通信世界网消息（CWW）2021年6月《中华人民共和国数据安全法》（以下简称数据安全法）正式颁布，标志着我国数据安全进入有法可依、依法建设的新发展阶段。数据安全法明确提出在坚持总体国家安全观基础上，建立健全数据安全治理体系，提高数据安全保障能力。

由于数据本身具有流动性、多样性、可复制性等不同于传统生产要素的特性，数据安全风险在数字经济时代被不断放大，因此，对数据安全治理的要求也越来越高。如何建设自身的数据安全治理能力？如何构建覆盖数据全生命周期安全的治理框架？如何在各组织中落实数据安全治理的具体要求？这些都是当前数据安全治理面临的重要问题。

针对以上问题，本文给出数据安全治理参考框架，并从各级组织如何落实数据安全治理要求的角度出发，提出数据安全治理总体模型，并从数据安全治理目标、治理框架、治理实践路径3个维度进行了详细研究分析。

数据安全治理研究现状

数据安全问题由来已久，尤其在数据上升为新型生产要素后，面临的挑战越来越大。一方面，各类数据泄露事件频发，为组织和企业的数据安全状况敲响警钟；另一方面，数据和隐私相关法律规范陆续颁布，监管力度不断加强，监管要求不断提升。然而，当前的行业数据安全治理处于发展初期，与监管的要求存在较大差距。

数据安全治理保障体系不完善

数据安全治理能力建设涉及多个部门，沟通成本高，协同难度大，需要建立统一的数据安全治理组织框架，分层次切实履行数据安全管理职责。然而，当前大多数企业缺乏相应的治理组织，难以对数据安全治理进行统一的战略规划和资源协调。

数据安全治理技术体系不成熟

数据应用技术的复杂性、数据海量汇聚的风险性、数据的深度挖掘及隐私保护等问题都对传统数据安全保障能力提出了新挑战。如何解决多样化场景下面临的数据安全威胁和潜在风险，需要加强数据安全核心技术的创新研究与深化应用。

数据安全人才队伍不健全

当前数据安全从业人员多由信息安全人员或网络安全人员兼任，缺少专业的数据安全培训和体系化的管理，对数据安全的知识储备不足，无法保障数据安全治理的成效。未来要逐步建立多层次、多类型的数据安全从业者梯队，夯实数据安全治理基础。

业务发展与安全保障之间的协调经验不足

过度的保护不利于数据价值的释放，但是保护的缺失会造成更大的危害。数据安全法指出“坚持以数据开发利用和产业发展促进数据安全，以数据安全保障数据开发利用和产业发展”。如何把握发展和安全的界限，是数据安全治理能力面临的重要考验。

数据安全治理总体模型

作为推动数据安全合规建设、数据安全风险防范、数据业务健康发展的重要抓手，数据安全治理的内涵不再局限于技术层面或管理层面，而是围绕数据全生命周期安全，涉及组织内多部门协作、全流程制度制定、体系化技术实现、专业化人才培养等一系列工作集合。基于上述分析，下文围绕组织数据安全治理参考框架，结合组织数据安全治理目标，给出组织数据安全治理实践路径，并提出如图1所示的数据安全治理总体模型。

图1 数据安全治理总体模型

数据安全治理目标

合规保障是组织数据安全治理的底线要求，风险管理是数据安全治理需要解决的重要问题。在数字经济时代，数据只有经过流通交易才能最大限度释放数据价值。因此，数据安全治理的目标是在合规保障及风险管理的前提下，实现数据的开发利用，保障业务的持续健康发展，确保数据安全与业务发展的双向促进。

数据安全治理参考框架

数据安全是数据安全治理的目标对象，参考框架是数据安全治理的参照对象。组织可以通过持续构建参照对象，实现对目标对象的有效管理。依据团体标准T/ISC-0011-2021《数据安全治理能力评估方法》，本文规定的参考框架包括数据安全战略、数据全生命周期安全、基础安全3部分主要内容，如图2所示。

图 2 数据安全治理参考框架

●数据安全战略

在组织启动数据安全治理工作前，必须制定相应的战略规划，明确治理目标和具体任务，匹配对应的资源，使得治理工作能够有条不紊地展开。数据安全战略可以从数据安全规划、机构人员管理两个能力项入手，前者确立目标任务，后者组建治理团队。

●数据全生命周期安全

数据安全治理应围绕数据全生命周期展开，以采集、传输、存储、使用、共享、销毁各个环节为切入点，设置相应的管控点和管理流程，以便于在不同的业务场景中进行组合复用。数据全生命周期安全包括数据采集安全、数据传输安全、存储安全、数据备份与恢复、使用安全、数据处理环境安全、数据内部共享安全、数据外部共享安全、数据销毁安全在内的9个能力项，通过对数据全流转过程进行规范和约束以有效降低数据安全风险。

●基础安全

基础安全能力作为数据全生命周期安全能力建设的基本支撑，可以在多个生命周期环节内复用，是整个数据安全治理体系建设的通用要求，能够实现建设资源的有效整合。基础安全能力包括数据分类分级、合规管理、合作方管理、监控审计、鉴别与访问、风险和需求分析、安全事件应急等7个能力项，主要从数据安全的保障措施上进行定义和要求。

数据安全治理实践路线

围绕上述数据安全治理参考框架，按照治理规划、建设、运营、成效评估的实践路线，结合业务发展需要，从现状分析入手，结合组织架构、制度流程、技术工具、人员能力体系建设，构建相适应的数据安全治理能力，并针对风险防范、监控预警、应急处理等内容形成一套持续化运营机制，再根据成效评估进行改进，以保障整个实践过程的持续性建设。

数据安全治理是一项体系化工程，需要以数据为中心，结合业务场景和风险分析情况，构建可持续运转的闭环数据安全防护体系，实现组织数据安全治理能力建设。笔者从实践角度出发，围绕参考框架，探讨数据安全治理规划、建设、运营、成效评估等方面的闭环治理工作路线。

●数据安全治理规划

规划是数据安全治理工作能够有条不紊开展的前提，可以按照现状分析、方案规划、方案论证的环节顺序推进。其中，现状分析是数据安全治理规划设计的依据，可以从外部合规遵从、现状风险分析、行业最佳实践对比入手，总结组织现状；再通过设计组织架构、制度流程、技术工具、人员能力等体系建设实现整个规划方案的设计；最后从可行性、安全性、可持续性3方面对方案进行论证，保障方案的切实可行。

●数据安全治理建设

明晰的组织体系是保障数据安全工作顺利开展的首要条件，可以参考图3内容进行建设。其中，决策层是统筹部门，可以采取“一把手负责制”，管理层是数据安全工作的管理团队，执行层是数据安全工作的具体执行者和参与者，监督层负责对管理层和执行层的工作进行监督，对违规行为予以纠正。

图3 数据安全治理组织架构

制度流程作为数据安全防护要求、管理策略、操作规程等的集合，一般会从业务数据安全需求、数据安全风险控制需要、法律法规合规性要求等几个方面进行梳理。相关制度文件的制定可以参考图4。

图4 数据安全管理制度体系

技术工具作为落实各项安全管理要求的有效手段，是支撑数据安全治理体系建设的能力底座。围绕参考框架，结合实际场景，构建完善的技术工具，可以体系化地解决数据全生命周期各阶段安全隐患。

数据安全治理离不开相应人员的具体执行，因此，加强对数据安全人才的培养是数据安全治理的应有之义。组织需要根据岗位职责、人员角色，明确相应的能力要求，并建立适配的数据安全人员能力培养机制。可以从数据安全意识提升、数据安全能力培训、数据安全能力考核3方面进行培养。

●数据安全治理运营

数据安全治理的持续运营，能够打通各环节的建设内容，促进整个体系的良性发展。治理运营分为以下3个方面：一是风险防范，通过数据安全策略制定、基线扫描、风险评估可以实现对数据安全的事前风险防范；二是监控预警，通过态势监控、日常审计、专项审计三种监控预警手段实现事中的有效控制；三是应急处理，从应急处置、复盘整改、宣贯培训出发，实现事后的总结优化。

●数据安全治理评估

数据安全治理必定是一个持续性过程，如何评价数据安全治理成效并实现治理体系的优化改进，是组织在数据安全治理能力建设过程中面临的重要问题。一般来说，可以从内部评估和第三方评估两个维度入手，内部评估包括自行检查、开展应急演练、进行对抗模拟等方式。第三方评估则是通过外部评估机构依据相关标准开展评估，能够更加客观地对组织现状进行总结，数据安全法里也对这项工作进行了肯定。目前，依据团体标准T/ISC-0011-2021《数据安全治理能力评估方法》，中国信息通信研究院作为第三方评估机构已对相关组织开展评估工作。

本文针对数据安全治理面临的各项问题，结合目前国内数据安全治理最佳实践，提炼形成数据安全治理总体模型，对数据安全治理的目标、参考框架和实践路线进行详细和全面的分析研究，并给出落地建议，能够为业界各组织建设和提高自身数据安全治理能力提供有效参考。后续将继续完善模型研究，扩大模型的实际应用范围。