《数据安全法》

第四条　维护数据安全，应当坚持总体国家安全观，建立健全数据安全治理体系，提高数据安全保障能力。

第十一条　国家积极开展数据安全治理、数据开发利用等领域的国际交流与合作，参与数据安全相关国际规则和标准的制定，促进数据跨境安全、自由流动。

数据安全治理是一种“制度化”过程，所谓制度化是执行一个“正式批准”的体系，该体系包括明确的价值目的、必须遵从的规范和落实个治理责任的组织机构。数据安全治理以“人”与数据为中心，通过平衡业务需求与风险，制定数据安全策略，对数据分级分类，对数据的全生命周期进行管理，从技术到产品、从策略到管理，提供完整的产品与服务支撑。

数据安全治理利用数据驱动业务，实现企业增值。数据治理的智能化程度，决定了企业数字化转型的加速度。数据治理关注于数据本身的组织，使用和传输、业务支撑等场景下的规范、流程等。

Gartner提出的数据安全治理框架认为数据安全治理不能仅是一套集成了各类数据安全工具的产品解决方案，而是需要从上而下贯穿整个组织架构，覆盖组织的全体人员，形成组织全员对数据安全治理目标的一致共识，并采取适当的管理和技术措施，有效地保护组织数据的全生命周期安全。

数据安全治理的核心内涵包括从战略层面形成由上而下贯穿组织总体架构的对数据安全治理目标的共识，关注数据处理全生命周期安全，重视管理与技术措施并举，并能够根据安全形势、技术发展和演进趋势等的动态变化，对数据安全治理体系进行持续优化。组织在规划和开展数据安全治理工作时，需要依据数据安全治理的核心理念，从数据安全战略、管理机制和技术手段多方面建设数据安全治理能力。

数据安全治理需要关注于数据在整个生命周期可用性、完整性与机密性的安全保护，以数据业务属性为始，数据的分级分类为核心，从数据存放位置为核心，建立以数据为中心的安全架构体系。数据安全治理的输出包括数据的分级分类，安全使用规范，数据的可视化、监控和发现要求等，以及最终如何采用技术手段推动人员组织与流程的落地。数据安全治理完成后的结果通常是在同一数据安全策略下，选择不同的技术产品、流程机制来实现针对数据池安全保护。

因此，数据安全治理能力建设需要从决策到技术、从制度到工具、从组织架构到安全技术的通盘考虑，既要注重“硬实力”的锻造，也要聚焦“软实力”的提升。

组织建设数据安全治理体系至少需要涵盖数据安全战略、数据全生命周期安全以及基础安全等三个方面。

在安全战略规划层面，组织需要完成至少四方面的工作：

• 组织建设：数据安全组织的设立、职责分配和沟通协作。

• 制度流程：组织数据安全领域的制度和流程执行。

• 技术工具：通过技术手段和产品工具落实安全要求或自动化实现安全工作。

• 人员能力：执行数据安全工作的人员的安全意识及相关专业能力。

在数据全生命周期安全建设层面，企业需要在以下方面进行安全建设和提升：

• 数据采集安全：数据源管理，合法、正当、必要和诚信，采集合规评审，隐私政策和用户协议，安全保障技术等；

• 数据传输安全：数据加密，传输加密通道，身份认证，防泄露，完整性验证，接口的管理，跨境传输合规等；

• 数据存储安全：数据加密存储方案，存储介质管理，备份与恢复的安全性和可用性，系统平台的安全要求等；

• 数据使用安全：数据使用的审批和评估，个人信息使用合规，安全保障技术，环境安全等；

• 数据共享安全：协议签订，责任划分，对方能力评估，安全保障技术，平台接口管理，个人信息共享合规等；

• 数据销毁安全：关注数据及介质的销毁管理，不可恢复等。

此外，在基础安全方面，还要兼顾数据分类分级、合规管理、合作方管理、监控审计、身份认证与访问控制、安全风险分析以及安全事件响应等内容。

数据安全治理建设的思路：

• 以数据为中心：综合考虑数据属性、存储分布、流转、使用等状况，掌握厘清数据与业务的关系。

• 以组织为单位：提升整个组织的数据安全安全能力，使数据安全管理更加合理规范、完善可持续。

• 以合规为驱动：充分了解合规及行业监管要求，满足合规性要求的同时，兼顾业务实际发展状况。

• 以能力成熟度模型为抓手：基于数据生命周期定义数据安全过程域和基本实践，满足能力成熟度等级安全要求。

数据安全治理的建设过程可以分为4个阶段，通过厘清数据资产、风险摸清安全现状，通过规划数据安全架构和建设路径，补齐短板实现短期数据安全规划目标，进行常态化数据安全监管以及持续有效的支撑和防范夯实基础，逐步实现数据安全全域可管、风险全局可视，以及数据安全可信的目标，最终达成“让数据更安全，更有价值”。

1. 梳理掌握组织数据资产：梳理完成下现阶段数据资产情况，包括数据库/大数据平台类型、数据库数量、对应业务系统、分布情况、数据流向以及数据分类分级。

2. 摸清数据安全现状及风险：覆盖管理、技术、合规方面，包括组织数据安全建设现状、数据安全风险现状、合规现状及风险、角色权限风险点等，并正对风险点提供防护保障建议。

3. 完成数据安全制度流程建设：对目前组织的管理制度进行完善和补充，建设完成复核实际情况的数据安全相关制度，包括数据安全管理制度、数据安全人员管理规范、数据安全应急响应等制度和流程。

4. 规划数据安全建设：基于前期的数据梳理、风险评估结果等，之上而下统筹规划复核组织战略发展的数据安全规划建设方案，并根据组织实际情况分阶段建设，逐步满足底线合规、安全全域可管、风险全局可视，并持续治理。

数据安全已成为数字经济时代最紧迫和最基础的安全问题，加强数据安全治理已成为维护国家安全和国家竞争力的战略需要。近几年来，伴随《数据安全法》《个人信息保护法》等法律的正式实施，为企业建设数据安全提供了支撑和方向指引。企业通过有效的数据安全治理，可以识别企业自身的重要数据和敏感数据，还可以对自身的重要数据和敏感数据实施有效的安全保护，提升数据安全的同时，通过数据的梳理提升数据使用的效率，最终在保障数据安全的基础上，大幅提升业务发展的能力。