Research on the construction of data security governance capability evaluation framework

doi:10.12267/j.issn.2096-5931.2022.2.006

Abstract

Abstract:

In the face of the increasingly severe situation of data security, the state, local government, and industry have successively issued several laws and regulations, followed by a series of related review and rectification actions. The domestic data security has entered a new stage of strong supervision. In this context, it has become an industry consensus to improve the level of data security by building a data security governance system, and how to evaluate the effectiveness of the system’s construction has attracted the attention of all parties. Therefore, building a sound assessment framework of security governance capability plays an important role in grasping the common problems of data security, understanding the development of the industry, and discovering the practice benchmark in the industry.

Key words: data security, data security governance, data security evaluation

CLC Number:

TP309.2

LI Xueni, QIN Shukai. Research on the construction of data security governance capability evaluation framework[J]. Information and Communications Technology and Policy, 2022, 48(2): 37-41.

Add to citation manager EndNote|Ris|BibTeX

URL:

http://ictp.caict.ac.cn/EN/10.12267/j.issn.2096-5931.2022.2.006

http://ictp.caict.ac.cn/EN/Y2022/V48/I2/37

认证体系	简介
欧盟GDPR数据保护机制	由各国监管机构授权认证机构依据GDPR的相关内容对企业和组织的数据行为进行评估认证
英国BS 10012个人信息管理系统认证	基于BS 10012:2017《数据保护——个人信息管理系统规范》进行认证。该认证侧重于信息管理过程,并有针对中小企业设置的特别准则
美国iKeepSafe COPPA认证	由特定非营利性组织依据美国儿童在线隐私保护法(COPPA)的原则和要求对APP、云解决方案和网络服务等针对儿童个人信息的行为进行评估
法国CNIL电子保险箱认证	由CNIL依据法国数据保护法案对数据存储的安全性进行评估认证

认证体系	简介
欧盟GDPR数据保护机制	由各国监管机构授权认证机构依据GDPR的相关内容对企业和组织的数据行为进行评估认证
英国BS 10012个人信息管理系统认证	基于BS 10012:2017《数据保护——个人信息管理系统规范》进行认证。该认证侧重于信息管理过程,并有针对中小企业设置的特别准则
美国iKeepSafe COPPA认证	由特定非营利性组织依据美国儿童在线隐私保护法(COPPA)的原则和要求对APP、云解决方案和网络服务等针对儿童个人信息的行为进行评估
法国CNIL电子保险箱认证	由CNIL依据法国数据保护法案对数据存储的安全性进行评估认证

等级	基础级	优秀级	先进级
组织建设	一般由各业务团队人员负责数据安全相关工作	设立了专门的数据安全管理部门、岗位、人员,主要负责制定实施组织的数据安全战略规划、数据安全制度流程,以覆盖数据全生命周期相关的业务、系统和应用	设立了专门的数据安全管理部门、岗位、人员,主要负责制定实施组织的数据安全战略规划、数据安全制度流程,以覆盖数据全生命周期相关的业务、系统和应用(沿用优秀级要求)
制度流程	制定了初步的数据安全制度规范和管理流程,保障组织核心业务的安全执行及故障恢复,并能基本满足监管要求	具备完善的数据安全管理制度和流程,以保障组织全部业务的安全执行及故障恢复,并能完全满足监管要求	建立了可量化的评估指标体系,能够准确评估数据安全的治理效果,并根据评估结果及时对组织建设情况进行调整优化;当监管要求、组织架构、业务需求等发生变化时,能够及时调整相应的数据安全策略及规范
技术工具	尝试采用技术手段和产品工具落实安全要求,但对业务和数据全生命周期的覆盖范围及支撑能力有限	具备较强的技术能力,积累了大量的技术手段和产品工具,对数据全生命周期的安全过程和组织内全业务流程的开展进行有效支撑	建立了统一的技术工具,能够为组织的数据安全治理提供支撑
人员能力	开始关注组织内人员的数据安全意识,进行定期培训	对组织内部人员的安全意识和安全能力制定了相应的培训及考核机制,注重组织内部数据安全的人才培养	对组织内部人员的安全意识和安全能力制定了相应的培训及考核机制,注重组织内部数据安全的人才培养(沿用优秀级要求)

等级	基础级	优秀级	先进级
组织建设	一般由各业务团队人员负责数据安全相关工作	设立了专门的数据安全管理部门、岗位、人员,主要负责制定实施组织的数据安全战略规划、数据安全制度流程,以覆盖数据全生命周期相关的业务、系统和应用	设立了专门的数据安全管理部门、岗位、人员,主要负责制定实施组织的数据安全战略规划、数据安全制度流程,以覆盖数据全生命周期相关的业务、系统和应用(沿用优秀级要求)
制度流程	制定了初步的数据安全制度规范和管理流程,保障组织核心业务的安全执行及故障恢复,并能基本满足监管要求	具备完善的数据安全管理制度和流程,以保障组织全部业务的安全执行及故障恢复,并能完全满足监管要求	建立了可量化的评估指标体系,能够准确评估数据安全的治理效果,并根据评估结果及时对组织建设情况进行调整优化;当监管要求、组织架构、业务需求等发生变化时,能够及时调整相应的数据安全策略及规范
技术工具	尝试采用技术手段和产品工具落实安全要求,但对业务和数据全生命周期的覆盖范围及支撑能力有限	具备较强的技术能力,积累了大量的技术手段和产品工具,对数据全生命周期的安全过程和组织内全业务流程的开展进行有效支撑	建立了统一的技术工具,能够为组织的数据安全治理提供支撑
人员能力	开始关注组织内人员的数据安全意识,进行定期培训	对组织内部人员的安全意识和安全能力制定了相应的培训及考核机制,注重组织内部数据安全的人才培养	对组织内部人员的安全意识和安全能力制定了相应的培训及考核机制,注重组织内部数据安全的人才培养(沿用优秀级要求)

[1]	中国信息通信研究院. 大数据白皮书[R], 2021.
[2]	李雪妮, 闫树, 魏凯, 等. T/ISC-0011-2021 《数据安全治理能力评估方法》[S]. 北京: 中国质量标准出版传媒, 2021.
[3]	李雪妮, 闫树, 刘雪花. 数据安全治理框架及实践总体模型研究[J]. 通信世界, 2021(17):45-48.
[4]	中国信息通信研究院云计算与大数据研究所. 数据安全治理实践指南(1.0)[R], 2021.
[5]	郑云文. 数据安全架构设计与实战[M]. 北京: 机械工业出版社, 2019.

Research on the construction of data security governance capability evaluation framework

RichHTML

PDF

Knowledge

Abstract

Cite this article

share this article

Figures/Tables 3

References 5

Related Articles 15

Recommended Articles

Metrics

Comments

[1]	GONG Shiran, LIU Xuehua. Research and analysis of data security governance [J]. Information and Communications Technology and Policy, 2022, 48(2): 42-46.
[2]	ZHANG Yuming, ZHANG Qiwei. Research on data integration of large group enterprises [J]. Information and Communications Technology and Policy, 2022, 48(2): 61-66.
[3]	Zelin LU, Yan CHEN. The theoretical connotation, realistic challenges, and practical path on marketization for data [J]. Information and Communications Technology and Policy, 2022, 48(1): 11-18.
[4]	Yuxia SHI. Data element market situation, problems and suggestions [J]. Information and Communications Technology and Policy, 2022, 48(1): 19-23.
[5]	WEI Liang, TIAN Huirong, . Development status and trend of network security. [J]. Information and Communications Technology and Policy, 2021, 47(8): 17-23.
[6]	ZHANG Feng, YU Le, MA Yusheng, ZHANG Hongyang, JIANG Weiqiang, . Research and practice of data security classification and grading [J]. Information and Communications Technology and Policy, 2021, 47(8): 45-50.
[7]	LI Xiaowei, WU Ying, ZOU Yu, BAI Yunfei, . Research on data security governance architecture and technology [J]. Information and Communications Technology and Policy, 2021, 47(8): 51-55.
[8]	NING Tingyong, XIONG Jie, HU Yongbo, . Research on security threats of AI application landing [J]. Information and Communications Technology and Policy, 2021, 47(8): 64-68.
[9]	ZHAO Jingwu, ZHOU Ruijue . Privacy preserving computing: the construction of synchronization rules for data flow and data security [J]. Information and Communications Technology and Policy, 2021, 47(7): 53-.
[10]	YANG Zhengjun, ZHANG Guohua, SHI Yuxia, GAO Fuping. Research on the problems of digital advertising identifier and countermeasures [J]. Information and Communications Technology and Policy, 2021, 47(3): 41-48.
[11]	CHE Lijun, TIAN Bo, ZHANG Huazhi, WU Jiawei. Practice of privacy protection for telecommunications users [J]. Information and Communications Technology and Policy, 2021, 47(2): 68-73.
[12]	GUO Zhen, SHEN Qi, LIU Yuchen. Research and thinking on data security of new smart city [J]. Information and Communications Technology and Policy, 2021, 47(11): 20-.
[13]	TAN Qingling, XIE Lijing. Analysis of the data security risk of Internet of Vehicles and the solutions [J]. Information and Communications Technology and Policy, 2020, 46(8): 37-40.
[14]	YANG Chunbaixue, CHEN Tian. Epidemic response and data protection in Europe and America [J]. Information and Communications Technology and Policy, 2020, 46(8): 63-67.
[15]	WANG Yanyan, GUI Li, CAI Yafen. Research on the evaluation of user data protection of IoV [J]. Information and Communications Technology and Policy, 2020, 46(8): 68-71.