一、為什么要進(jìn)行數(shù)據(jù)安全治理？
隨著數(shù)據(jù)作為生產(chǎn)要素的重要性凸顯，數(shù)據(jù)安全的地位不斷提升， 尤其隨著《數(shù)據(jù)安全法》的正式頒布，數(shù)據(jù)安全在國家安全體系中的重要地位得到了進(jìn)一步明確。發(fā)展數(shù)字經(jīng)濟(jì)、加快培育發(fā)展數(shù)據(jù)要素市場，必須把保障數(shù)據(jù)安全放在突出位置。這就要求我們著力解決數(shù)據(jù)安全領(lǐng)域的突出問題，有效提升數(shù)據(jù)安全治理能力。
為指導(dǎo)行業(yè)數(shù)據(jù)安全治理能力建設(shè)，促進(jìn)行業(yè)數(shù)據(jù)安全治理能力 發(fā)展，中國互聯(lián)網(wǎng)協(xié)會發(fā)布團(tuán)體標(biāo)準(zhǔn) T/ISC-0011-2021《數(shù)據(jù)安全治理能力評估方法》，為不斷提升數(shù)據(jù)安全治理能力提供標(biāo)準(zhǔn)依據(jù)。本指南以上述標(biāo)準(zhǔn)為基礎(chǔ)，梳理數(shù)據(jù)安全治理概念內(nèi)涵，認(rèn)為應(yīng)該從廣義和狹義兩個角度進(jìn)行理解。
廣義地說，數(shù)據(jù)安全治理是在國家數(shù)據(jù)安全戰(zhàn)略的指導(dǎo)下，為形成全社會共同維護(hù)數(shù)據(jù)安全和促進(jìn)發(fā)展的良好環(huán)境，國家有關(guān)部門、行業(yè)組織、科研機(jī)構(gòu)、企業(yè)、個人共同參與和實(shí)施的一系列活動集合。包括完善相關(guān)政策法規(guī)，推動政策法規(guī)落地，建設(shè)與實(shí)施標(biāo)準(zhǔn)體系，研發(fā)并應(yīng)用關(guān)鍵技術(shù)，培養(yǎng)專業(yè)人才等。
狹義地說，數(shù)據(jù)安全治理是指在組織數(shù)據(jù)安全戰(zhàn)略的指導(dǎo)下，為 確保數(shù)據(jù)處于有效保護(hù)和合法利用的狀態(tài)，多個部門協(xié)作實(shí)施的一系 列活動集合。包括建立組織數(shù)據(jù)安全治理團(tuán)隊(duì)，制定數(shù)據(jù)安全相關(guān)制 度規(guī)范，構(gòu)建數(shù)據(jù)安全技術(shù)體系，建設(shè)數(shù)據(jù)安全人才梯隊(duì)等。它以保障數(shù)據(jù)安全、促進(jìn)開發(fā)利用為原則，圍繞數(shù)據(jù)全生命周期構(gòu)建相應(yīng)安全體系，需要組織內(nèi)部多利益相關(guān)方統(tǒng)一共識，協(xié)同工作，平衡數(shù)據(jù)安全與發(fā)展。
無論是廣義還是狹義的數(shù)據(jù)安全治理，都可以從以下三個要點(diǎn)進(jìn) 行闡釋。
1.以數(shù)據(jù)為中心
數(shù)據(jù)的高效開發(fā)和利用，涵蓋了數(shù)據(jù)的采集、傳輸、存儲、使用、共享、銷毀等全生命周期的各個環(huán)節(jié)，由于不同環(huán)節(jié)的特性不同，面臨的數(shù)據(jù)安全威脅與風(fēng)險也大相徑庭。因此，必須構(gòu)建以數(shù)據(jù)為中心的數(shù)據(jù)安全治理體系，根據(jù)具體的業(yè)務(wù)場景和各生命周期環(huán)節(jié)，有針對性地識別并解決其中存在的數(shù)據(jù)安全問題，防范數(shù)據(jù)安全風(fēng)險。
2.多元化主體共同參與
 
無論是從廣義還是狹義的角度出發(fā)，數(shù)據(jù)安全治理不是僅僅依靠 一方力量可以開展的工作。對國家和社會而言，面對數(shù)據(jù)安全領(lǐng)域的諸多挑戰(zhàn)，政府、企業(yè)、行業(yè)組織、甚至個人都需要發(fā)揮各自優(yōu)勢，緊密配合，承擔(dān)數(shù)據(jù)安全治理主體責(zé)任，共同營造適應(yīng)數(shù)字經(jīng)濟(jì)時代要求的協(xié)同治理模式。這也與《數(shù)據(jù)安全法》中強(qiáng)調(diào)建立各方共同參與的工作機(jī)制相一致。對組織機(jī)構(gòu)而言，數(shù)據(jù)安全治理需要從組織戰(zhàn)略層面出發(fā)，協(xié)調(diào)管理層、執(zhí)行層等各相關(guān)方，打通不同部門之間的溝通障礙，統(tǒng)一內(nèi)部數(shù)據(jù)安全共識，實(shí)現(xiàn)數(shù)據(jù)安全防護(hù)建設(shè)一盤棋。因此，數(shù)據(jù)安全治理必然是涉及多元化主體共同參與的工作。
3.兼顧發(fā)展與安全
隨著國內(nèi)數(shù)字化建設(shè)的快速推進(jìn)，無論是政府部門，還是其他組  織均沉淀了大量的數(shù)據(jù)。數(shù)字經(jīng)濟(jì)時代的應(yīng)用場景下，數(shù)據(jù)只有在流  動中才能充分發(fā)揮其價值，而數(shù)據(jù)流動又必須以保障數(shù)據(jù)安全為前提， 因此，必須要辯證的看待數(shù)據(jù)安全治理。正如《數(shù)據(jù)安全法》提出的  “堅(jiān)持以數(shù)據(jù)開發(fā)利用和產(chǎn)業(yè)發(fā)展促進(jìn)數(shù)據(jù)安全，同時也要以數(shù)據(jù)安  全保障數(shù)據(jù)開發(fā)利用和產(chǎn)業(yè)發(fā)展。”數(shù)據(jù)安全治理不是強(qiáng)調(diào)數(shù)據(jù)的絕  對安全，而是需要兼顧發(fā)展與安全的平衡。
數(shù)據(jù)安全治理目標(biāo)：合規(guī)保障是組織數(shù)據(jù)安全治理的底線要求， 風(fēng)險管理是數(shù)據(jù)安全治理需要解決的重要問題。數(shù)字經(jīng)濟(jì)時代，數(shù)據(jù)的流通交易才能最大限度釋放數(shù)據(jù)價值。因此，數(shù)據(jù)安全治理的目標(biāo)是在合規(guī)保障及風(fēng)險管理的前提下，實(shí)現(xiàn)數(shù)據(jù)的開發(fā)利用，保障業(yè)務(wù)的持續(xù)健康發(fā)展，確保數(shù)據(jù)安全與業(yè)務(wù)發(fā)展的雙向促進(jìn)。
二、數(shù)據(jù)全生命周期安全
數(shù)據(jù)安全治理應(yīng)圍繞數(shù)據(jù)全生命周期展開，以采集、傳輸、存 儲、使用、共享、銷毀各個環(huán)節(jié)為切入點(diǎn)，設(shè)置相應(yīng)的管控點(diǎn)和管 理流程，以便于在不同的業(yè)務(wù)場景中進(jìn)行組合復(fù)用。數(shù)據(jù)全生命周 期安全包括數(shù)據(jù)采集安全在內(nèi)的九項(xiàng)內(nèi)容，如圖所示。
 
數(shù)據(jù)采集安全是指為確保在組織系統(tǒng)中生成新數(shù)據(jù)，或者從外 部收集數(shù)據(jù)過程的合法、合規(guī)及安全性，而采取的一系列措施。應(yīng) 從以下關(guān)鍵活動入手：
l 明確負(fù)責(zé)數(shù)據(jù)采集安全工作的團(tuán)隊(duì)及職責(zé)；
l 采集數(shù)據(jù)源的可信管理、身份鑒定、用戶授權(quán)；
l 數(shù)據(jù)采集設(shè)備的管理，比如訪問控制、安全加固等；
l 涉及個人信息和重要數(shù)據(jù)的業(yè)務(wù)場景，應(yīng)在采集前進(jìn)行合規(guī)
性評估；
l 采集過程的日志記錄及監(jiān)控審計；
l 建立數(shù)據(jù)采集工具；
l 采集過程中，實(shí)現(xiàn)敏感數(shù)據(jù)識別及防泄漏。
數(shù)據(jù)傳輸安全是指為防止傳輸過程中的數(shù)據(jù)泄漏，而采取的一 系列數(shù)據(jù)加密保護(hù)策略和安全防護(hù)措施。應(yīng)從以下關(guān)鍵活動入手：
l 明確負(fù)責(zé)數(shù)據(jù)傳輸安全工作的團(tuán)隊(duì)及職責(zé)；
l 傳輸通道兩端主體的身份鑒別；
l 在數(shù)據(jù)分類分級的基礎(chǔ)上，根據(jù)業(yè)務(wù)場景，制定數(shù)據(jù)加密傳
輸方案，以及傳輸通道加密方案；

 
l 梳理數(shù)據(jù)傳輸接口，形成接口管控清單；
l 開展接口調(diào)用日志記錄及監(jiān)控審計。
存儲安全是指為確保存儲介質(zhì)上的數(shù)據(jù)安全性，而采取的一系列 措施。應(yīng)從以下關(guān)鍵活動入手：
l 明確負(fù)責(zé)存儲安全工作的團(tuán)隊(duì)及職責(zé)；
l 在數(shù)據(jù)分類分級的基礎(chǔ)上，結(jié)合業(yè)務(wù)場景，明確不同類別和
級別數(shù)據(jù)的加密存儲要求，包括對加密算法的要求和加密密鑰的管理要求；
l 建立存儲系統(tǒng)或平臺，并實(shí)現(xiàn)對賬號、權(quán)限、安全基線等的
管理；
l 建立存儲介質(zhì)管理系統(tǒng)或平臺，對購買、標(biāo)記、審批、入庫、
出庫等操作進(jìn)行安全管理，保障存儲介質(zhì)本身的安全。
數(shù)據(jù)備份與恢復(fù)是指通過規(guī)范數(shù)據(jù)存儲的冗余管理工作機(jī)制，保 障數(shù)據(jù)的高可用性。應(yīng)從以下關(guān)鍵活動入手：
l 明確負(fù)責(zé)數(shù)據(jù)備份與恢復(fù)工作的團(tuán)隊(duì)及職責(zé)；
l 制定數(shù)據(jù)備份與恢復(fù)的操作規(guī)程；
l 建立數(shù)據(jù)備份與恢復(fù)清單；
l 建立數(shù)據(jù)備份與恢復(fù)平臺，按照上述清單定期執(zhí)行備份，并
對備份數(shù)據(jù)完整性和可用性進(jìn)行驗(yàn)證。
使用安全是指為保障在組織內(nèi)部對數(shù)據(jù)進(jìn)行計算、分析、可視化 等操作過程的安全性，而采取的一些列措施。應(yīng)從以下關(guān)鍵活動入手：
l 明確負(fù)責(zé)使用安全工作的團(tuán)隊(duì)及職責(zé)；
 
l 基于數(shù)據(jù)分類分級情況，建立不同類別和級別的數(shù)據(jù)使用審
批流程及安全評估機(jī)制；
l 部署數(shù)據(jù)脫敏工具，實(shí)現(xiàn)不同類別、不同級別的數(shù)據(jù)脫敏；
l 對各類數(shù)據(jù)處理活動進(jìn)行日志記錄和監(jiān)控審計。
數(shù)據(jù)處理環(huán)境安全是指為確保組織的數(shù)據(jù)處理系統(tǒng)、終端、平臺 等環(huán)境的安全性，而采取的一系列措施。應(yīng)從以下關(guān)鍵活動入手：
l 明確負(fù)責(zé)數(shù)據(jù)處理環(huán)境安全工作的團(tuán)隊(duì)及職責(zé)；
l 明確系統(tǒng)開發(fā)、上線、運(yùn)維過程的安全控制措施；
l 對生產(chǎn)網(wǎng)、測試網(wǎng)等不同環(huán)境進(jìn)行資源隔離；
l 對用戶在數(shù)據(jù)處理環(huán)境上的各項(xiàng)加工操作進(jìn)行日志記錄和監(jiān)
控審計；
l 部署數(shù)據(jù)處理環(huán)境的數(shù)據(jù)防泄漏工具。
數(shù)據(jù)內(nèi)部共享安全是指為確保組織內(nèi)部之間的數(shù)據(jù)交互過程安 全，而采取的一系列措施。應(yīng)從以下關(guān)鍵活動入手：
l 明確負(fù)責(zé)數(shù)據(jù)內(nèi)部共享安全工作的團(tuán)隊(duì)及職責(zé)；
l 對共享的數(shù)據(jù)內(nèi)容進(jìn)行評估、審批；
l 對共享過程進(jìn)行日志記錄及監(jiān)控審計；
l 建立內(nèi)部共享清單，明確共享鏈條；
l 建立數(shù)據(jù)共享工具或平臺，并對其賬號、權(quán)限等進(jìn)行管控。
l 部署數(shù)據(jù)脫敏工具；
l 部署數(shù)據(jù)溯源工具。
數(shù)據(jù)外部共享安全是指為確保不同組織之間的數(shù)據(jù)交互過程安