数据安全治理能力评估框架构建研究

doi:10.12267/j.issn.2096-5931.2022.2.006

摘要/Abstract

摘要：

面对日益严峻的数据安全形势,国家、行业、地方相继出台多项数据安全法律法规,并接连开展审查整治行动,国内数据安全进入强监管新阶段。在此背景下,通过构建数据安全治理体系提升数据安全水平已经成为行业共识,如何评估数据安全治理体系建设成效也备受各方关注。因此,构建完善的数据安全治理能力评估框架对把握数据安全共性问题,了解行业发展情况,发现业内实践标杆有重要作用。

关键词: 数据安全, 数据安全治理, 数据安全评估

Abstract:

In the face of the increasingly severe situation of data security, the state, local government, and industry have successively issued several laws and regulations, followed by a series of related review and rectification actions. The domestic data security has entered a new stage of strong supervision. In this context, it has become an industry consensus to improve the level of data security by building a data security governance system, and how to evaluate the effectiveness of the system’s construction has attracted the attention of all parties. Therefore, building a sound assessment framework of security governance capability plays an important role in grasping the common problems of data security, understanding the development of the industry, and discovering the practice benchmark in the industry.

Key words: data security, data security governance, data security evaluation

中图分类号:

TP309.2

李雪妮, 秦书锴. 数据安全治理能力评估框架构建研究[J]. 信息通信技术与政策, 2022, 48(2): 37-41.

LI Xueni, QIN Shukai. Research on the construction of data security governance capability evaluation framework[J]. Information and Communications Technology and Policy, 2022, 48(2): 37-41.

导出引用管理器 EndNote|Ris|BibTeX

链接本文:

http://ictp.caict.ac.cn/CN/10.12267/j.issn.2096-5931.2022.2.006

http://ictp.caict.ac.cn/CN/Y2022/V48/I2/37

认证体系	简介
欧盟GDPR数据保护机制	由各国监管机构授权认证机构依据GDPR的相关内容对企业和组织的数据行为进行评估认证
英国BS 10012个人信息管理系统认证	基于BS 10012:2017《数据保护——个人信息管理系统规范》进行认证。该认证侧重于信息管理过程,并有针对中小企业设置的特别准则
美国iKeepSafe COPPA认证	由特定非营利性组织依据美国儿童在线隐私保护法(COPPA)的原则和要求对APP、云解决方案和网络服务等针对儿童个人信息的行为进行评估
法国CNIL电子保险箱认证	由CNIL依据法国数据保护法案对数据存储的安全性进行评估认证

认证体系	简介
欧盟GDPR数据保护机制	由各国监管机构授权认证机构依据GDPR的相关内容对企业和组织的数据行为进行评估认证
英国BS 10012个人信息管理系统认证	基于BS 10012:2017《数据保护——个人信息管理系统规范》进行认证。该认证侧重于信息管理过程,并有针对中小企业设置的特别准则
美国iKeepSafe COPPA认证	由特定非营利性组织依据美国儿童在线隐私保护法(COPPA)的原则和要求对APP、云解决方案和网络服务等针对儿童个人信息的行为进行评估
法国CNIL电子保险箱认证	由CNIL依据法国数据保护法案对数据存储的安全性进行评估认证

等级	基础级	优秀级	先进级
组织建设	一般由各业务团队人员负责数据安全相关工作	设立了专门的数据安全管理部门、岗位、人员,主要负责制定实施组织的数据安全战略规划、数据安全制度流程,以覆盖数据全生命周期相关的业务、系统和应用	设立了专门的数据安全管理部门、岗位、人员,主要负责制定实施组织的数据安全战略规划、数据安全制度流程,以覆盖数据全生命周期相关的业务、系统和应用(沿用优秀级要求)
制度流程	制定了初步的数据安全制度规范和管理流程,保障组织核心业务的安全执行及故障恢复,并能基本满足监管要求	具备完善的数据安全管理制度和流程,以保障组织全部业务的安全执行及故障恢复,并能完全满足监管要求	建立了可量化的评估指标体系,能够准确评估数据安全的治理效果,并根据评估结果及时对组织建设情况进行调整优化;当监管要求、组织架构、业务需求等发生变化时,能够及时调整相应的数据安全策略及规范
技术工具	尝试采用技术手段和产品工具落实安全要求,但对业务和数据全生命周期的覆盖范围及支撑能力有限	具备较强的技术能力,积累了大量的技术手段和产品工具,对数据全生命周期的安全过程和组织内全业务流程的开展进行有效支撑	建立了统一的技术工具,能够为组织的数据安全治理提供支撑
人员能力	开始关注组织内人员的数据安全意识,进行定期培训	对组织内部人员的安全意识和安全能力制定了相应的培训及考核机制,注重组织内部数据安全的人才培养	对组织内部人员的安全意识和安全能力制定了相应的培训及考核机制,注重组织内部数据安全的人才培养(沿用优秀级要求)

等级	基础级	优秀级	先进级
组织建设	一般由各业务团队人员负责数据安全相关工作	设立了专门的数据安全管理部门、岗位、人员,主要负责制定实施组织的数据安全战略规划、数据安全制度流程,以覆盖数据全生命周期相关的业务、系统和应用	设立了专门的数据安全管理部门、岗位、人员,主要负责制定实施组织的数据安全战略规划、数据安全制度流程,以覆盖数据全生命周期相关的业务、系统和应用(沿用优秀级要求)
制度流程	制定了初步的数据安全制度规范和管理流程,保障组织核心业务的安全执行及故障恢复,并能基本满足监管要求	具备完善的数据安全管理制度和流程,以保障组织全部业务的安全执行及故障恢复,并能完全满足监管要求	建立了可量化的评估指标体系,能够准确评估数据安全的治理效果,并根据评估结果及时对组织建设情况进行调整优化;当监管要求、组织架构、业务需求等发生变化时,能够及时调整相应的数据安全策略及规范
技术工具	尝试采用技术手段和产品工具落实安全要求,但对业务和数据全生命周期的覆盖范围及支撑能力有限	具备较强的技术能力,积累了大量的技术手段和产品工具,对数据全生命周期的安全过程和组织内全业务流程的开展进行有效支撑	建立了统一的技术工具,能够为组织的数据安全治理提供支撑
人员能力	开始关注组织内人员的数据安全意识,进行定期培训	对组织内部人员的安全意识和安全能力制定了相应的培训及考核机制,注重组织内部数据安全的人才培养	对组织内部人员的安全意识和安全能力制定了相应的培训及考核机制,注重组织内部数据安全的人才培养(沿用优秀级要求)

[1]	中国信息通信研究院. 大数据白皮书[R], 2021.
[2]	李雪妮, 闫树, 魏凯, 等. T/ISC-0011-2021 《数据安全治理能力评估方法》[S]. 北京: 中国质量标准出版传媒, 2021.
[3]	李雪妮, 闫树, 刘雪花. 数据安全治理框架及实践总体模型研究[J]. 通信世界, 2021(17):45-48.
[4]	中国信息通信研究院云计算与大数据研究所. 数据安全治理实践指南(1.0)[R], 2021.
[5]	郑云文. 数据安全架构设计与实战[M]. 北京: 机械工业出版社, 2019.

数据安全治理能力评估框架构建研究

Research on the construction of data security governance capability evaluation framework

RichHTML

PDF

可视化

摘要/Abstract

引用本文

使用本文

图/表 3

参考文献 5

相关文章 15

编辑推荐

Metrics

本文评价

[1]	龚诗然, 刘雪花. 数据安全治理现状研究与分析[J]. 信息通信技术与政策, 2022, 48(2): 42-46.
[2]	鲁泽霖, 陈岩. 数据要素市场化的理论内涵、现实挑战和实践路径[J]. 信息通信技术与政策, 2022, 48(1): 11-18.
[3]	施羽暇. 培育数据要素市场的现状、问题与建议[J]. 信息通信技术与政策, 2022, 48(1): 19-23.
[4]	魏亮, 田慧蓉, . 网络安全发展综述[J]. 信息通信技术与政策, 2021, 47(8): 17-23.
[5]	张峰, 于乐, 马禹昇, 张弘扬, 江为强, . 数据安全分类分级研究与实践[J]. 信息通信技术与政策, 2021, 47(8): 45-50.
[6]	李晓伟, 吴迎, 邹彧, 白云飞, . 数据安全治理体系与技术研究[J]. 信息通信技术与政策, 2021, 47(8): 51-55.
[7]	宁庭勇, 熊婕, 胡永波, . 人工智能应用面临的安全威胁研究[J]. 信息通信技术与政策, 2021, 47(8): 64-68.
[8]	赵精武, 周瑞珏. 隐私计算技术:数据流动与数据安全的协同保护规则构建*[J]. 信息通信技术与政策, 2021, 47(7): 53-.
[9]	杨正军, 张国华, 施羽暇, 高富平. 互联网广告标识问题研究与应对建议[J]. 信息通信技术与政策, 2021, 47(3): 41-48.
[10]	车力军, 田波, 张华志, 武佳玮. 电信运营商用户隐私保护探索实践[J]. 信息通信技术与政策, 2021, 47(2): 68-73.
[11]	郭真, 申奇, 柳雨晨. 新型智慧城市数据安全研究与思考[J]. 信息通信技术与政策, 2021, 47(11): 20-.
[12]	覃庆玲, 谢俐倞. 车联网数据安全风险分析及相关建议[J]. 信息通信技术与政策, 2020, 46(8): 37-40.
[13]	杨春白雪, 陈湉. 欧美疫情应对与数据保护[J]. 信息通信技术与政策, 2020, 46(8): 63-67.
[14]	王艳艳, 桂丽, 蔡亚芬. 车联网用户数据保护评估研究*[J]. 信息通信技术与政策, 2020, 46(8): 68-71.
[15]	王晨, 宋亮. 工业互联网数据安全防护体系探析*[J]. 信息通信技术与政策, 2020, 46(4): 7-11.