2023年1月5日,在第二届数据安全治理峰会上,中国信息通信研究院发布《数据安全治理实践指南(2.0)》。《数据安全治理实践指南》是数据安全推进计划在数据安全治理领域的系列研究报告,旨在梳理数据安全治理的概念内涵,探讨企业数据安全建设路线。
继2021年7月发布《指南(1.0)》以来,经过一年多的发展,企业数据安全治理取得了有效进展,同时也面临新的挑战。比如当前大部分企业的数据安全管理制度聚焦在原则、管理规定等较粗颗粒度的层面,对数据业务的下沉指导不充分,导致具体业务场景下的技术落地仍然缺乏实践指引,容易与管理要求脱节等。《指南(2.0)》依据大量行业调研和企业实践,在《指南(1.0)》的基础上优化了数据安全治理总体视图,并针对数据分类分级难落地、管理与技术易脱钩等焦点问题的建设方案进行了初步探索,进一步细化了数据安全治理实践路线。
相比1.0版本,《指南(2.0)》在三方面进行了优化升级。一是提出3344数据安全治理总体视图,即3项治理目标、3层治理体系、4项治理维度、4步实践路线。二是提出全新数据安全治理理念,优化规划-建设-运营-优化的数据安全治理实践路线;三是提出数据分类分级7步建设路线。更加切合企业数据安全治理建设实际需要,同时也分析了企业数据安全治理最为关注的热点问题。
《指南2.0》延续了对数据安全治理概念的理解,从组织内部来看,数据安全治理是指在组织数据安全战略的指导下,为确保组织数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力,内外部相关方协作实施的一系列活动集合。由此,梳理出数据安全治理的三个要点:一是“以数据为中心”,二是“多元化主体共同参与”,三是“兼顾发展与安全”。
展望数据安全治理的发展,报告认为有以下几大趋势:一是政策引领与战略自驱齐头并进,推进数据安全治理不断深入;二是数据驱动的业务发展,激励数据安全治理组织从“有型”到“有效”;三是数据安全风险治理能力的建设与提升,将成为数据安全治理的重要组成;四是第三方数据安全评估认证作为提升数据安全治理能力的主要抓手,将被更多行业组织引入。
信息来源:
通信世界网站
