《資料安全法》即將實施，明確提出要建立健全資料安全治理體系，提高資料安全保障能力。

如何協調政府、行業、企業、個人等多元主體，形成協同共治機制？如何平衡資料開發利用和資料安全保護？如何構建覆蓋資料全生命週期安全的治理框架？如何在各組織中落實治理的具體要求？這些都是當前資料安全治理面臨的重要問題。

近日，中國信通院釋出

《資料安全治理實踐指南（1.0）》

，參考資料安全領域相關標準，根據多家企業資料安全治理最佳實踐，為廣大企業落地資料安全治理提供全方位的指引。

一、資料安全治理內涵與要點

資料安全治理是指在組織資料安全戰略的指導下，為確保資料處於有效保護和合法利用的狀態，多個部門協作實施的一系列活動集合。包括建立組織資料安全治理團隊，制定資料安全相關制度規範，構建資料安全技術體系，建設資料安全人才梯隊等。它以保障資料安全、促進開發利用為原則，圍繞資料全生命週期構建相應安全體系，需要組織內部多利益相關方統一共識，協同工作，平衡資料安全與發展。

1.以資料為中心

構建以資料為中心的資料安全治理體系，根據具體的業務場景和各生命週期環節，有針對性地識別並解決其中存在的資料安全問題，防範資料安全風險。

2.多元化主體共同參與

對組織機構而言，從組織戰略層面出發，協調管理層、執行層等各相關方，打通不同部門之間的溝通障礙，統一內部資料安全共識，實現資料安全防護建設一盤棋。

3.兼顧發展與安全

資料只有在流動中才能充分發揮其價值，而資料流動又必須以保障資料安全為前提，資料安全治理不是強調資料的絕對安全，而是需要兼顧發展與安全的平衡。

二、資料安全治理總體檢視

資料安全治理目標是在合規保障及風險管理的前提下，實現資料的開發利用，保障業務的持續健康發展，確保資料安全與業務發展的雙向促進。

三、資料安全治理參考框架

1、資料安全戰略

從資料安全規劃、機構人員管理兩方面入手，前者確立目標任務，後者組建治理團隊。

資料安全規劃

是指結合組織業務發展需要，對當前面臨的資料安全風險現狀進行梳理，並制定組織整體的發展規劃。

機構人員管理

是指建立負責組織資料安全治理的團隊及人員，並透過在人員入職、轉崗、離職等環節設定安全控制措施，防範由人員本身帶來的資料安全風險。

2、資料全生命週期安全

資料安全治理應圍繞資料全生命週期展開，以

採集、傳輸、儲存、使用、共享、銷燬

各個環節為切入點，設定相應的管控點和管理流程，以便於在不同的業務場景中進行組合複用。

3、基礎安全

基礎安全能力作為資料全生命週期安全能力建設的基本支撐，可以在多個生命週期環節內複用，是整個資料安全治理體系建設的通用要求，能夠實現建設資源的有效整合。

四、資料安全治理實踐路線

1、治理規劃

現狀分析一是外部合規遵從

，對業務適用的外部監管要求進行梳理，將重要條款與現有情況進行對比，分析其差距，確定合規需求。

二是現狀風險分析

，結合業務場景，梳理並形成組織風險問題清單，明確內外部風險形成原因，提煉資料安全建設需求點。

三是行業最佳實踐對比

，將組織資料安全能力現狀與國內外或行業先進實踐進行橫向對比，明確差距所在，找到突出問題。

方案規劃

一是組織機構建設

，自上而下地建立從各個領導層面至基層執行層面的管理組織架構，以保障資料安全管理方針、策略、制度的統一制定和有效實施。

二是制度流程建設

，結合自身業務場景，明確需要編制的相關一級、二級、三級、四級管理和技術檔案，指導資料安全制度體系的總體建設。

三是技術工具建設

，應結合業務場景，實現各項資料安全制度要求的自動化落實，為實現資料安全防護總體目標提供技術支撐。

四是人員能力建設

，人員是資料安全工作開展的主要參與方，應根據人員角色、崗位職責，從安全意識培養、安全能力培訓、安全能力考核三方面入手構建相適應的人才培養機制。

2、治理建設

3、治理運營

風險防範

——資料安全治理的目標之一是降低資料安全風險，因此建立有效的

風險防範

手段，對於預防資料安全事件發生有重要作用，可以從資料安全策略制定、資料安全基線掃描、資料安全風險評估三方面入手。

監控預警

——資料安全保護以知曉資料在組織內的安全狀態為前提，需要組織在資料全生命週期各階段開展安全監控和審計，以實現對資料安全風險的防控。可以透過態勢監控、日常審計、專項審計等方式對相關風險點進行防控，從而降低資料安全風險。

應急處理

——一旦風險防範及監控預警措施失效，導致發生資料安全事件，組織應立即進行應急處置、覆盤整改，並在內部進行宣貫宣導，防範安全事件的再次發生。

4、治理成效評估

內部評估

——組織應形成周期性的

內部評估

工作機制，

內部評估

應由管理層牽頭，執行層和監督層配合執行，確保評估開展的有效執行，並應將評估結果與組織的績效考核掛鉤，避免評估流於形式。常見的

內部評估

手段包括評估自查、應急演練、對抗模擬等。

第三方評估

——以國家、行業及團體標準等為執行準則，能客觀、公正、真實地反映組織資料安全治理水平，實現對標差距分析。結合業務場景和資料全生命週期資料流，可以從組織架構、制度流程、技術工具、人員能力體系的建設情況入手，考察組織資料安全治理能力的持續運轉及自我改進能力。

五、資料安全治理未來展望

未來一段時間內，資料安全治理將圍繞以下兩個核心展開。

一是促進資料安全治理實踐的“行業化”和“場景化”。

由於不同行業、不同場景面臨的資料安全風險與潛在威脅不盡相同，因此需要有針對性地開展資料安全治理。行業、企業需著眼於此，大力推進資料安全治理的“行業化”和“場景化”。

二是探索資料安全治理從“離散”到“體系”的演進路線。

資料安全問題由來已久，且愈演愈烈，“離散”的補丁式解決方法已不能完全適應企業當前的發展需要。如何整合有效資源，平衡資料保護與業務發展，推動“體系化”資料安全治理建設，是行業與企業需要考慮的問題。