1、建设指南数据安全治理北京安华金和科技有限公司2019 年 4 月前言Preface本指南由北京安华金和科技有限公司发起，并负责总体设计，最终解释权归北京安华金和科技有限公司所有。本指南参与起草人：杨海峰、孙铮、刘海洋、李月飞、刘思成、宣淦淼、张志刚。目录Catalog1.范围和目的 12.数据安全治理与传统理念的关系和区别 12.1 数据安全治理概论 12.2 数据安全治理与数据安全防护的关系 12.3 数据安全治理与数据安全能力成熟度模型的区别 22.4 数据安全治理与数据治理的关系 33.数据安全治理体系框架 43.1 能力维度 53.2 执行维度 63.3 场景维度 64.数据安全治理能

2、力维度建设 74.1 组织建设 74.1.1 组织职能设计 74.1.2 组织架构设计 84.1.3 组织架构说明 94.2 治理评估 104.2.1 评估规划104.2.2 评估流程124.2.3 评估内容134.2.4 评估实施174.2.5 治理建议 184.3 制度建设 204.3.1 制度体系框架设计204.3.2 制度体系框架说明204.4 技术建设 214.4.2 技术体系框架说明 225.执行维度建设 225.1 资产梳理 225.1.1 资产分布梳理235.1.2 资产访问梳理235.1.3 资产风险梳理235.2 行为管控 245.2.1 角色定义管控245.2.2 分类分

3、级管控255.2.3 授权行为管控255.2.4 操作行为管控275.3 治理稽核 285.3.1 审计与监控295.3.2 数据流动分析295.3.3 数据访问行为分析295.3.4 异常访问识别与告警296.场景维度建设 306.1 数据分类分级 306.1.1 概述306.2.2 制度规范306.1.3 技术工具316.1.4 参考文件316.2 开发测试场景 316.2.1 概述316.2.2 制度规范316.2.2 技术工具326.2.4 参考文件326.3 数据运维场景 326.3.1 概述326.3.3 技术工具336.3.4 参考文件336.4 数据共享场景 336.4.1 概

4、述336.4.2 制度规范336.4.3 技术工具346.4.6 参考文件346.5 数据分析场景 346.5.1 概述346.5.2 制度规范346.5.3 技术工具356.5.4 参考文件356.6 应用访问场景 356.6.1 概述356.6.2 制度规范356.6.3 技术工具366.6.4 参考文件366.7 特权访问场景 366.7.1 概述366.7.2 制度规范366.7.3 技术工具376.7.4 参考文件377.纠正和优化数据安全治理体系 377.1 纠正措施 387.1.1 纠正措施的制定与实施387.1.2 纠正措施实施情况的跟踪验证387.2 持续优化 387.2.1

5、 能力、意识、培训387.2.3 绩效评价397.2.4 内部审核407.2.5 管理评审42数据安全治理建设指南11.范围和目的本指南使用范围为从事数据安全治理体系建设的企业单位和准备建设数据安全治理体系的企业和政府单位，提供参考。本指南旨在指导企业和政府单位开展数据安全治理体系建设工作，包括能力维度、执行维度、场景维度三个维度建设说明，帮助大家以实际经验为基础，将制度规范与技术工具有效融合，以整体提升数据安全能力为最终目的，本指南具有全面性、先进性、持续性、可落地性的特点。2.数据安全治理与传统理念的关系和区别2.1 数据安全治理概论数据安全治理（DataSecurityGovernanc

6、e简称：DSG）,主要目标是“让数据使用更安全”，只有合理的处理好数据资产的使用与安全，政府与企业才能在新的数据时代稳健而高速发展。围绕“让数据使用更安全”的核心目标，重点关注数据的权限和数据应用的场景，帮助用户完成数据安全治理体系的建设。数据安全治理并非单一产品或平台的构建，而是覆盖数据全部使用场景的数据安全治理体系建设。因此，需要按步骤、分阶段的逐渐完成。数据安全治理并不是一个项目，而更像是一项工程。为了有效实践数据安全治理，形成数据安全的闭环，我们需要一个系统化的过程完成数据安全治理的建设。2.2 数据安全治理与数据安全防护的关系为了更加有效地理解数据安全治理概念与数据安全防护的差异，我