(中國(guó)信息通信研究院安全研究所��,北京 100191)
0 引言
2020年,《中共中央 國(guó)務(wù)院關(guān)于構(gòu)建更加完善的要素市場(chǎng)化配置體制機(jī)制的意見》發(fā)布���,進(jìn)一步提出要培育數(shù)據(jù)要素市場(chǎng)�。在此背景下���,數(shù)據(jù)作為新的生產(chǎn)要素����,成為推動(dòng)數(shù)字經(jīng)濟(jì)快速發(fā)展的首要推動(dòng)力。2021年�����,《中華人民共和國(guó)數(shù)據(jù)安全法》(簡(jiǎn)稱《數(shù)據(jù)安全法》)和《中華人民共和國(guó)個(gè)人信息保護(hù)法》(簡(jiǎn)稱《個(gè)人信息保護(hù)法》)相繼頒布實(shí)施,我國(guó)數(shù)據(jù)安全頂層設(shè)計(jì)基本明確�,數(shù)據(jù)安全被提到了非常重要的高度�,與國(guó)家安全有著緊密的聯(lián)系����。遵守?cái)?shù)據(jù)安全法律法規(guī)政策要求����,切實(shí)防范數(shù)據(jù)安全風(fēng)險(xiǎn),成為組織數(shù)據(jù)安全合規(guī)體系建設(shè)的核心目標(biāo)����。本文提出了以合規(guī)為驅(qū)動(dòng)的數(shù)據(jù)安全體系建設(shè)框架、實(shí)施流程�,以及數(shù)據(jù)安全組織架構(gòu)體系、管理制度體系��、技術(shù)體系框架。
1 現(xiàn)狀分析
當(dāng)前���,各項(xiàng)數(shù)據(jù)安全法律法規(guī)制度和監(jiān)管體系正日趨完善��,但數(shù)據(jù)安全法律法規(guī)政策的落地實(shí)施是一個(gè)逐步推進(jìn)的過程���,組織機(jī)構(gòu)數(shù)據(jù)安全合規(guī)體系建設(shè)面臨的挑戰(zhàn)將長(zhǎng)期存在��。目前�,各行業(yè)組織機(jī)構(gòu)的數(shù)據(jù)安全合規(guī)體系建設(shè)正處于發(fā)展階段,在組織體系���、管理制度����、技術(shù)手段等方面面臨著諸多挑戰(zhàn)��。
針對(duì)以上挑戰(zhàn)�����,國(guó)內(nèi)外相關(guān)學(xué)者圍繞數(shù)據(jù)安全合規(guī)體系建設(shè)提出了一系列體系模型����,其中最具行業(yè)影響力的三個(gè)模型���,分別是微軟的DGPC框架、Gartner的DSG框架和阿里巴巴提出的DSMM框架��。
DGPC框架是以隱私���、機(jī)密性和合規(guī)為目標(biāo)的數(shù)據(jù)安全體系框架[1]�����,主要是以方法論的方式明確數(shù)據(jù)安全建設(shè)的目標(biāo)主要關(guān)注數(shù)據(jù)生命周期和核心技術(shù)�����,但缺少對(duì)數(shù)據(jù)生命周期各環(huán)節(jié)落實(shí)數(shù)據(jù)安全工作的步驟和說明�����。
DSG的最大亮點(diǎn)是提出了數(shù)據(jù)安全的建設(shè)需要和業(yè)務(wù)緊密結(jié)合��,在開展安全工作時(shí)需要充分考慮業(yè)務(wù)的可發(fā)展性����,在安全與業(yè)務(wù)需求上尋找平衡點(diǎn)[2]。
DSMM框架由三個(gè)維度構(gòu)成����,分別是安全能力、能力成熟度等級(jí)以及數(shù)據(jù)安全過程���。安全能力維度明確了組織在數(shù)據(jù)安全領(lǐng)域應(yīng)具備的能力���,包括組織建設(shè)、制度流程�、技術(shù)工具和人員能力�����。能力成熟度等級(jí)分為了5級(jí)����,安全能力從1~5級(jí)依次增強(qiáng)。數(shù)據(jù)安全過程維度分為數(shù)據(jù)生存周期安全與通用安全兩個(gè)方面�����,30 個(gè)過程域(Process Area)和576 個(gè)基本實(shí)踐(Basic Practice)[3]�。此框架要求較全面詳細(xì)����,但對(duì)于中小型組織實(shí)現(xiàn)起來較為困難����,在成本有限和業(yè)務(wù)安全需求復(fù)雜的場(chǎng)景下實(shí)施難度較大。
2 數(shù)據(jù)安全合規(guī)體系框架
本文提出了數(shù)據(jù)安全合規(guī)體系框架�����,以數(shù)據(jù)分類分級(jí)為基礎(chǔ)�����,通過梳理合規(guī)和安全需求�,進(jìn)行差異化管控。從發(fā)現(xiàn)問題����、整改建設(shè)到監(jiān)督檢查形成閉環(huán)迭代優(yōu)化,同時(shí)建設(shè)內(nèi)容覆蓋人員��、制度�、技術(shù)以及環(huán)境,并對(duì)每一個(gè)階段進(jìn)行了定義��,很好地過濾冗余的工作,提高了效率����。數(shù)據(jù)安全合規(guī)體系框架如圖1所示。
圖1 數(shù)據(jù)安全合規(guī)體系框架
數(shù)據(jù)安全合規(guī)體系建設(shè)框架是數(shù)據(jù)安全建設(shè)工作的總體藍(lán)圖���,首先依據(jù)合規(guī)評(píng)估��、風(fēng)險(xiǎn)評(píng)估����、個(gè)人信息影響評(píng)估等對(duì)組織現(xiàn)狀進(jìn)行調(diào)研摸底�、差距分析,發(fā)現(xiàn)安全隱患���,其次根據(jù)調(diào)研中發(fā)現(xiàn)的問題為切入點(diǎn),從數(shù)據(jù)安全組織��、安全管理�����、安全技術(shù)等不同維度進(jìn)行整改���,完善數(shù)據(jù)安全能力���,最后加入監(jiān)督檢查機(jī)制對(duì)安全能力的落地和實(shí)施進(jìn)行持續(xù)監(jiān)督���,從而明確下一步工作步驟,實(shí)現(xiàn)組織數(shù)據(jù)安全體系的持續(xù)優(yōu)化���、螺旋上升��。
框架縱向自上而下分別是數(shù)據(jù)安全組織體系���、數(shù)據(jù)安全管理體系和數(shù)據(jù)安全技術(shù)體系。組織體系是整個(gè)體系的總體綱領(lǐng)���,要明確數(shù)據(jù)安全體系的組織架構(gòu)�����、權(quán)責(zé)劃分�、基本原則�����、總體思路等大方針、大策略�����;管理體系是指組織體系大方針指引下的管理制度體系����,建立金字塔式逐層向下細(xì)化的管理文件體系,規(guī)范和指導(dǎo)安全工作的有序開展�����;技術(shù)體系層就是對(duì)以上綱領(lǐng)�、制度體系的落地實(shí)施,部署相關(guān)技術(shù)措施�����、手段來保障組織整個(gè)數(shù)據(jù)處理活動(dòng)的安全���?傮w來說����,是自上而下逐層落實(shí)的關(guān)系�。
數(shù)據(jù)安全合規(guī)體系框架目標(biāo)確定后��,在實(shí)施具體的數(shù)據(jù)安全體系建設(shè)工作時(shí)����,可采用圖2所示步驟開展。
(1)準(zhǔn)備階段
準(zhǔn)備階段的主要工作是確定合規(guī)依據(jù)��、建立團(tuán)隊(duì)��、制定計(jì)劃�、明確建設(shè)目標(biāo)和范圍、收集相關(guān)資料�,確定總體工作方針。
合規(guī)依據(jù)的確定���,需要根據(jù)組織業(yè)務(wù)所在行業(yè)���、所屬地域等,分析相關(guān)數(shù)據(jù)安全法律法規(guī)����、政策文件���、標(biāo)準(zhǔn)規(guī)范等文件,為每個(gè)客戶建立所應(yīng)遵守的數(shù)據(jù)安全合規(guī)清單���。評(píng)估的范圍和目標(biāo)方面���,需要根據(jù)組織的業(yè)務(wù)與系統(tǒng)特點(diǎn),確定評(píng)估的對(duì)象����、重點(diǎn)關(guān)注的數(shù)據(jù)等內(nèi)容,確定組織的合規(guī)目標(biāo)��,制定出合規(guī)評(píng)估的要點(diǎn)和細(xì)項(xiàng)�����。此外�����,數(shù)據(jù)安全工作組織難度大�。數(shù)據(jù)安全建設(shè)涉及多個(gè)部門,需要多部門協(xié)同分析�����,合理分配����,共同承擔(dān)。因此����,項(xiàng)目團(tuán)隊(duì)需要通過組織最高領(lǐng)導(dǎo)人的授權(quán),賦予團(tuán)隊(duì)負(fù)責(zé)人隨時(shí)協(xié)調(diào)組織內(nèi)部部門的權(quán)限���。
圖2 實(shí)施方法流程及各階段主要活動(dòng)
(2)調(diào)研階段
準(zhǔn)備階段即數(shù)據(jù)安全初評(píng)階段����,目的是明確當(dāng)前組織數(shù)據(jù)安全工作現(xiàn)狀�����。
此階段通過問卷調(diào)研�����、現(xiàn)場(chǎng)訪談�����、文件核查等方式開展,進(jìn)一步了解組織網(wǎng)絡(luò)架構(gòu)��、系統(tǒng)部署情況等��,形成記錄文件����,如基礎(chǔ)信息收集調(diào)研問卷、現(xiàn)場(chǎng)訪談?dòng)涗�,以及業(yè)務(wù)場(chǎng)景和系統(tǒng)數(shù)據(jù)處理活動(dòng)梳理等���。為后續(xù)的差距分析做準(zhǔn)備����,這個(gè)過程根據(jù)差距分析情況��,也可能會(huì)有重復(fù)��,如果分析過程中發(fā)現(xiàn)不清晰的地方�,會(huì)進(jìn)行再次調(diào)研確認(rèn)����。
(3)差距分析階段
差距分析階段主要分析現(xiàn)狀與目標(biāo)之間的差距���,給出整改建議。
此階段將調(diào)研結(jié)果與第一階段制定的目標(biāo)進(jìn)行對(duì)比分析�,對(duì)組織的總體����、數(shù)據(jù)處理活動(dòng)、技術(shù)能力三方面的安全保護(hù)能力做出評(píng)價(jià)�,形成差距分析表。
(4)整改提升階段
整改提升階段依據(jù)整改建議����,改進(jìn)和完善組織架構(gòu)、制度規(guī)范�、技術(shù)能力。
此階段從組織��、管理和技術(shù)三方面分別進(jìn)行架構(gòu)和完善��。本文將分別對(duì)組織體系�����、管理體系和技術(shù)體系的建設(shè)方法進(jìn)行展開介紹��。
(5)復(fù)評(píng)總結(jié)階段
復(fù)評(píng)總結(jié)階段總結(jié)建設(shè)完善后的效果,輸出評(píng)估報(bào)告����,制定后續(xù)工作提升方案和工作計(jì)劃。
此階段對(duì)整個(gè)合規(guī)體系建設(shè)工作進(jìn)行分析和總結(jié)達(dá)到以下三個(gè)目標(biāo):一是綜合評(píng)價(jià)組織數(shù)據(jù)安全合規(guī)總體水平和關(guān)鍵業(yè)務(wù)系統(tǒng)數(shù)據(jù)安全管控技術(shù)能力�����;二是清晰呈現(xiàn)數(shù)據(jù)安全合規(guī)體系建設(shè)與提升過程���;三是明確提出后續(xù)數(shù)據(jù)安全工作方向和步驟�。
通過以上過程��,滿足數(shù)據(jù)安全合規(guī)目標(biāo)���,同時(shí)提升組織總體數(shù)據(jù)安全水平��。
• 數(shù)據(jù)安全合規(guī)體系建設(shè)三要素之一——數(shù)據(jù)安全組織體系
數(shù)據(jù)安全組織體系在整個(gè)數(shù)據(jù)安全合規(guī)建設(shè)中起著至關(guān)重要的作用����,組織體系確定后�,可以明確人員權(quán)責(zé),覆蓋數(shù)據(jù)安全保障工作的全過程,避免人員權(quán)責(zé)分配不合理����,導(dǎo)致無法有效開展數(shù)據(jù)安全工作。
數(shù)據(jù)安全合規(guī)建設(shè)中首先要明確數(shù)據(jù)安全組織架構(gòu)���,明確各相關(guān)部門所處的層級(jí)和相應(yīng)的職責(zé)(見圖3)�����。決策層主要由組織一把手負(fù)責(zé)、業(yè)務(wù)及技術(shù)部門領(lǐng)導(dǎo)共同參與�����,成立數(shù)據(jù)安全管理領(lǐng)導(dǎo)小組����,主要職責(zé)包括決策和授權(quán)的工作。管理層指派數(shù)據(jù)安全負(fù)責(zé)人���,負(fù)責(zé)組織數(shù)據(jù)安全管理的工作�,同時(shí)各部門��、各業(yè)務(wù)的負(fù)責(zé)人也要參與���。執(zhí)行層主要由數(shù)據(jù)安全運(yùn)營(yíng)����、技術(shù)團(tuán)隊(duì)、運(yùn)維團(tuán)隊(duì)組成進(jìn)行�����,數(shù)據(jù)安全相關(guān)要求���、流程、制度以及日常審核等工作���。監(jiān)督層主要由審計(jì)部門組成����,監(jiān)督數(shù)據(jù)安全管理制度的落實(shí)等情況����,以及各階段的審計(jì)、評(píng)估等工作����。參與層包括公司所有員工及部門����。
建立數(shù)據(jù)安全組織體系的基礎(chǔ)上���,要明確部門間的權(quán)責(zé)邊界�,組織架構(gòu)映射出的責(zé)任分配表如圖4所示����。
安全部門負(fù)有安全監(jiān)管職責(zé),負(fù)責(zé)策略規(guī)劃�、監(jiān)督管理的落實(shí)執(zhí)行��,牽頭負(fù)責(zé)能力建設(shè)���、管理制度建設(shè)�����、安全運(yùn)營(yíng)管理與安全意識(shí)宣貫等工作�。
• 數(shù)據(jù)安全合規(guī)體系建設(shè)三要素之二——數(shù)據(jù)安全管理體系
數(shù)據(jù)安全建設(shè)是一項(xiàng)需要多方聯(lián)動(dòng)型的復(fù)合型工作��,在開展管理體系建設(shè)時(shí),需考慮組織層面實(shí)體的管理�、執(zhí)行團(tuán)隊(duì)以及虛擬的聯(lián)動(dòng)小組,所有部門均需要參與數(shù)據(jù)安全建設(shè)當(dāng)中�����。
圖3 數(shù)據(jù)安全組織架構(gòu)
圖4 組織架構(gòu)與部門權(quán)責(zé)映射矩陣圖
在管理體系建設(shè)方面����,本文根據(jù)行業(yè)的最佳實(shí)踐給出了管理制度體系“金字塔”,如圖5所示����,總體分為四個(gè)級(jí)別,分別是一級(jí)戰(zhàn)略方針�,二級(jí)管理制度,三級(jí)規(guī)范和流程���、四級(jí)執(zhí)行文件以及相關(guān)記錄�,自頂而下���,逐層細(xì)化���。
圖5 制度體系
一級(jí)文件戰(zhàn)略方針明確組織管理要求���、目標(biāo)及基本原則,一般是“數(shù)據(jù)安全管理辦法”文件呈現(xiàn)�����,其地位是組織的數(shù)據(jù)安全基本法�。
二級(jí)文件管理制度是細(xì)化數(shù)據(jù)安全管理辦法中的相關(guān)要求,同時(shí)考慮科學(xué)性�����、合理性�、完善性和適用性,常見的有組織架構(gòu)��、人員安全管理制度�����、權(quán)限管理制度等���。
三級(jí)文件規(guī)范和流程是對(duì)二級(jí)制度文件的落地性實(shí)現(xiàn),包括各業(yè)務(wù)��、各產(chǎn)線的具體操作指南和規(guī)范,主要文件有分類分級(jí)規(guī)范�����、脫敏規(guī)范�、使用規(guī)范、開放共享審批流程等��,指導(dǎo)數(shù)據(jù)使用者在各場(chǎng)景����、各階段的規(guī)范操作。
四級(jí)的執(zhí)行文件以及相關(guān)記錄可以分為協(xié)議文件類���、報(bào)告類以及清單記錄類����,其中報(bào)告類和部分清單類記錄還應(yīng)體現(xiàn)出周期性���,用來實(shí)現(xiàn)制度文件中的相關(guān)要求��。
• 數(shù)據(jù)安全合規(guī)體系建設(shè)三要素之三——數(shù)據(jù)安全技術(shù)體系
數(shù)據(jù)安全技術(shù)體系建設(shè)過程中要兼顧數(shù)據(jù)全生命周期分級(jí)安全管控和數(shù)據(jù)安全管理策略實(shí)施兩大方面的需求�。
生命周期分級(jí)安全管控方面��,主要依據(jù)不同安全級(jí)別數(shù)據(jù)的分級(jí)保護(hù)要求,執(zhí)行差異化的數(shù)據(jù)安全管控策略�����。首先要確定技術(shù)保護(hù)要點(diǎn)����,即數(shù)據(jù)處理活動(dòng)各階段主要關(guān)注的技術(shù)防護(hù)需求和目標(biāo)。比如����,在使用加工場(chǎng)景環(huán)節(jié),需要關(guān)注數(shù)據(jù)脫敏�、濫用防范、導(dǎo)入導(dǎo)出管控等需求���。數(shù)據(jù)提供�、公開環(huán)節(jié)����,主要關(guān)注如何防止數(shù)據(jù)在共享過程的泄露問題�����、如何在保護(hù)數(shù)據(jù)機(jī)密性前提下解決數(shù)據(jù)孤島問題等。
在明確數(shù)據(jù)安全保護(hù)要點(diǎn)需求的同時(shí)�,還要兼顧數(shù)據(jù)安全管理各層次的安全需求(見圖6)。監(jiān)督管理層需要掌握總體數(shù)據(jù)資源情況以及集中管理�、數(shù)據(jù)安全管理狀況、數(shù)據(jù)安全運(yùn)行情況�����、策略統(tǒng)一下發(fā)等�,因此需要建立監(jiān)管中心等技術(shù)手段,通過態(tài)勢(shì)感知�、流向地圖等形式,實(shí)施監(jiān)控全局�����,發(fā)現(xiàn)問題�、解決問題。在保護(hù)執(zhí)行層�,需要針對(duì)內(nèi)部風(fēng)險(xiǎn)和外部風(fēng)險(xiǎn)進(jìn)行保護(hù),分別對(duì)應(yīng)到內(nèi)部域和外部域的保護(hù)策略��。能力支撐層需要為上層監(jiān)管和保護(hù)策略提供基礎(chǔ)安全能力��,支撐數(shù)據(jù)流轉(zhuǎn)和使用過程中的機(jī)密性����、完整性���、可用性,比如數(shù)據(jù)加密����、脫敏等基礎(chǔ)安全能力。
圖6 以數(shù)據(jù)安全能力為中心的技術(shù)框架
技術(shù)體系建設(shè)和部署的第三個(gè)重點(diǎn)是在需求明確的基礎(chǔ)上���,部署數(shù)據(jù)安全技術(shù)工具�����,在這些技術(shù)工具上做配置時(shí)����,依據(jù)數(shù)據(jù)安全級(jí)別來配置差異化的安全策略��。
3 應(yīng)用案例
3.1 背景
某省為加快構(gòu)建新發(fā)展格局�����,全面深化改革開放,堅(jiān)持創(chuàng)新驅(qū)動(dòng)發(fā)展����,推動(dòng)高質(zhì)量發(fā)展�,深入實(shí)施網(wǎng)絡(luò)強(qiáng)國(guó)、數(shù)字中國(guó)戰(zhàn)略���,以深化“放管服”改革優(yōu)化營(yíng)商環(huán)境為主線����,以利企便民���、激發(fā)市場(chǎng)活力為目標(biāo)�,以提升網(wǎng)上政務(wù)服務(wù)能力為突破口�,全面推進(jìn)政務(wù)流程再造、業(yè)務(wù)模式優(yōu)化���、履職能力提升��,統(tǒng)籌推進(jìn)政府職能從管理型向服務(wù)型轉(zhuǎn)變����,全面推行“一網(wǎng)通辦”“一網(wǎng)統(tǒng)管”“一網(wǎng)協(xié)同”的政務(wù)綜合性平臺(tái)。
3.2 面臨的問題
平臺(tái)匯集了多個(gè)廳級(jí)部門��、供應(yīng)商�����、團(tuán)隊(duì)和系統(tǒng)�����。但尚未形成統(tǒng)一的管理體系�����、各運(yùn)營(yíng)部門間沒有做好安全協(xié)同工作���,因此在使用的過程中用戶面臨安全隱患��。
隱患一:安全能力覆蓋面不足�����,無法有效覆蓋關(guān)鍵系統(tǒng)��。
隱患二:數(shù)據(jù)安全建設(shè)缺乏常態(tài)化����、持續(xù)化的運(yùn)營(yíng)來應(yīng)對(duì)業(yè)務(wù)系統(tǒng)變化、數(shù)據(jù)安全需求變化��、技術(shù)能力更迭帶來的新型挑戰(zhàn)�。
3.3 解決方案
平臺(tái)規(guī)模較大�����,涉及的關(guān)聯(lián)方���、供應(yīng)商較多���,需要專職的數(shù)據(jù)安全團(tuán)隊(duì)統(tǒng)籌和協(xié)調(diào)數(shù)據(jù)安全工作。組織應(yīng)建立數(shù)據(jù)安全組織架構(gòu)�����,架構(gòu)中建議邀請(qǐng)組織一把手擔(dān)任決策者身份�,保證數(shù)據(jù)安全工作的順利開展,各部門責(zé)任人擔(dān)任管理者�����、組長(zhǎng)擔(dān)任執(zhí)行者、數(shù)據(jù)安全或?qū)徲?jì)人員擔(dān)任監(jiān)督者等�,同時(shí)對(duì)其數(shù)據(jù)安全責(zé)任進(jìn)行有效劃分。監(jiān)督相關(guān)人員應(yīng)定期對(duì)數(shù)據(jù)安全相關(guān)制度落地有效性進(jìn)行監(jiān)督檢查�����,組織數(shù)據(jù)安全負(fù)責(zé)人定期開展數(shù)據(jù)安全制度文檔的宣貫工作�,增強(qiáng)組織人員的數(shù)據(jù)安全意識(shí)。
落地實(shí)施過程中���,各部門負(fù)責(zé)人應(yīng)根據(jù)所屬部門負(fù)責(zé)的系統(tǒng)或業(yè)務(wù)的范圍�����,使用數(shù)據(jù)識(shí)別能力梳理各部門產(chǎn)生�、存儲(chǔ)的數(shù)據(jù)類型��,并按照組織統(tǒng)一的數(shù)據(jù)分類分級(jí)規(guī)范對(duì)部門涉及的數(shù)據(jù)進(jìn)行定級(jí)���,形成數(shù)據(jù)分類分級(jí)清單����。梳理敏感數(shù)據(jù)的流向�����,發(fā)現(xiàn)敏感平臺(tái)或系統(tǒng),發(fā)現(xiàn)數(shù)據(jù)關(guān)鍵位置�,重點(diǎn)部署相關(guān)技術(shù)措施,并進(jìn)行實(shí)時(shí)監(jiān)測(cè)與預(yù)警�。
3.4 實(shí)施效果
數(shù)據(jù)安全組織架構(gòu)、管理制度���、技術(shù)能力及運(yùn)營(yíng)環(huán)境滿足了《數(shù)據(jù)安全法》《關(guān)鍵基礎(chǔ)設(shè)施安全保護(hù)條例》及政務(wù)數(shù)據(jù)政策相關(guān)要求���,同時(shí)建立了基于數(shù)據(jù)分類分級(jí)的縱深風(fēng)險(xiǎn)防控體系���,實(shí)現(xiàn)政務(wù)數(shù)據(jù)安全識(shí)別�����、風(fēng)險(xiǎn)監(jiān)測(cè)與追溯管理�����,健全完善政務(wù)網(wǎng)絡(luò)數(shù)據(jù)資產(chǎn)梳理與分級(jí)分類��,實(shí)現(xiàn)數(shù)據(jù)流轉(zhuǎn)動(dòng)態(tài)監(jiān)測(cè)�、數(shù)據(jù)安全風(fēng)險(xiǎn)源頭分析與定位,提升某省政務(wù)數(shù)據(jù)安全監(jiān)管水平和數(shù)據(jù)安全防御能力��,實(shí)現(xiàn)針對(duì)政務(wù)平臺(tái)的數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)�����、通報(bào)和處置��。通過本項(xiàng)目實(shí)施���,一是數(shù)據(jù)安全監(jiān)管能力顯著提升�,可掌握該省重要數(shù)據(jù)資產(chǎn)管理情況�����,實(shí)時(shí)監(jiān)測(cè)數(shù)據(jù)安全風(fēng)險(xiǎn)���,并具備可追蹤溯源的能力�;二是全省政務(wù)數(shù)據(jù)安全事件顯著減少����,市級(jí)各單位數(shù)據(jù)安全和個(gè)人信息保護(hù)意識(shí)明顯提升。
4 結(jié)束語
本文提出了一種覆蓋全面�����、可持續(xù)優(yōu)化、便于操作的數(shù)據(jù)安全合規(guī)體系框架���,闡述了面向組織合規(guī)及風(fēng)險(xiǎn)管控目標(biāo)���,圍繞數(shù)據(jù)安全體系規(guī)劃與建設(shè)的實(shí)施流程以及各流程階段的主要工作,并對(duì)建設(shè)的組織架構(gòu)����、制度體系、技術(shù)框架進(jìn)行了論述����。
隨著《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》的正式實(shí)施����,組織應(yīng)建立健全數(shù)據(jù)安全合規(guī)體系,提高數(shù)據(jù)安全管控能力����。數(shù)據(jù)安全合規(guī)體系建設(shè)通過建立合規(guī)體系框架、確定實(shí)施路徑��,以及對(duì)其安全能力的持續(xù)監(jiān)督來指導(dǎo)數(shù)據(jù)安全工作。同時(shí)��,同態(tài)加隱私計(jì)算��、區(qū)塊鏈��、量子計(jì)算等技術(shù)的發(fā)展與實(shí)踐����,更加夯實(shí)數(shù)據(jù)安全能力底座,兼顧業(yè)務(wù)發(fā)展與數(shù)據(jù)保護(hù)的平衡��。
