数据安全产业工作报告.docx

该【数据安全产业工作报告 】是由【mossentz】上传分享，文档一共【25】页，该文档可以免费在线阅读，需要了解更多关于【数据安全产业工作报告 】的内容，可以使用淘豆网的站内搜索功能，选择自己适合的文档，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此文档到您的设备，方便您编辑和打印。数据安全产业工作报告
数字经济是继农业经济、工业经济之后的主要经济形态,是以数据资源为关键要素,以现代信息网络为主要载体,以信息通信技术融合应用、全要素数字化转型为重要推动力,促进公平与效率更加统一的新经济形态。数字经济发展速度之快、辐射范围之广、影响程度之深前所未有,正推动生产方式、生活方式和治理方式深刻变革,成为重组全球要素资源、重塑全球经济结构、改变全球竞争格局的关键力量。十四五时期,我国数字经济转向深化应用、规范发展、普惠共享的新阶段。
优化升级数字基础设施
(一)加快建设信息网络基础设施
建设高速泛在、天地一体、云网融合、智能敏捷、绿色低碳、安全可控的智能化综合性数字信息基础设施。有序推进骨干网扩容,协同推进千兆光纤网络和5G网络基础设施建设,推动5G商用部署和规模应用,前瞻布局第六代移动通信(6G)网络技术储备,加大6G技术研发支持力度,积极参与推动6G国际标准化工作。积极稳妥推进空间信息基础设施演进升级,加快布局卫星通信网络等,推动卫星互联网
建设。提高物联网在工业制造、农业生产、公共服务、应急管理等领域的覆盖水平,增强固移融合、宽窄结合的物联接入能力。
(二)推进云网协同和算网融合发展
加快构建算力、算法、数据、应用资源协同的全国一体化大数据中心体系。在京津冀、长三角、粤港澳大湾区、成渝地区双城经济圈、贵州、内蒙古、甘肃、宁夏等地区布局全国一体化算力网络国家枢纽节点,建设数据中心集群,结合应用、产业等发展需求优化数据中心建设布局。加快实施东数西算工程,推进云网协同发展,提升数据中心跨网络、跨地域数据交互能力,加强面向特定场景的边缘计算能力,强化算力统筹和智能调度。按照绿色、低碳、集约、高效的原则,持续推进绿色数字中心建设,加快推进数据中心节能改造,持续提升数据中心可再生能源利用水平。
(三)有序推进基础设施智能升级
稳步构建智能高效的融合基础设施,提升基础设施网络化、智能化、服务化、协同化水平。高效布局人工智能基础设施,提升支撑智能+发展的行业赋能能力。推动农林牧渔业基础设施和生产装备智能化改造,推进机器视觉、机器学习等技术应用。建设可靠、灵活、安全的工业互联网基础设施,支撑制造资源的泛在连接、弹性供给和高效配置。加快推进能源、交通运输、水利、物流、环保等领域基础设
施数字化改造。推动新型城市基础设施建设,提升市政公用设施和建筑智能化水平。构建先进普惠、智能协作的生活服务数字化融合设施。在基础设施智能升级过程中,充分满足老年人等群体的特殊需求,打造智慧共享、和睦共治的新型数字生活。
数据安全治理概述
(一)数据安全治理概念内涵
为指导行业数据安全治理能力建设,促进行业数据安全治理能力发展,依据中国通信标准化协会大数据技术标准推进委员会BDC91-2022《数据安全治理能力评估方法》,梳理数据安全治理概念内涵,应该从广义和狭义两个角度进行理解。
狭义地说,数据安全治理是指在组织数据安全战略的指导下,为确保组织数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力,内外部相关方协作实施的一系列活动集合。包括建立数据安全治理组织架构,制定数据安全制度规范,构建数据安全技术体系,建设数据安全人才梯队等。
广义地说,数据安全治理是在国家数据安全战略的指导下,为形成全社会共同维护数据安全、促进开发利用和产业发展的良好环境,国家有关部门、行业组织、科研机构、企业、个人共同参与和实施的
一系列活动集合。包括完善相关政策法规,推动政策法规落地,建设实施标准体系,研发应用关键技术,培养专业人才等。
(二)数据安全治理要点
(1)数据安全治理以数据为中心
数据的高效开发和利用,涵盖了数据的采集、传输、存储、使用、共享、销毁等全生命周期的各个环节,不同环节的特性不同,都面临丰富多样的数据安全威胁与风险。因此,必须构建以数据为中心的数据安全治理体系,根据具体的业务场景和各生命周期环节,有针对性地识别并解决其中存在的数据安全问题,防范数据安全风险。
(2)多元化主体共同参与数据安全治理
无论是从广义还是狭义的角度出发,数据安全治理不是仅仅依靠一方力量可以开展的工作。对国家和社会而言,面对数据安全领域的诸多挑战,政府、企业、行业组织、甚至个人都需要发挥各自优势,紧密配合,承担数据安全治理主体责任,共同营造适应数字经济时代要求的协同治理模式。这也与《中华人民共和国数据安全法》(以下简称《数据安全法》)中强调建立各方共同参与的工作机制相一致。对组织机构而言,数据安全治理需要从组织战略层面出发,协调管理层、执行层等相关方,打通不同部门之间的沟通障碍,统一内部数据
安全共识,实现数据安全防护建设一盘棋。因此,数据安全治理必然是涉及多元化主体共同参与的工作。
(3)数据安全治理兼顾发展与安全
随着国内数字化建设的快速推进,无论是政府部门,还是其他组织均沉淀了大量的数据。数字经济时代的应用场景下,数据只有在流动中才能充分发挥其价值,而数据流动又必须以保障数据安全为前提,因此,必须要辩证看待数据安全治理。正如《数据安全法》提出的坚持以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展。数据安全治理不是强调数据的绝对安全,而是需要兼顾发展与安全的平衡。
数据分类分级场景建设思路
数据分类分级是数据安全治理实践过程中的关键场景,是数据安全工作的桥头堡和必选题。行业实践,七步走建设思路,可供刚开展数据分类分级工作的组织参考。
第一步:建立组织保障。
对组织而言,数据分类分级工作是一项复杂的长期性工作,是业务知识、数据知识和安全知识的交叉领域,需要相关部门协作开展。
这就需要通过明确数据分类分级工作的组织架构,划分各部门职责分工,为数据分类分级工作的协同开展提供支撑。
在实际工作中,各组织一般有数据安全管理的牵头部门或团队统筹数据分类分级工作的开展,而在职责分工上,则体现出一定的差异性。
•以某电信运营商为例,在职责划分方面,明确了由数据安全的管理部门负责制定数据分类分级的方法及策略,规范数据资产梳理工作,并监督数据分类分级工作的落实。而各数据生产运营和使用的责任部门则需要维护本部门的数据资源清单、梳理部门的重要数据目录、并按照数据安全管理部门制定的标准执行数据分类分级规定动作,制定并落实差异化管控措施等。
•以某金融机构为例,在职责划分方面,明确了由数据安全的管理部门牵头开展数据分类分级工作,制定相关制度流程,并建设数据分类分级技术能力。由于建设了数据中台对数据进行统一管理,其他部门仅需配合数据分类分级评估工作,对数据分类分级结果进行复核。
•以某互联网公司为例,在职责划分方面,明确了由数据安全管理部门负责各类数据的分类、汇总和管理等工作。其他部门主要负责识别本部门的各类敏感数据并同步至数据安全管理部门,同时负责本部门敏感数据相关数据安全管控措施的制定。
第二步:进行数据资源梳理。
在进行数据分类分级之前,需要对组织内的全部数据资源进行识别、梳理,明确当前组织内部存储了哪些数据、数据存储的格式、数据范围、数据流转形式、数据访问控制方式、数据价值高低等问题,并形成数据资源清单。
在实际工作中,数据资源的梳理有两种常见的工作思路。一种是站在数据治理的角度,为了达到对数据质量进行管理的首要目标而进行全量数据的盘点梳理,与此同时,梳理的结果可以复用于数据分类分级工作。一种是站在数据安全的角度,先对敏感数据进行识别梳理,以快速响应相关安全管理要求,再逐渐扩展至全域数据范围。
第三步:明确分类分级方法策略。
数据分类分级的方法、策略是指导此项工作开展的重要依据。组织需要参考国家及行业相关数据分类分级要求及规范,并结合自身业务属性与管理特点,明确数据分类分级的方法、策略,如明确数据分类与定级的基本原则、基本方法等。
当前,为指导数据分类分级工作的推进落实,各行业、各领域纷纷制定相关标准规范。通过明确数据分类分级工作的原则、方法、定义,并在此基础上给出部分示例,进一步细化国家关于数据分类分级工作的要求,推动该项工作在不同行业企业及组织机构的落地实施。
第四步:完成数据分类。
组织应根据已制定的数据分类原则,定义包含多个层级的数据类别清单,再对数据资源清单中的数据逐个进行分类。
在实际工作中,基础电信、证券期货、工业行业等领域制定了较为明确的分类方法和示例,有利于行业组织参考。对于暂未形成分类模板的行业,组织可以从经营维度按照通用分类模板进行分类1。另外,针对个人信息的分类方式,组织也可以结合GB/T35273-2020《信息安全技术个人信息安全规范》给出的规范进行完善。总体来说,类别定义一般会根据行业领域的不同而产生不同的子类划分方式,需要注意的是不同类别之间不能重复和交叉。
第五步:逐类完成定级。
数据分级主要从数据安全保护的角度,考虑影响对象、影响程度两个要素对数据所在的安全级别进行判定。不同行业分级标准在影响对象和影响程度的划分上有所不同,从而也导致了分级结果的差异性。组织应根据实际情况完成定级工作。
第六步:形成分类分级目录。
组织还需形成整体的数据分类分级目录,明确数据类别和级别的对应关系,为各部门落实数据分类分级工作提供依据。
第七步:制定数据安全策略。
在完成数据分类定级的基础上,还需要依据国家及行业领域给出的安全保护要求,建立数据分类分级保护策略,对数据实施全流程分类分级管理和保护。
深化数据安全国际交流合作
充分利用双多边机制,加强数据安全产业政策交流合作。加强与一带一路沿线国家数据安全产业合作,促进标准衔接和认证结果互认,推动产品、服务、技术、品牌走出去。鼓励国内外数据安全企业在技术创新、产品研发、应用推广等方面深化交流合作。探索打造数据安全产业国际创新合作基地。支持举办高层次数据安全国际论坛和展会。鼓励我国数据安全领域学者、企业家积极参与相关国际组织工作。
数据安全指导思想
立足新发展阶段,完整、准确、全面贯彻新发展理念,构建新发展格局,坚定不移贯彻总体国家安全观,统筹发展和安全,把握数字化发展机遇,以全面提升数据安全产业供给能力为主线,以创新为动力、需求为导向、人才为根本,加强核心技术攻关,加快补齐短板,促进各领域深度应用,发展数据安全服务,构建繁荣产业生态,推动数据安全产业高质量发展,全面加强数据安全产业体系和能力,夯实数据安全治理基础,促进以数据为关键要素的数字经济健康快速发展。
数据安全治理总体视图
前期大量调研和数据安全治理能力评估实践,依据中国通信标准化协会大数据技术标准推进委员会BDC91-2022《数据安全治理能力评估方法》,提炼出一套行之有效的数据安全治理总体视图,用以描绘数据安全治理的建设蓝图和实践路线。
(一)数据安全治理目标
数据安全治理目标是组织数据安全治理工作开展的前进方向。其主要包括满足合规要求、管理数据安全风险、促进数据开发利用三方面。
满足合规要求。逐渐细化的数据安全监管要求,为组织数据安全合规工作的推进提出了更高的要求。及时发现合规差距,协助组织履行数据安全责任义务,为业务的稳定运行和规范化开展筑牢根基是数据安全治理工作的首要目标。
管理数据安全风险。不断产出的海量数据在动态实时流转过程中,面临着较大的风险暴露面,数据安全威胁及带来的影响与日俱增。叠加数据安全边界较为模糊、数据安全基础不够强韧等问题,组织数据安全风险的有效管理必然是数据安全治理的重要使命。