II - 新，实现新形势下无法通过人工、协议达成数据安全治理目标难题的破局，促进数据安全治理工作的提质增效。 本白皮书对数据安全复合治理体系的核心思想与建设思路进行了全面阐述，旨在为组织开展数据安全治理工作提供参考和建议。 本白皮书由中国软件评测中心、国家信息中心信息安全研究

5、 、蚂蚁科技集团股份有限公司撰写。由于编者水平有限，本白皮书内容难免存在疏漏，不足之处恳请各位专家、同仁批评指正。 本白皮书编写组 二 0 二一年十二月 - IV - 目 录 前 言 . I 版权声明 . III 第一章 数据安全治理的形势与重要性 . 1 1.1 数据产业发展现状与安全形势 . 1 1.2 国内外数据安全法律法规与标准现状 . 2 1.2.1 国外现状 . 3 1.2.2 国内现状 . 4 1.3 数据安全治理理念与内涵 . 7 第二章 国内外数据安全治理框架 . 8 2.1 微软 DGPC 框架 . 8 2.1.1 框架介绍 . 8 2.1.2 框架分析 . 8 2.2 G

6、ARTNER数据安全治理框架 DSG . 8 2.2.1 框架介绍 . 8 2.2.2 框架分析 . 9 2.3 数据安全能力成熟度模型 DSMM . 10 2.3.1 框架介绍 . 10 2.3.2 框架分析 . 10 第三章 数据安全治理面临的挑战 . 11 第四章 数据安全复合治理模式 . 13 4.1 治理框架 . 13 4.2 数据安全战略 . 16 4.2.1 安全方针 . 16 4.2.2 制度规范 . 17 4.2.3 组织架构 . 18 - V - 4.2.4 保障体系 . 18 4.3 数据安全运营管理 . 19 4.3.1 可执行安全基线 . 20 4.3.2 互动式心智