篇(1)

　　摘要2021年3月，《中華人民共和國國民經濟和社會發展第十四個五年規劃和2035年遠景目標綱要》正式發布，其中提到“堅持放管并重，促進發展與規范管理相統一，構建數字規則體系，營造開放、健康、安全的數字生態”.“數字生態”的提出為構建數據安全生態圈的研究和實踐提供了有力支撐，在國家數據安全戰略的指導下，正逐漸形成全社會共同參與、共同維護數據安全和促進發展的良好環境.提出數據安全生態圈的整體框架，包括1個中心、2個循環、3個體系、5個關鍵和8大路線.以數字生態為建設目標，從如何落實數據安全治理與建設要求的角度出發，確定數據安全生態圈的具體內容以及各項指標，最終形成數據安全各層級的落地執行路徑.

　　關鍵詞：數據安全;生態圈;個人信息保護;數據安全合規;數據安全治理;數據安全考核指標

　　數字經濟的發展離不開對數據安全的保障，當前發展過程中顯露出來的數據安全問題阻礙著數字經濟的發展.此外，一些網絡安全問題聚化為數據安全問題，如跨境數據流動、數據泄露等.RiskBasedSecurity公司的數據顯示，2020年3個季度數據泄露的總數達到360億條[1].與此同時，數據壟斷、數據濫用、數據權屬、數據流通等新型問題也進入研究和管理視野[2].美國、歐盟、中國等陸續出臺的重要政策和執法措施越來越聚焦“數據安全”和“隱私保護”.

　　數據論文范例： 阿里巴巴數據技術驅動媒體深度融合轉型

　　歐盟發布了《通用數據保護條例》(GeneralDataPro-tectionRegulation，GDPR)[3];美國加利福尼亞州公布了《加利福尼亞州消費者隱私法案》(Califor-niaConsumerPrivacyAct，CCPA)[4];中國則頒布了《中華人民共和國網絡安全法》(以下簡稱《網絡安全法》)、《中華人民共和國數據安全法》(以下簡稱《數據安全法》)和《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》)，這3部法律在立法定位上堅持總體國家安全觀，共同構成了我國數據新秩序下的三駕馬車.與此同時，截止到2021年8月，全國信息安全標準化技術委員會(TC260)圍繞數據安全和個人信息保護發布9項、在研22項國家標準[5].

　　這一系列操作對數據商業化利用與公民個人信息保護之間的關系進行了規則約束，保護了數據和公民個人信息安全，維護了國家安全和公民合法權益，對數字經濟發展起到了極大的推動作用.隨著國家政策、法律法規逐漸完善，傳統安全企業布局正悄然發生轉變，互聯網頭部企業開始布局網絡安全領域，網絡安全廠商、電信運營商、設備廠商以及一些新生的獨角獸企業都不同程度聚焦在5G安全、數據安全、安全合規等前沿熱點領域和方向.在“十四五”規劃的征求意見稿中，“數據”一詞出現了60余次.隨著新基建的不斷發展以及數據開放的齒輪不斷加快，在合規的前提下，數據業務所帶來的價值將是巨大的.智慧城市、智慧醫療、智能配送等都在運用大數據分析技術，數據價值已成為一種新常態.

　　1數據安全概述

　　隨著我國《網絡安全法》、《數據安全法》和《個人信息保護法》的制定與實施，合規性已成為數據安全治理與建設的重要驅動力.在數據安全合規視角下，數據安全的需求和驅動力發生了根本性的改變.因此，本文以《網絡安全法》正式實施為分界線，將數據安全治理與建設分為2個階段：無合規性需求與有合規性需求，并分別定義為數據安全1.0與數據安全2.0階段[6].

　　在數據安全2.0階段，開展數據安全治理與建設主要有3個驅動力：合規驅動、風險驅動和業務驅動，數據安全合規性已成為其中最重要的驅動力.因此，本文將從構建數據安全生態圈基本框架以及各層級的基本內容出發，結合落地實踐經驗，提出數據安全建設落地執行路徑.

　　2數據安全生態圈的定義

　　在網絡安全領域，已經提出構建由中央網絡安全與信息化委員辦公室統一領導、網絡安全主管部門協調負責、各相關部門齊抓共管、網絡行業組織積極推動、網絡公司主動履責、網民及社會各界廣泛參與的“六位一體”網絡安全生態圈[7].借助網絡安全生態圈的構建思路，本文提出的數據安全生態圈是指全民共同守護、全社會共同參與、全世界合作互融，以“1個中心，2個循環，3個體系，5個關鍵，8大路線”為頂層設計的數據安全生態融合體系.該體系相互影響、相互制約、相互信任、不斷演變，并在一定時期內處于相對穩定的動態平衡狀態.

　　3數據安全生態圈的構成

　　3.11個中心《信息安全技術數據安全能力成熟度模型》[8](以下簡稱“DSMM”)以數據為中心，重點圍繞數據生命周期，從組織建設、制度流程、技術工具、人員能力4個維度給出了組織數據安全能力的成熟度模型架構.基于DSMM思想，提出以數據安全防護為中心的數據安全生態圈建設目標，圍繞數據處理活動展開安全防護，實現組織數據安全治理與能力建設.

　　3.22個循環在組織數據安全治理與能力建設上要實現“雙循環”新格局，“雙循環”可解釋為“內循環”和“外循環”.“內循環”指組織需選擇適合自身的數據安全建設體系，從管理、技術、運營等不同維度出發，不斷獲得相對安全;“外循環”是指在“內循環”的基礎上，隨著數字產業化的不斷發展和完善，組織的數據業務通過合法合規的流動產生價值，為組織帶來數字紅利.

　　3.33個體系

　　管理和技術不分家，兩者相輔相成.管理和技術的不斷融合需要持續運營和不斷優化調整，以實現持續自適應的數據安全防護能力.對于不同數據責任主體，數據安全體系建設的工作目標和側重點也有所不同.參照《電信和互聯網行業數據安全標準體系建設指南》[9]、DSMM等標準，借鑒行業最佳實踐，對組織提出建設包含管理體系、技術體系和運營體系的數據安全體系.

　　3.3.1管理體系從組織管理視角出發，通過對政策法規、標準規范及行業主管部門的管理要求進行解讀，管理體系設計主要從組織建設、管理策略與制度、管理流程和能力認證4個維度進行橫向擴展，再對每個維度進行縱向細分，形成可落地執行的數據安全管理體系.

　　3.3.2技術體系

　　數據安全技術體系是數據安全實踐工作的保障條件，也是數據安全管理的輔助手段.數據安全技術體系設計從數據采集、數據傳輸、數據存儲、數據處理、數據交換、數據銷毀的全生命周期出發，綜合組織所有安全域進行整體規劃，并考慮需要具備的技術手段和工具。

　　3.3.3運營體系

　　數據安全治理與能力建設是一個長期持續的過程，需要在組織內持續落實數據安全管理和技術要求，并基于組織的自身特點、具體業務場景和技術發展不斷調整和優化，形成數據安全運營長效機制，為數據安全風險評估、報告、信息共享、監測預警、處置等提供能力支撐.數據安全運營體系設計由淺入深主要分為4個層級：數據監測、常態管控、風險預警、持續改進。

　　3.45個關鍵

　　在進行數據安全體系整體規劃和設計時，需根據組織具體業務和應用場景等合理進行.在此過程中，需注意以下5個關鍵點.

　　3.4.1頂層數據安全標準的制定

　　數據安全標準的制定遵循層級式設計理念.依據政策法規、標準規范和行業要求，結合實際業務需求，制定數據安全管理標準四級框架，形成一套完整的、可操作的管理制度和管理流程，確保數據安全工作有法可依、有規可循.

　　3.4.2組織建設與人員能力支撐

　　進行數據安全管理首先要成立專門的數據安全管理的組織機構，以明確數據安全管理的政策，落實和監督由誰長期負責，確保數據安全管理的有效落實.組織機構可按照決策層、管理層、執行層、監督層這4個層級進行設計，在具體執行過程中，可賦予已有安全團隊與其他相關部門數據安全管理的工作職能，或尋求第三方專業團隊開展工作.在人員能力支撐方面，已經有關于網絡安全行業特殊人才的提案，且近期國家主管部門也在統籌制定人才認定的標準.組織在培養數據安全人員能力時，需要重點關注以下4個能力：數據安全管理能力、數據安全技術能力、數據安全運營能力和數據安全合規能力.

　　3.4.3數據安全管理基線標準化

　　數據安全管理基線(以下簡稱“數據安全基線”)可以理解為數據安全管理要求，是指組織開展數據處理活動和有關平臺系統應遵循的原則和安全保護要求，包括組織保障、制度建設、規范與流程建立等管理性要求，規范執行相關配套技術性要求，以及實行數據安全運營的可持續性要求.

　　國務院2021年度立法工作計劃就包括制定數據安全管理條例[10]，2020年TC260發布的《信息安全技術網絡數據處理安全規范》(征求意見稿)[11]也提出了網絡運營者利用網絡開展數據處理活動應遵循的規范和安全要求.因此，數據安全基線標準化勢在必行。

　　3.4.4工具定制開發與自主創新

　　多年來，國內外大環境的不斷變化為信創產業的誕生創造了絕佳時機.信創產業是數據安全、網絡安全的基礎，也是“新基建”的重要內容.無論是網絡基礎設施建設主體、設備廠商、安全廠商還是其他各家企業，都需要有自主創新思維和自主研發能力，構建起自己的產業標準和生態，逐漸擺脫西方國家的技術限制[12].

　　3.4.5數據安全一體化安全運營

　　數據流動才能產生價值，數據安全的有效流動需要通過建設數據安全一體化安全運營機制來保障.Gartner發布的2021年10大數據和分析趨勢之一便是XOps，其目標是運用DevOps的最佳實踐實現效率和規模經濟，在保證可靠性、可重用性和可重復性的同時，減少技術和流程的重復并實現自動化.XOps使企業機構能夠通過數據和分析的運營化推動業務價值的實現[13].

　　2021年3月19日，綠盟科技正式發布智慧安全3.0理念體系.該理念體系提出以體系化建設為指引，構建“全場景，可信任，實戰化”的安全運營能力，達到“全面防護，智能分析，自動響應”的防護效果.可見，數據安全一體化安全運營已不再遙遠，其將逐漸成為一種新趨勢、新業態.

　　3.58大路線

　　數據安全生態圈建設的有效落地需要先做好計劃，然后實施，實施中進行復核檢測，進而改進，如此反復階梯式完成，形成一個螺旋式上升的PDCA循環.因此便有了以下8大路線：協調戰略、制定行動計劃(P)、多方參與、啟動基線控制(D)、策略執行與下發、監測與創新(C)、安全運營、評估和優化(A).這8大路線包含2條邏輯鏈路，一條是“技管并重，分級防護”。

　　即確定統一的數據安全戰略與方針，制定多部門共同參與的機制，采用管理和技術相結合的方式，針對數據資產和數據應用場景采取差異化的管控措施，建立持續自適應的數據安全風險和信任評估機制，合理選擇安全控制方式，有效降低數據安全風險.另一條是“集中運營，循序漸進”，即建立層次化的數據安全管理組織和集中的數據安全管控措施，全面覆蓋數據安全治理與能力建設各個領域，實現可度量、可管理、可改進的集中運營保障體系，為業務的平穩運行提供可信的數據安全支撐環境.通過以上8大路線的2條邏輯鏈路的落地實施，最終形成完善的、有效銜接的、響應及時的和運轉高效的數據安全生態運營體系.

　　4數據安全KPI指標體系實踐

　　近年來，我國不斷出臺數據安全和個人信息保護法律、法規和相關政策.例如，《網絡安全法》聚焦網絡安全方向，維護網絡空間良好生態;《數據安全法》是數據領域的基礎性法律，強調了保障數據安全與促進數據開發利用并重;《民法典》設立專章規范隱私權和個人信息保護，提出個人信息權益并將其定位為人格屬性。

　　《個人信息保護法》是針對個人信息保護的專門法律，兼顧個人信息的安全和利用;《信息安全技術個人信息安全規范》[14]也是針對個人信息安全，提供了具有可操作性的指引，規范了個人信息處理活動應遵循的原則和安全要求.本文將根據上述政策法規及標準規范，從數據安全KPI指標體系設計入手，進一步分析數據安全體系建設可落地執行的路徑，包括KPI指標體系模型、KPI指標體系總體框架以及數據安全評價指標和評價要素[15]等.

　　5結束語

　　2021年是“十四五”開局之年，也是構建數據新次序的開篇之年.國家層面既針對數據安全和個人信息保護領域制定立法依據，也針對安全人才培養和認定、安全意識提升等提供認證渠道，這對數據安全治理與能力建設起到很大的推動作用.在有條不紊地推進數據安全生態圈落地實施的同時，應將數據安全與健康發展、維護用戶合法權益等作為組織必不可少的內容，確保數據合法有序地流動、共享、交易，積極推動自身數字化轉型升級和業務增長.

　　參考文獻：

　　[1]RiskBasedSecurity.2020Q3DataBreachQuickViewReport[EB?OL].(2020-10-29)[2021-09-05].https：??pages.riskbasedsecurity.com?en?en?2020-q3-data-breach-quickview-report-0

　　[2]方禹.關于我國數據治理法治構建的幾點思考[J].中國信息安全，2020，11(10)：6264

　　[3]吳沈括，李雨鑫.GDPR時代的數據共享治理路徑[J].信息安全研究，2018，4(7)：589592.

　　[4]DPO社群.美加州消費者隱私法案(CCPA)修正案匯總中譯文(DPO沙龍出品)[EB?OL].(2021-10-22)[2021-09-05].

　　[5]CCIA數據安全工作委員會.支撐“個保法”“數安法”落地，相關國標梳理[EB?OL].(2021-08-23)[2021-09-05].

　　[6]綠盟科技.擁抱合規、超越合規：數據安全前沿技術研究報告[EB?OL].(2020-12-29)[2021-09-05].

　　[7]王曉光.建設“六位一體”的網絡安全生態圈[J].信息安全研究，2019，5(2)：183184

　　作者：曾令平1，2李凱1楊浩淼3

篇(2)

　　摘要隨著《中華人民共和國數據安全法》的深入實施和數據要素市場化深入發展，數據安全治理相關技術與實踐也將得到持續發展.但是目前為止業內對于數據安全治理的相關實踐還未形成統一的認識，相關國家及行業標準也未能推出，嘗試從數據安全治理實現目標與方法等方面探索一種行之有效的數據安全治理實踐.提出了一套數據安全治理體系架構，圍繞數據安全治理實踐機制的管理、技術、評估和運營等幾個方面要求逐一展開進行詳細說明，并重點對數據安全治理實踐所涉及的關鍵措施及技術要求進行了介紹.

　　關鍵詞數據安全;數據安全治理;數據濫用;數據安全風險控制;數據安全運營

　　業內期待已久的《中華人民共和國數據安全法》[1](以下簡稱《數據安全法》)在2021年6月10日正式公布，數據產業發展迎來有法可依的法治發展時代.《數據安全法》中明確提出應“建立健全數據安全治理體系，提高數據安全保障能力”，數據安全治理也已經獲得業內廣泛的關注.

　　數據安全論文范例： 基于區塊鏈的微電網數據安全共享方案

　　1業務背景

　　數據安全治理從治理范圍來看可以分為國家數據安全治理和組織數據安全治理.中國信息通信研究院發布的《數據安全治理實踐指南(1.0)》[2]針對數據安全治理概念提出了廣義和狹義2個定義，廣義是針對國家戰略層面落實數據開發利用和數據安全統籌發展的策略，狹義則是基于數據生命周期建立涵蓋組織保障、制度規范、安全技術和人才建設等多重維度的策略.本文聚焦在組織層面的數據安全治理探索，即在某個組織內部，或者多個有數據關聯的組織之間的數據安全治理工作.

　　一個典型的業務場景就是當前數字政府建設過程中所力推的政務數據共享.如省級政務數據共享一般都是以省大數據局或省大數據中心作為省級政務數據共享平臺建設和運營方，來拉通省內各政府部門及地市單位的數據共享，以及與國家數據平臺的數據共享等.在這個場景下，政務數據的治理業務范圍就涉及省級政務數據共享平臺，以及參與政務數據共享的各個政府部門及地市單位的數據業務系統，也包括省級政務數據共享平臺與國家平臺之間的數據共享接口的安全等.目前數據安全治理業內并沒有達成一個統一共識，本文嘗試從數據安全治理實現目標與方法等方面探索一種行之有效的數據安全治理實踐方案.

　　2數據安全治理現狀

　　2.1業內數據安全治理研究及實踐情況

　　2019年發布的GB?T37988—2019《信息安全技術數據安全能力成熟度模型》國家標準(簡稱“DSMM”)[3]對于推動數據安全治理發展起到了非常積極的作用.DSMM標準提煉了一套數據安全能力成熟度評估體系，該體系涵蓋了數據安全能力、數據安全過程和能力成熟度等級的3個維度，和1～5共5個成熟度等級，以及覆蓋采集、傳輸、存儲、處理、交換、銷毀等數據生存周期的30個數據安全過程域等相關內容.阿里巴巴等單位也針對性地發布了《數據安全能力建設實施指南V1.0(征求意見稿)》[4]用于指導各單位基于DSMM標準進行數據安全相關能力的建設.

　　《基于精準治理的大數據安全治理體系創新》[5]提出了一種大數據安全治理運行框架，該框架包括基于主體精準化的多元共治體系、基于流程精準化的科學預判體系、基于手段精準化的分類處置體系和基于保障精準化的動態保障體系等方面，涵蓋了組織、流程、手段和制度等大數據安全治理的主要方面.

　　《數據安全治理實踐指南(1.0)》提出了一套涵蓋規劃、建設、運營、評估等系統建設的各個過程，并基于數據全生命周期的數據安全治理實踐總體視圖，覆蓋了基礎安全、數據全生命周期安全和數據安全戰略的數據安全治理參考框架，同時指南還給出了目前業內多家單位的典型實踐方案.另外《數據安全法》中對開展數據安全保護及治理工作給出的具體要求包括：建立健全全流程數據安全管理制度，組織開展數據安全教育培訓，采取相應的技術措施和其他必要措施，保障數據安全.

　　國家網信辦2019年發布的《數據安全管理辦法(征求意見稿)》[6]進一步明確了建立數據安全管理責任和評價考核制度，制定數據安全計劃，實施數據安全技術防護，開展數據安全風險評估，制定網絡安全事件應急預案，及時處置安全事件，組織數據安全教育、培訓.

　　總之，當前業內對于數據安全治理應該涵蓋組織機構、管理制度、安全技術及專業人員幾個方面是具有統一認識的.中國互聯網協會發布的團體標準T?ISC-0011—2021《數據安全治理能力評估方法》[7]給出了一套數據安全治理能力評估框架，框架涵蓋了數據安全戰略、數據生命周期安全和基礎安全3個層面的共18個數據安全能力項，并對于每個能力項又細分為基礎、優秀和先進3個等級.Gartner曾提出了一個DCAP(以數據為中心的審核和保護)的數據安全治理理念，基于該理念業內提出過很多的以數據為中心的數據安全解決方案，這些解決方案的一個共性就是對數據進行發現和標識化(數據分類分級)，并基于這些數據標識進行相應的安全策略控制.

　　2.2數據安全治理存在的主要問題

　　業內對數據安全治理過程及關鍵路徑基本都有一定共識，并進行了一些相關實踐.但是目前數據安全治理研究及實踐存在一些典型問題，主要有以下幾個方面.

　　2.2.1數據安全合規不等同于數據安全保障

　　安全行業一個重要業務目標就是“合規”，即遵守國家各類安全相關法律法規的要求，在數據安全領域也是如此.數據安全領域涉及的合規要求除了既要遵守網絡安全相關的法規，還要遵守數據安全專有的法規.典型的數據安全法規包括：2021年剛發布的《數據安全法》和《個人信息保護法》[8]，另外國家網信辦發布的《網絡安全審查辦法(修訂草案征求意見稿)》[9]也專門增補了數據安全相關要求，正式發布后也將是各關鍵信息基礎設施數據處理者所應重點遵守的法規之一.

　　另外還有很多其他法規(如《中華人民共和國民法典》等)也涉及數據安全相關規定，同時有些部委和地方政府也會出臺面向行業或區域的數據安全相關法規，比如銀保監會發布的《中國銀保監會監管數據安全管理辦法(試行)》[10]、工信部發布的《移動互聯網應用程序個人信息保護管理暫行規定(征求意見稿)》[11]、天津市發布的《天津市數據安全管理辦法(暫行)》[12]等.

　　數據安全合規工作非常重要，合規也是從事數據處理事項的基本前提條件.但是數據安全合規不能等同于數據安全保障，即使符合各種相關的數據安全法規要求，不能認為數據安全就萬無一失.我們知道，數據安全防護本質符合“木桶原理”，即數據安全防護水平取決于數據安全所涉及各個方面的安全防護水平的最低點，合規僅確保這個最低點能達到基本要求，也就是底線要求.另外數據安全合規檢查的粒度也直接決定了合規結果與安全效果是否一致，就算拿到了合規證明也很難確保系統達到數據安全防護能力要求.

　　比如數據安全法規要求數據采集必須經過充分授權，但實際執行過程是得到明示同意還是只單純進行公示.數據處理者對數據必須進行分類分級，但是實際執行分類分級的粒度是否涵蓋了所有重要數據，是否能確保重要數據都得到有效防護.這些情況在數據安全合規評估和檢測中未必能得到充分確認.同時數據安全合規評估和檢測也與執行評估和檢測人員自身水平及采用的評估和檢測的工具能力也有很大關系.因此，數據安全合規只能作為數據安全防護的基礎和底線的要求，要做好數據安全保障還需要做更多工作.

　　2.2.2數據安全方案不等同于數據安全防護

　　數據安全治理還經常存在重視數據安全設計方案和建設方案，但卻忽視數據安全防護效果的問題.編制數據安全方案是幾乎所有數據安全建設項目所必需的要求，但是很多項目都存在重建設輕運營的問題，即數據安全方案編制得比較全面，實際建設也按方案要求進行了部署和應用，但是數據安全治理效果是否能發揮出來、數據安全策略是否達到方案預期效果等數據安全運營階段所應重點考察的指標往往被忽視.

　　2.2.3數據安全運維不等同于數據安全運營

　　數據安全治理實踐經常是重視運維，很多項目基本都會要求配置駐場運維人員，但是對數據安全運營不是非常重視，甚至有些項目還經常把運維和運營2個概念混淆不清.數據安全運營的目的是把數據安全的價值挖掘出來，但是在平常業務中，數據安全運營與數據安全運維、數據安全管理等既有部分重疊，又各有側重點.數據安全運維的核心目標就是維護好數據安全相關軟硬件產品，確保數據安全軟硬件產品正常運轉，相關故障、告警得到及時處置.通俗來講，數據安全運維是確保產品用起來，數據安全運營則是確保產品用好.

　　以數據庫防火墻產品為例：數據安全運維確保防火墻運行狀態正常，沒有死機、沒有故障、沒有異常等;數據安全運營則是確保防火墻的安全防護規則始終有效，并及時剔除失效的策略.另外，數據安全運維人員技能更多強調對數據安全軟硬件產品的使用及維護等方面，數據安全運營人員技能則更多是側重數據安全防護與具體業務方面.

　　2.2.4數據安全技術不等同于數據安全治理

　　經過多年研究發展，目前已經有很多的數據安全相關技術逐步成熟，比如加密、脫敏、數字水印、數據庫審計等等，這些技術也在絕大部分數據安全治理實踐中得以落實.

　　3數據安全治理體系研究

　　3.1數據安全治理目標

　　本文研究的數據安全治理目標還是限定在1個或多個組織機構內，面向重要數據或敏感信息的數據安全管理與控制等相關措施.典型的業務場景就是數字政府中各政府部門的數據安全治理，既包括各政府部門內部數據安全治理，也包括跨部門的數據共享層面的數據安全治理.數據安全治理主要目標包括以下方面：

　　1)數據安全合規目標.必須滿足國內各類數據安全法規的要求，包括國家、地方及相關行業方面的法律和法規.2)數據安全防護目標.必須確保數據安全治理所涵蓋的業務系統的重要數據運行安全，包括數據可靠性要求、數據防泄露要求以及數據防濫用要求等.3)數據安全治理目標.提供涵蓋技術與管理等多層次的數據安全治理體系，確保數據安全與數據業務持續同步發展.

　　3.2數據安全治理體系架構

　　本文提出一套集管理、技術、評估和運營為一體的數據安全治理體系架構，從多個維度提出數據安全治理實踐機制.數據安全治理機制主要涵蓋4個維度的數據安全治理實踐機制：1)數據安全管理機制.主要包括數據安全治理所涉及的組織建設、人力保障和相應的規范制度等.2)數據安全治理技術.涉及數據安全治理所涉及的各個領域的技術及工具，主要包括數據發現、分類分級、數據安全防護策略、安全風險控制及安全運營等方面.3)數據安全治理評估.具體涉及評估和評價，以及針對評估和評價后的結果進行改進與提升方面的內容.

　　4數據安全治理實踐探索

　　4.1數據安全治理管理機制

　　數據安全治理離不開組織和人力方面的投入，因此數據安全治理管理機制需要重點落實以下方面的工作.

　　4.1.1組織建設

　　需要制定數據安全治理組織機構，明確數據安全治理所涉及業務范圍的相關組織團隊在數據安全治理工作中的相關職責和具體要求，建議至少應制定下面幾個數據安全治理組織角色：1)數據安全決策層.由整個組織高級管理人員或數據安全官等組成，負責整個組織的數據安全目標與規劃、數據安全治理全過程的資源保障及重大事件協調與決策等職責，承擔整個組織數據安全最終責任.2)數據安全管理層.由整個組織內各個具體業務部門管理人員等組成，負責具體業務部門數據安全措施與決策的執行，包括但不限于制定數據安全管理規范、組織制定及落實數據安全技術方案、組織數據安全業務及技能培訓等，承擔具體業務部門數據安全的責任.

　　3)數據安全執行層.由各個具體業務部門承擔數據安全執行的人員組成，主要負責具體數據安全治理相關的技術及管 理措施的落實，包括但不限于數據安全技術方案與數據管理管理制度執行、數據安全產品部署及運維、數據安全事件監控及處置、數據安全漏洞排查及修復、數據安全事件溯源及分析等.4)數據安全監督層.由組織內與業務部門沒有隸屬關系的第三方人員組成，主要負責數據安全治理過程與結果的監控和審計，確保數據安全治理組織執行的效果.

　　4.1.2人力保障

　　數據安全治理除了需要相關的技術工具和產品，也離不開相應的人員保障，組織建設中明確的各個數據安全治理組織角色都需要明確具體人員保障，并制定相關人員的職責和考核要求，以及為了確保人員數據安全業務技能符合數據安全治理要求所應該開展的人員技能培訓及職業發展規劃等.

　　4.1.3規范制度

　　數據安全治理涉及多方面的規范制度，主要包括：1)《數據安全管理制度》明確各個業務系統所涉及的數據安全管理范圍及責任人，以及相應的組織保障機制等.2)《數據分類分級規范》對組織內的各類業務數據，尤其是個人信息和重要數據，明確數據類別和安全級別.

　　3)《數據安全管理規范》明確不同類別、不同級別數據的安全管理措施，建立涵蓋數據采集、傳輸、存儲、處理、交換、銷毀等數據生存周期的安全管理規范.4)《數據安全運營管理規范》明確數據安全風險監控措施、數據安全風險響應和應急處置措施、數據安全漏洞排查、數據備份恢復等相應措施要求.5)《數據安全培訓管理制度》明確數據安全人員培訓等相關要求.

　　4.3數據安全治理評估機制

　　數據安全治理評估機制是檢查數據安全治理效果的最有效措施，評估機制主要包括評估與評價措施和改進與提升措施2個方面.數據安全評估措施主要包括：確定評估的目標數據及所涉及的應用系統和人員，梳理數據全生命周期過程及所涉及的數據安全技術與管理措施，分析各個數據流轉環節數據安全措施的有效性，輸出數據安全評估分析報告.數據安全評價措施在數據安全評估措施的基礎上對數據安全治理能力和效果進行打分評價.另外DSMM標準可以作為數據安全評估和評價措施的一個重要參考材料，該標準提煉出的30個安全過程域基本涵蓋了數據安全評估過程的各個環節，標準對數據安全能力成熟度模型的定級也可以作為評價結果的重要參考.

　　4.4數據安全治理長效運營

　　數據安全治理與數據業務發展緊密相關，這也導致數據安全治理不是一個短期的一蹴而就的工作，而是需要長期持續運營.數據安全治理運營的核心工作包括應急處置、隱患排查、預警通報和安全審計等幾個方面.

　　4.4.1應急處置對于數據安全治理過程中發現的各類數據安全事件和威脅隱患能夠及時進行閉環處置，確保數據安全威脅得到解除，降低數據安全事件對數據業務的影響程度.數據安全應急處置具體措施需要根據數據安全事件根本原因進行針對性處理，常見措施包括修復數據業務系統安全漏洞、改進數據處理業務流程、完善數據管理措施與制度等.

　　4.4.2隱患排查數據安全隱患排查工作需要定期或基于數據安全威脅情報實時開展，主要是針對數據業務系統及數據處理流程中是否存在數據泄露、數據損毀或數據濫用等方面的漏洞進行檢查，隱患排查還可以借助相關數據安全漏洞掃描等工具輔助進行.

　　5結束語

　　近年來數據已經成為國家重要的新型生產要素[13]，數據要素的數據安全治理還處于初期研究階段，同時針對人工智能等新型技術領域的數據安全治理研究也在持續深入[14]，一些相關的技術(如隱私安全計算、數據安全溯源等)還處于發展和成熟過程中，數據安全治理相關的行業及國家標準還沒有展開.相信隨著數據要素市場化的深入推進以及國家對數據安全領域的重視持續加強，數據安全治理將在實踐中逐步成熟.

　　參考文獻：

　　[1]全國人民代表大會常務委員會.中華人民共和國數據安全法[EB?OL].新華社，(2021-06-10)[2021-08-17].

　　[2]中國信息通信研究院云計算與大數據研究所.數據安全治理實踐指南(1.0)[R].北京：中國信息通信研究院，2021

　　[3]全國信息安全標準化技術委員會.GB?T37988—2019信息安全技術數據安全能力成熟度模型[M].北京：中國標準出版社，2019

　　[4]阿里巴巴，數夢工場，安恒信息，等.數據安全能力建設實施指南V1.0(征求意見稿)[R].杭州：阿里巴巴數據安全研究院，2018

　　[5]王欣亮，任弢，劉飛.基于精準治理的大數據安全治理體系創新[J].中國行政管理，2019(12)：121126

　　[6]國家互聯網信息辦公室.數據安全管理辦法(征求意見稿)[EB?OL].(2019-05-28)[2021-08-17].

　　作者：胡國華