《数据安全治理与实践白皮书》解读

6月26日，“2023大数据产业发展大会”在北京开幕。在“数据安全高质量发展”论坛上，腾讯云安全总经理李滨分享了腾讯云自身数据安全治理实践经验，

并发布了由中国信通院和腾讯安全联合编制的《数据安全治理与实践白皮书》（以下简称“白皮书”）。

白皮书主要有五个部分组成，即：数据安全治理的态势、挑战和痛点、框架、实践、总结和展望。

第一部分：态势

• 数据安全保障在国家战略规划中更加突出。

二十大报告、国务院规划、工业和信息化部指导意见等都提出了加快发展数字经济、建设数字中国和保障数据安全的要求。

• 数据安全保障相关的法律、政策法规日趋完善。

《中华人民共和国数据安全法》、地方行政法规和各行业指导文件提出了数据安全保障明细。

• 国内外数据安全治理思路逐步清晰。

在国外，微软和Garter先后在2010年和2017年提出了数据安全保障框架和体系。在国内，在2023年1月数据安全推进计划发布《数据安全治理实践指南（2.0）》.

• 数据安全治理系统建设需求显著提升。

当前数据安全治理动力明显攀升，各方面进度明显加快。但从整体来看，当前仍处于蓄势阶段，还面临很多挑战和痛点。

第二部分：挑战和痛点

1、合规层面

• 需要建立起覆盖全生命周期（采集、传输、存储、使用、共享和销毁）的数据安全治理体系。

• 对个人信息，尤其是敏感信息，法律法规和监管要求不断严格和细化。

• 合规场景下的数据价值挖掘行为是否严格合规也有待论证。

• 数据跨境合规更难。

2、管理层面

• 数据流转涉及部门多、人员广，数据安全责任难以落实。

• 数据安全管理模式落后，依然停留在网络安全时代。

• 将数据安全治理架构融入企业治理架构，非一朝一夕之功。

3、技术层面

• 数据安全的关键性技术近几年才兴起，工程化和产品化待积累和突破，过程中会面临很多挑战。

第三部分：框架

1、参考框架

中国互联网协会于2021年发布了T/ISC-0011-2021《数据安全治理能力评估方法》,它围绕组织、制度、技术和人员，推出了国内首个数据安全治理能力建设及评估框架，

如下图所示：

2、以风险为核心的数据安全治理框架

腾讯提出了以风险为核心的数据安全治理框架，共包含5个模块：法律合规体系、组织保障体系、流程体系、技术体系和安全基础体系，如下图所示：

2.1、法律合规体系

数据处理和管理应遵从法律法规和行业准则和标准。

2.2、组织保障体系

组织保障是指建立完整的数据安全治理机构和组织结构，确保数据安全治理工作的高效运行。

2.2.1、职能架构

2.2.2、人员职责

2.3、流程体系

细化整个数据安全治理的处理步骤，帮助企业更好落地。

2.4、技术体系

为保障数据安全而建立的一系列技术手段和措施，包含有：技术体系遵从、数据安全技术和数据安全软硬件技术。

2.5、安全基础体系

• 网络通信安全

• 边界防护安全

• 物理环境安全

• 计算环境安全

• 安全管理中心

第四部分：实践

本章节选取了互娱、社交和云三个场景，介绍了相应场景下数据安全治实践路线及主要亮点。

1、互娱场景-网络游戏

2、社交场景-微信

3、云场景

第五部分：总结和展望

未来，数据治理还需要进一步发展，主要包括以下3个方面：

• 完善数据安全治理体系。

• 推动数据安全技术创新。

• 培养数据安全治理人才。

---

附件1：《数据安全治理与实践白皮书》