2022年12月,中共中央国务院发布的“数据二十条”中提出“完善治理体系,保障安全发展。统筹发展和安全,贯彻总体国家安全观,强化数据安全保障体系建设,把安全贯穿数据供给、流通、使用全过程,划定监管底线和红线。”党的二十大和今年全国两会为发展数字经济、建设数字中国指明了方向和重点,《数字中国建设整体布局规划》也提出数字中国建设要按照“2522”的整体框架进行布局,“强化数字中国关键能力,筑牢可信可控的数字安全屏障。增强数据安全保障能力,建立数据分类分级保护基础制度,健全网络数据监测预警和应急处置工作体系。”统筹好数字中国的建设与治理,数字经济的发展与安全,一体两翼,缺一不可。延伸到企业或组织层面的数据安全治理,治理愿景可更加清晰地表述为以满足数据安全和个人信息保护为合规要求,尽可能发挥数据价值,促进数据的自由流动,推动数据安全产业高质量发展。近年来,我国数据安全相关法律法规、部门规章持续密集发布,数据安全标准化研究制定工作加速推进,相关审查、评估、认证、审计等制度陆续推出,为各行各业落实数据安全治理,增强数据安全保障能力提供了具体指引和实施参考。
围绕强化数据基础安全防护保障,企业或组织落地数据安全治理的第一步是需要制定积极、有效的数据安全战略,这是推动数据安全整体工作的置顶要求。第二步是数据分类分级,根据数据的密级和敏感程度制定不同的安全管理和使用策略。有了前两步的基础,企业或组织才能逐步形成数据安全管理制度、技术、运营相结合的治理体系。数据安全治理帮助企业从战略层面形成由上而下达成对数据安全目标的共识,关注数据全生命周期安全,重视管理与技术措施并举,并能够根据安全形势、技术发展和演进趋势动态变化,对数据安全体系进行持续优化。鉴于数据与业务的紧密联系,数据安全技术不能是孤立的和外挂的,应是嵌入的和内生的,在信息系统的规划组织、设计开发、实施交付、运行维护与系统废弃的全过程中,都需同步规划、同步建设、同步使用,同时,数据安全治理的行业化和场景化落地趋势越来越明确。数字经济新模式新业态蓬勃发展,数据安全治理将在各行业加速落地。在不同行业间由于业务运转模式不同、数据特性和数据价值也不同,导致其面临的数据安全威胁和行业监管差异化也非常大。因此,了解数据要素的行业属性对于正确理解和实施数据安全治理具有重要意义。
一是金融、运营商行业,作为个人信息存储与处理的大户,对数据安全治理需求将更为迅速和彻底。二是医疗与教育行业,作为个人信息密集处理和存储场所,亟需提供更为精准的数据安全风险评估服务。三是政府以大数据中心为核心的数据汇集与开放利用体系的建设取得长足进步,智慧城市数据底座的数据开放利用是推进数据作为生产要素的关键动作,数据资产梳理和分类分级服务将是确保政务数据安全的基本前提,护网、重保、应急响应服务应同时落地。四是制造业对数据安全的重视程度也在迅速提升,个人信息和商业机密保护双驱动下,体系化、系统化数据安全治理应更好实践。五是外企与出海企业,跨境数据流动的合规落地将成为其迫在眉睫的重要事务,优选数据跨境评估服务。随着数据要素市场持续健全和深化,数据安全治理的核心关注点在于场景化安全。
首先明确一下场景化安全,现大多将数据的收集、存储、使用、加工、传输、提供、公开等称作“场景”,从《数据安全法》第三条及相关内容来看,应称作“数据处理活动”更合适。不同企业或组织基于不同的使用需求和访问途径,会产生不同的业务场景,比如:组织内的数据要跨部门、跨数据生命周期进行流转,大数据的处理过程包括数据抽取转换、数据传输、数据汇聚存储、数据加工生产、数据分发共享、用数访问;组织间的数据围绕合作共享、数据交易、数据跨境等众多数据运用新场景。
(数据安全治理场景图)
围绕数据跨境、数据交易、大数据处理、合作共享等众多典型的场景,从不同用户、访问途径、使用需求、场景特点、安全策略五个方面,将数据安全技术与业务深度结合,形成相应的数据安全防护,制定有针对性的场景化数据安全治理凯发k8游戏的解决方案。形成数据安全治理的场景化落地思路将为企业或组织提供更有针对性的指导建议。