数据安全治理能力评估回顾与第四批评估征集

中国信通院云大所 2022-01-26 10:03:33

一、背景

当前数字经济蓬勃发展，与此同时，个人、组织和国家面临着严峻的数据安全威胁。2021年，国家针对数据安全密集立法，数据安全上升至国家战略高度。各行业企业积极响应，纷纷开展数据安全治理建设。

• 然而，如何构建覆盖数据全生命周期安全的治理体系？

• 如何有效防范数据篡改、泄露或者非法获取、非法利用等风险？

• 如何衡量数据安全治理效果？

• 如何对标行业水平，找寻差距？

都是企业在治理建设过程中面临的重要问题。

二、DSG评估的发展历程

早在2020年，中国信息通信研究院（以下简称：中国信通院）在工业和信息化部网络安全管理局的指导下推出了国内首个“数据安全治理能力评估”服务（以下简称：DSG评估），旨在“以评促建”，帮助企业度量企业数据安全治理能力现状、助力企业发现数据安全治理能力不足、指明企业数据安全治理能力提升路径、促进行业数据安全治理能力发展。DSG评估经过近1年半的积累沉淀出一套成熟稳定的方法论，广受各行业企业欢迎。DSG评估框架如下图所示：

截至目前，中国信通院共计开展三批 33 家企业的DSG评估，参评单位行业广泛分布于电信运营商、互联网、金融、医疗、物联网等行业领域。

三、33家企业评估观察

基于这33家企业的数据安全治理建设经验，我们总结了企业数据安全治理工作在组织建设、人才培养、技术工具等方面的现状与趋势，并为企业提供了改进建议与提升思路。

整体来说，企业逐渐关注持续性、系统性的数据安全治理建设。企业围绕数据全生命周期安全，从组织建设、制度流程、技术工具、人才培养方面进行总体布局、全面规划，并持续将上一阶段未解决的问题作为下一阶段规划的输入，以实现真正闭环。同时，企业倾向于引入第三方机构，帮助企业对数据安全治理水平进行评价、检查。

组织建设方面，大多数企业建立了基本的数据安全治理工作组织，明确了决策者、管理者、执行者的角色及职责，以确保数据安全治理工作的有效开展。然而，从实际的工作效果上看，大多数企业数据安全治理能力的组织建设仍处于起步阶段。 

人员能力方面，大部分企业认为数据安全治理面临的最大挑战是专业人才缺失。基于这一点，企业积极开展数据安全培训，内部的数据安全培训课程体系初具雏形，部分课程仍处于课题探索、初期研制的阶段。企业对专业培训服务具有需求空间，而根据对安全厂商的调研数据，较少的厂商将数据安全培训服务纳入其主营业务范围，供给市场存在空白。 

技术工具方面，企业加强数据安全技术规划，防护布局由“点”向“面”趋势渐显。一方面，企业建立广范围、细颗粒度、一体化、自动化的技术体系，有效夯实企业数据安全治理能力底座。另一方面，企业通过应用多种数据安全产品，由单点技术布局走向数据安全防护面建设，实现数据生命周期全流程覆盖、多层次防护。

综上，企业应在组织建设上确保数据安全工作责任到人、切实落地；制度流程上实现数据安全治理体系“一盘棋”效果；技术工具上以自动化工具、平台达成数据安全总体防护目标；人员能力上健全人才培养机制，为企业数据安全治理积蓄核心力量。

四、第四批DSG评估持续征集

第四批DSG评估结果将在2022年6月份“大数据产业峰会”上发布。欢迎相关单位积极报名参与！

具体评估流程如下：

报名时间：2021年12月21日-2022年2月28日

评估时间：2022年1月1日-2022年5月31日

专家评审会时间：2022年6月上旬

证书颁发时间：2022年6月大数据产业峰会

dbaplus社群携手中国信通院

驱动行业数字化升级

dbaplus社群作为中国信通院的战略合作伙伴，将共同推动数据管理能力成熟度评估（DCMM）、数据安全治理能力评估（DSG）等标准的研制与落地。此外，在中国信通院稳定性评测体系的推广与落地上，dbaplus社群也将持续与中国信通院展开深入合作，携手推动中国企业夯实数字化支撑能力，加速各行业数字化转型。

第四批DSG评估报名请联系：

中国信息通信研究院@刘雪花

电话：18500238315

邮箱：[email protected]

中国信息通信研究院@龚诗然

电话：15645106927

邮箱：[email protected]

dbaplus社群@林老师

电话：19879094604

邮箱：[email protected]

作者丨中国信通院云大所 来源丨公众号：数据安全推进计划（ID：gh_5e558917e916） dbaplus社群欢迎广大技术人员投稿，投稿邮箱：[email protected]