解读丨数据安全治理能力评估框架 2.0

2021-12-22 10:30:00

2021数据安全产业峰会暨可信隐私计算高峰论坛于2021年12月21日以线上会议形式召开。

本次大会由中国信息通信研究院、中国通信标准化协会指导，中国通信标准化协会大数据技术标准推进委员会（CCSA TC601）主办，数据安全推进计划（DSI）、隐私计算联盟（PPCA）、金融数据智能联盟（FINDA）承办。

会议中，中国信通院云计算与大数据研究所工程师刘雪花解读了《数据安全治理能力评估框架2.0》。

2021年《数据安全法》、《个人信息保护法》相继颁布实施，配套的行政法规、部门规章和地方条例也在陆续制定，这表明数据安全进入了强监管时代。

企业落实数据安全保护和个人信息保护义务，需要建设数据安全治理体系。数据安全治理不再局限于技术层面或管理层面，而是需要围绕数据全生命周期安全，推动组织架构、制度流程、技术工具、人才培养四位一体的总体布局和全面规划。

衡量企业的数据安全治理能力，需要进行数据安全治理能力评估。正如《数据安全法》提出的，国家层面大力支持数据安全检测评估、认证等服务的开展。

中国信通院早在2020年就启动了数据安全治理评估相关工作，其中就包括《数据安全治理能力评估方法》标准的研制。1.0版本的标准制定于2020年10月启动，2021年4月27日正式发布，2.0版本修订于2021年6月启动。

数据安全治理能力评估标准2.0在三方面的进行了优化，包括紧跟监管要求，实现了对最新合规要求的全面覆盖；设置更加友好的评估等级，提供了阶段性的建设、改进和评估依据；并基于大量DSG评估经验优化了部分标准条款。

在法律法规的对标方面，主要对《数据安全法》、《个人信息保护法》中规定的数据安全和个人信息安全保护义务与要求进行了全面的对标和完整的覆盖。

数据安全治理能力评估框架2.0将企业的数据安全治理能力分为三个层次，分别是数据安全战略层、数据全生命周期安全和基础安全，并进一步细分成15个能力项。评估主要从组织架构、制度流程、技术工具、人员能力四个维度展开，并将评估的结果划分成5个等级。

数据安全战略层从企业的顶层规划方面提出要求，评估企业为数据安全治理搭框架、配人手的能力。其中数据安全规划能力项关注企业在数据安全治理方面的顶层组织架构建设情况，机构人员管理能力项关注企业数据安全从业人员在管理、技术、运营等方面的安全能力。

数据全生命周期安全主要评估企业在数据全流转过程进行规范和约束，以降低各环节数据安全风险的能力。对数据采集安全、数据传输安全、数据存储安全、数据使用安全、数据共享安全、数据销毁安全都提出了全面的要求。

基础安全评估企业在基础安全方面的保障能力，包括数据分类分级、合规管理、合作方管理、监控审计、身份认证与访问控制、安全风险分析、安全事件应急等方面的能力要求。

评估框架2.0的等级设置依据组织的数据安全治理能力的覆盖范围、支撑力度进行划分。第一级“初始级”指没有正式的数据安全治管理流程和体系。第二级“重点执行级”指在部门或者数据职能领域中建立了基本的制度流程及技术工具。第三级“全面治理级”指在组织层面具备了完善的管理机制和技术体系。第四级“量化评估级”指建立了量化评估体系。第五级“持续优化级”指组织能动态改进持续优化,成为行业标杆。

框架2.0的亮点主要体现在专注于数据安全，以数据为中心建设安全体系，对数据全生命周期进行保护；该框架既是方法论，也是度量准则和操作指南，具备较强的操作性；同时，该框架的更新紧跟立法趋势，实现对最新合规要求的覆盖。

中国信通院早在2020年9月就启动了数据安全治理评估工作，在工业和信息化部网络安全管理局的指导下，于2020年12月正式推出国内首个“数据安全治理能力评估服务”，数据安全治理能力评估服务以“准确度量企业的数据安全治理能力现状，合理规划数据安全治理能力提升路径”为目标，帮助企业发现数据安全治理能力不足，推动行业数据安全治理能力发展。