摘要隨著《中華人民共和國(guó)數(shù)據(jù)安全法》的深入實(shí)施和數(shù)據(jù)要素市場(chǎng)化深入發(fā)展，數(shù)據(jù)安全治理相關(guān)技術(shù)與實(shí)踐也將得到持續(xù)發(fā)展.但是目前為止業(yè)內(nèi)對(duì)于數(shù)據(jù)安全治理的相關(guān)實(shí)踐還未形成統(tǒng)一的認(rèn)識(shí)，相關(guān)國(guó)家及行業(yè)標(biāo)準(zhǔn)也未能推出，嘗試從數(shù)據(jù)安全治理實(shí)現(xiàn)目標(biāo)與方法等方面探索一種行之有效的數(shù)據(jù)安全治理實(shí)踐.提出了一套數(shù)據(jù)安全治理體系架構(gòu)，圍繞數(shù)據(jù)安全治理實(shí)踐機(jī)制的管理、技術(shù)、評(píng)估和運(yùn)營(yíng)等幾個(gè)方面要求逐一展開(kāi)進(jìn)行詳細(xì)說(shuō)明，并重點(diǎn)對(duì)數(shù)據(jù)安全治理實(shí)踐所涉及的關(guān)鍵措施及技術(shù)要求進(jìn)行了介紹.

　　關(guān)鍵詞數(shù)據(jù)安全;數(shù)據(jù)安全治理;數(shù)據(jù)濫用;數(shù)據(jù)安全風(fēng)險(xiǎn)控制;數(shù)據(jù)安全運(yùn)營(yíng)

　　業(yè)內(nèi)期待已久的《中華人民共和國(guó)數(shù)據(jù)安全法》[1](以下簡(jiǎn)稱(chēng)《數(shù)據(jù)安全法》)在2021年6月10日正式公布，數(shù)據(jù)產(chǎn)業(yè)發(fā)展迎來(lái)有法可依的法治發(fā)展時(shí)代.《數(shù)據(jù)安全法》中明確提出應(yīng)“建立健全數(shù)據(jù)安全治理體系，提高數(shù)據(jù)安全保障能力”，數(shù)據(jù)安全治理也已經(jīng)獲得業(yè)內(nèi)廣泛的關(guān)注.

　　數(shù)據(jù)安全論文范例： 基于區(qū)塊鏈的微電網(wǎng)數(shù)據(jù)安全共享方案

　　1業(yè)務(wù)背景

　　數(shù)據(jù)安全治理從治理范圍來(lái)看可以分為國(guó)家數(shù)據(jù)安全治理和組織數(shù)據(jù)安全治理.中國(guó)信息通信研究院發(fā)布的《數(shù)據(jù)安全治理實(shí)踐指南(1.0)》[2]針對(duì)數(shù)據(jù)安全治理概念提出了廣義和狹義2個(gè)定義，廣義是針對(duì)國(guó)家戰(zhàn)略層面落實(shí)數(shù)據(jù)開(kāi)發(fā)利用和數(shù)據(jù)安全統(tǒng)籌發(fā)展的策略，狹義則是基于數(shù)據(jù)生命周期建立涵蓋組織保障、制度規(guī)范、安全技術(shù)和人才建設(shè)等多重維度的策略.本文聚焦在組織層面的數(shù)據(jù)安全治理探索，即在某個(gè)組織內(nèi)部，或者多個(gè)有數(shù)據(jù)關(guān)聯(lián)的組織之間的數(shù)據(jù)安全治理工作.

　　一個(gè)典型的業(yè)務(wù)場(chǎng)景就是當(dāng)前數(shù)字政府建設(shè)過(guò)程中所力推的政務(wù)數(shù)據(jù)共享.如省級(jí)政務(wù)數(shù)據(jù)共享一般都是以省大數(shù)據(jù)局或省大數(shù)據(jù)中心作為省級(jí)政務(wù)數(shù)據(jù)共享平臺(tái)建設(shè)和運(yùn)營(yíng)方，來(lái)拉通省內(nèi)各政府部門(mén)及地市單位的數(shù)據(jù)共享，以及與國(guó)家數(shù)據(jù)平臺(tái)的數(shù)據(jù)共享等.在這個(gè)場(chǎng)景下，政務(wù)數(shù)據(jù)的治理業(yè)務(wù)范圍就涉及省級(jí)政務(wù)數(shù)據(jù)共享平臺(tái)，以及參與政務(wù)數(shù)據(jù)共享的各個(gè)政府部門(mén)及地市單位的數(shù)據(jù)業(yè)務(wù)系統(tǒng)，也包括省級(jí)政務(wù)數(shù)據(jù)共享平臺(tái)與國(guó)家平臺(tái)之間的數(shù)據(jù)共享接口的安全等.目前數(shù)據(jù)安全治理業(yè)內(nèi)并沒(méi)有達(dá)成一個(gè)統(tǒng)一共識(shí)，本文嘗試從數(shù)據(jù)安全治理實(shí)現(xiàn)目標(biāo)與方法等方面探索一種行之有效的數(shù)據(jù)安全治理實(shí)踐方案.

　　2數(shù)據(jù)安全治理現(xiàn)狀

　　2.1業(yè)內(nèi)數(shù)據(jù)安全治理研究及實(shí)踐情況

　　2019年發(fā)布的GB?T37988—2019《信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型》國(guó)家標(biāo)準(zhǔn)(簡(jiǎn)稱(chēng)“DSMM”)[3]對(duì)于推動(dòng)數(shù)據(jù)安全治理發(fā)展起到了非常積極的作用.DSMM標(biāo)準(zhǔn)提煉了一套數(shù)據(jù)安全能力成熟度評(píng)估體系，該體系涵蓋了數(shù)據(jù)安全能力、數(shù)據(jù)安全過(guò)程和能力成熟度等級(jí)的3個(gè)維度，和1～5共5個(gè)成熟度等級(jí)，以及覆蓋采集、傳輸、存儲(chǔ)、處理、交換、銷(xiāo)毀等數(shù)據(jù)生存周期的30個(gè)數(shù)據(jù)安全過(guò)程域等相關(guān)內(nèi)容.阿里巴巴等單位也針對(duì)性地發(fā)布了《數(shù)據(jù)安全能力建設(shè)實(shí)施指南V1.0(征求意見(jiàn)稿)》[4]用于指導(dǎo)各單位基于DSMM標(biāo)準(zhǔn)進(jìn)行數(shù)據(jù)安全相關(guān)能力的建設(shè).

　　《基于精準(zhǔn)治理的大數(shù)據(jù)安全治理體系創(chuàng)新》[5]提出了一種大數(shù)據(jù)安全治理運(yùn)行框架，該框架包括基于主體精準(zhǔn)化的多元共治體系、基于流程精準(zhǔn)化的科學(xué)預(yù)判體系、基于手段精準(zhǔn)化的分類(lèi)處置體系和基于保障精準(zhǔn)化的動(dòng)態(tài)保障體系等方面，涵蓋了組織、流程、手段和制度等大數(shù)據(jù)安全治理的主要方面.

　　《數(shù)據(jù)安全治理實(shí)踐指南(1.0)》提出了一套涵蓋規(guī)劃、建設(shè)、運(yùn)營(yíng)、評(píng)估等系統(tǒng)建設(shè)的各個(gè)過(guò)程，并基于數(shù)據(jù)全生命周期的數(shù)據(jù)安全治理實(shí)踐總體視圖，覆蓋了基礎(chǔ)安全、數(shù)據(jù)全生命周期安全和數(shù)據(jù)安全戰(zhàn)略的數(shù)據(jù)安全治理參考框架，同時(shí)指南還給出了目前業(yè)內(nèi)多家單位的典型實(shí)踐方案.另外《數(shù)據(jù)安全法》中對(duì)開(kāi)展數(shù)據(jù)安全保護(hù)及治理工作給出的具體要求包括：建立健全全流程數(shù)據(jù)安全管理制度，組織開(kāi)展數(shù)據(jù)安全教育培訓(xùn)，采取相應(yīng)的技術(shù)措施和其他必要措施，保障數(shù)據(jù)安全.

　　國(guó)家網(wǎng)信辦2019年發(fā)布的《數(shù)據(jù)安全管理辦法(征求意見(jiàn)稿)》[6]進(jìn)一步明確了建立數(shù)據(jù)安全管理責(zé)任和評(píng)價(jià)考核制度，制定數(shù)據(jù)安全計(jì)劃，實(shí)施數(shù)據(jù)安全技術(shù)防護(hù)，開(kāi)展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估，制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，及時(shí)處置安全事件，組織數(shù)據(jù)安全教育、培訓(xùn).

　　總之，當(dāng)前業(yè)內(nèi)對(duì)于數(shù)據(jù)安全治理應(yīng)該涵蓋組織機(jī)構(gòu)、管理制度、安全技術(shù)及專(zhuān)業(yè)人員幾個(gè)方面是具有統(tǒng)一認(rèn)識(shí)的.中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)發(fā)布的團(tuán)體標(biāo)準(zhǔn)T?ISC-0011—2021《數(shù)據(jù)安全治理能力評(píng)估方法》[7]給出了一套數(shù)據(jù)安全治理能力評(píng)估框架，框架涵蓋了數(shù)據(jù)安全戰(zhàn)略、數(shù)據(jù)生命周期安全和基礎(chǔ)安全3個(gè)層面的共18個(gè)數(shù)據(jù)安全能力項(xiàng)，并對(duì)于每個(gè)能力項(xiàng)又細(xì)分為基礎(chǔ)、優(yōu)秀和先進(jìn)3個(gè)等級(jí).Gartner曾提出了一個(gè)DCAP(以數(shù)據(jù)為中心的審核和保護(hù))的數(shù)據(jù)安全治理理念，基于該理念業(yè)內(nèi)提出過(guò)很多的以數(shù)據(jù)為中心的數(shù)據(jù)安全解決方案，這些解決方案的一個(gè)共性就是對(duì)數(shù)據(jù)進(jìn)行發(fā)現(xiàn)和標(biāo)識(shí)化(數(shù)據(jù)分類(lèi)分級(jí))，并基于這些數(shù)據(jù)標(biāo)識(shí)進(jìn)行相應(yīng)的安全策略控制.

　　2.2數(shù)據(jù)安全治理存在的主要問(wèn)題

　　業(yè)內(nèi)對(duì)數(shù)據(jù)安全治理過(guò)程及關(guān)鍵路徑基本都有一定共識(shí)，并進(jìn)行了一些相關(guān)實(shí)踐.但是目前數(shù)據(jù)安全治理研究及實(shí)踐存在一些典型問(wèn)題，主要有以下幾個(gè)方面.

　　2.2.1數(shù)據(jù)安全合規(guī)不等同于數(shù)據(jù)安全保障

　　安全行業(yè)一個(gè)重要業(yè)務(wù)目標(biāo)就是“合規(guī)”，即遵守國(guó)家各類(lèi)安全相關(guān)法律法規(guī)的要求，在數(shù)據(jù)安全領(lǐng)域也是如此.數(shù)據(jù)安全領(lǐng)域涉及的合規(guī)要求除了既要遵守網(wǎng)絡(luò)安全相關(guān)的法規(guī)，還要遵守?cái)?shù)據(jù)安全專(zhuān)有的法規(guī).典型的數(shù)據(jù)安全法規(guī)包括：2021年剛發(fā)布的《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》[8]，另外國(guó)家網(wǎng)信辦發(fā)布的《網(wǎng)絡(luò)安全審查辦法(修訂草案征求意見(jiàn)稿)》[9]也專(zhuān)門(mén)增補(bǔ)了數(shù)據(jù)安全相關(guān)要求，正式發(fā)布后也將是各關(guān)鍵信息基礎(chǔ)設(shè)施數(shù)據(jù)處理者所應(yīng)重點(diǎn)遵守的法規(guī)之一.

　　另外還有很多其他法規(guī)(如《中華人民共和國(guó)民法典》等)也涉及數(shù)據(jù)安全相關(guān)規(guī)定，同時(shí)有些部委和地方政府也會(huì)出臺(tái)面向行業(yè)或區(qū)域的數(shù)據(jù)安全相關(guān)法規(guī)，比如銀保監(jiān)會(huì)發(fā)布的《中國(guó)銀保監(jiān)會(huì)監(jiān)管數(shù)據(jù)安全管理辦法(試行)》[10]、工信部發(fā)布的《移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序個(gè)人信息保護(hù)管理暫行規(guī)定(征求意見(jiàn)稿)》[11]、天津市發(fā)布的《天津市數(shù)據(jù)安全管理辦法(暫行)》[12]等.

　　數(shù)據(jù)安全合規(guī)工作非常重要，合規(guī)也是從事數(shù)據(jù)處理事項(xiàng)的基本前提條件.但是數(shù)據(jù)安全合規(guī)不能等同于數(shù)據(jù)安全保障，即使符合各種相關(guān)的數(shù)據(jù)安全法規(guī)要求，不能認(rèn)為數(shù)據(jù)安全就萬(wàn)無(wú)一失.我們知道，數(shù)據(jù)安全防護(hù)本質(zhì)符合“木桶原理”，即數(shù)據(jù)安全防護(hù)水平取決于數(shù)據(jù)安全所涉及各個(gè)方面的安全防護(hù)水平的最低點(diǎn)，合規(guī)僅確保這個(gè)最低點(diǎn)能達(dá)到基本要求，也就是底線要求.另外數(shù)據(jù)安全合規(guī)檢查的粒度也直接決定了合規(guī)結(jié)果與安全效果是否一致，就算拿到了合規(guī)證明也很難確保系統(tǒng)達(dá)到數(shù)據(jù)安全防護(hù)能力要求.

　　比如數(shù)據(jù)安全法規(guī)要求數(shù)據(jù)采集必須經(jīng)過(guò)充分授權(quán)，但實(shí)際執(zhí)行過(guò)程是得到明示同意還是只單純進(jìn)行公示.數(shù)據(jù)處理者對(duì)數(shù)據(jù)必須進(jìn)行分類(lèi)分級(jí)，但是實(shí)際執(zhí)行分類(lèi)分級(jí)的粒度是否涵蓋了所有重要數(shù)據(jù)，是否能確保重要數(shù)據(jù)都得到有效防護(hù).這些情況在數(shù)據(jù)安全合規(guī)評(píng)估和檢測(cè)中未必能得到充分確認(rèn).同時(shí)數(shù)據(jù)安全合規(guī)評(píng)估和檢測(cè)也與執(zhí)行評(píng)估和檢測(cè)人員自身水平及采用的評(píng)估和檢測(cè)的工具能力也有很大關(guān)系.因此，數(shù)據(jù)安全合規(guī)只能作為數(shù)據(jù)安全防護(hù)的基礎(chǔ)和底線的要求，要做好數(shù)據(jù)安全保障還需要做更多工作.

　　2.2.2數(shù)據(jù)安全方案不等同于數(shù)據(jù)安全防護(hù)

　　數(shù)據(jù)安全治理還經(jīng)常存在重視數(shù)據(jù)安全設(shè)計(jì)方案和建設(shè)方案，但卻忽視數(shù)據(jù)安全防護(hù)效果的問(wèn)題.編制數(shù)據(jù)安全方案是幾乎所有數(shù)據(jù)安全建設(shè)項(xiàng)目所必需的要求，但是很多項(xiàng)目都存在重建設(shè)輕運(yùn)營(yíng)的問(wèn)題，即數(shù)據(jù)安全方案編制得比較全面，實(shí)際建設(shè)也按方案要求進(jìn)行了部署和應(yīng)用，但是數(shù)據(jù)安全治理效果是否能發(fā)揮出來(lái)、數(shù)據(jù)安全策略是否達(dá)到方案預(yù)期效果等數(shù)據(jù)安全運(yùn)營(yíng)階段所應(yīng)重點(diǎn)考察的指標(biāo)往往被忽視.

　　2.2.3數(shù)據(jù)安全運(yùn)維不等同于數(shù)據(jù)安全運(yùn)營(yíng)

　　數(shù)據(jù)安全治理實(shí)踐經(jīng)常是重視運(yùn)維，很多項(xiàng)目基本都會(huì)要求配置駐場(chǎng)運(yùn)維人員，但是對(duì)數(shù)據(jù)安全運(yùn)營(yíng)不是非常重視，甚至有些項(xiàng)目還經(jīng)常把運(yùn)維和運(yùn)營(yíng)2個(gè)概念混淆不清.數(shù)據(jù)安全運(yùn)營(yíng)的目的是把數(shù)據(jù)安全的價(jià)值挖掘出來(lái)，但是在平常業(yè)務(wù)中，數(shù)據(jù)安全運(yùn)營(yíng)與數(shù)據(jù)安全運(yùn)維、數(shù)據(jù)安全管理等既有部分重疊，又各有側(cè)重點(diǎn).數(shù)據(jù)安全運(yùn)維的核心目標(biāo)就是維護(hù)好數(shù)據(jù)安全相關(guān)軟硬件產(chǎn)品，確保數(shù)據(jù)安全軟硬件產(chǎn)品正常運(yùn)轉(zhuǎn)，相關(guān)故障、告警得到及時(shí)處置.通俗來(lái)講，數(shù)據(jù)安全運(yùn)維是確保產(chǎn)品用起來(lái)，數(shù)據(jù)安全運(yùn)營(yíng)則是確保產(chǎn)品用好.

　　以數(shù)據(jù)庫(kù)防火墻產(chǎn)品為例：數(shù)據(jù)安全運(yùn)維確保防火墻運(yùn)行狀態(tài)正常，沒(méi)有死機(jī)、沒(méi)有故障、沒(méi)有異常等;數(shù)據(jù)安全運(yùn)營(yíng)則是確保防火墻的安全防護(hù)規(guī)則始終有效，并及時(shí)剔除失效的策略.另外，數(shù)據(jù)安全運(yùn)維人員技能更多強(qiáng)調(diào)對(duì)數(shù)據(jù)安全軟硬件產(chǎn)品的使用及維護(hù)等方面，數(shù)據(jù)安全運(yùn)營(yíng)人員技能則更多是側(cè)重?cái)?shù)據(jù)安全防護(hù)與具體業(yè)務(wù)方面.

　　2.2.4數(shù)據(jù)安全技術(shù)不等同于數(shù)據(jù)安全治理

　　經(jīng)過(guò)多年研究發(fā)展，目前已經(jīng)有很多的數(shù)據(jù)安全相關(guān)技術(shù)逐步成熟，比如加密、脫敏、數(shù)字水印、數(shù)據(jù)庫(kù)審計(jì)等等，這些技術(shù)也在絕大部分?jǐn)?shù)據(jù)安全治理實(shí)踐中得以落實(shí).

　　3數(shù)據(jù)安全治理體系研究

　　3.1數(shù)據(jù)安全治理目標(biāo)

　　本文研究的數(shù)據(jù)安全治理目標(biāo)還是限定在1個(gè)或多個(gè)組織機(jī)構(gòu)內(nèi)，面向重要數(shù)據(jù)或敏感信息的數(shù)據(jù)安全管理與控制等相關(guān)措施.典型的業(yè)務(wù)場(chǎng)景就是數(shù)字政府中各政府部門(mén)的數(shù)據(jù)安全治理，既包括各政府部門(mén)內(nèi)部數(shù)據(jù)安全治理，也包括跨部門(mén)的數(shù)據(jù)共享層面的數(shù)據(jù)安全治理.數(shù)據(jù)安全治理主要目標(biāo)包括以下方面：

　　1)數(shù)據(jù)安全合規(guī)目標(biāo).必須滿足國(guó)內(nèi)各類(lèi)數(shù)據(jù)安全法規(guī)的要求，包括國(guó)家、地方及相關(guān)行業(yè)方面的法律和法規(guī).2)數(shù)據(jù)安全防護(hù)目標(biāo).必須確保數(shù)據(jù)安全治理所涵蓋的業(yè)務(wù)系統(tǒng)的重要數(shù)據(jù)運(yùn)行安全，包括數(shù)據(jù)可靠性要求、數(shù)據(jù)防泄露要求以及數(shù)據(jù)防濫用要求等.3)數(shù)據(jù)安全治理目標(biāo).提供涵蓋技術(shù)與管理等多層次的數(shù)據(jù)安全治理體系，確保數(shù)據(jù)安全與數(shù)據(jù)業(yè)務(wù)持續(xù)同步發(fā)展.

　　3.2數(shù)據(jù)安全治理體系架構(gòu)

　　本文提出一套集管理、技術(shù)、評(píng)估和運(yùn)營(yíng)為一體的數(shù)據(jù)安全治理體系架構(gòu)，從多個(gè)維度提出數(shù)據(jù)安全治理實(shí)踐機(jī)制.數(shù)據(jù)安全治理機(jī)制主要涵蓋4個(gè)維度的數(shù)據(jù)安全治理實(shí)踐機(jī)制：1)數(shù)據(jù)安全管理機(jī)制.主要包括數(shù)據(jù)安全治理所涉及的組織建設(shè)、人力保障和相應(yīng)的規(guī)范制度等.2)數(shù)據(jù)安全治理技術(shù).涉及數(shù)據(jù)安全治理所涉及的各個(gè)領(lǐng)域的技術(shù)及工具，主要包括數(shù)據(jù)發(fā)現(xiàn)、分類(lèi)分級(jí)、數(shù)據(jù)安全防護(hù)策略、安全風(fēng)險(xiǎn)控制及安全運(yùn)營(yíng)等方面.3)數(shù)據(jù)安全治理評(píng)估.具體涉及評(píng)估和評(píng)價(jià)，以及針對(duì)評(píng)估和評(píng)價(jià)后的結(jié)果進(jìn)行改進(jìn)與提升方面的內(nèi)容.

　　4數(shù)據(jù)安全治理實(shí)踐探索

　　4.1數(shù)據(jù)安全治理管理機(jī)制

　　數(shù)據(jù)安全治理離不開(kāi)組織和人力方面的投入，因此數(shù)據(jù)安全治理管理機(jī)制需要重點(diǎn)落實(shí)以下方面的工作.

　　4.1.1組織建設(shè)

　　需要制定數(shù)據(jù)安全治理組織機(jī)構(gòu)，明確數(shù)據(jù)安全治理所涉及業(yè)務(wù)范圍的相關(guān)組織團(tuán)隊(duì)在數(shù)據(jù)安全治理工作中的相關(guān)職責(zé)和具體要求，建議至少應(yīng)制定下面幾個(gè)數(shù)據(jù)安全治理組織角色：1)數(shù)據(jù)安全決策層.由整個(gè)組織高級(jí)管理人員或數(shù)據(jù)安全官等組成，負(fù)責(zé)整個(gè)組織的數(shù)據(jù)安全目標(biāo)與規(guī)劃、數(shù)據(jù)安全治理全過(guò)程的資源保障及重大事件協(xié)調(diào)與決策等職責(zé)，承擔(dān)整個(gè)組織數(shù)據(jù)安全最終責(zé)任.2)數(shù)據(jù)安全管理層.由整個(gè)組織內(nèi)各個(gè)具體業(yè)務(wù)部門(mén)管理人員等組成，負(fù)責(zé)具體業(yè)務(wù)部門(mén)數(shù)據(jù)安全措施與決策的執(zhí)行，包括但不限于制定數(shù)據(jù)安全管理規(guī)范、組織制定及落實(shí)數(shù)據(jù)安全技術(shù)方案、組織數(shù)據(jù)安全業(yè)務(wù)及技能培訓(xùn)等，承擔(dān)具體業(yè)務(wù)部門(mén)數(shù)據(jù)安全的責(zé)任.

　　3)數(shù)據(jù)安全執(zhí)行層.由各個(gè)具體業(yè)務(wù)部門(mén)承擔(dān)數(shù)據(jù)安全執(zhí)行的人員組成，主要負(fù)責(zé)具體數(shù)據(jù)安全治理相關(guān)的技術(shù)及管 理措施的落實(shí)，包括但不限于數(shù)據(jù)安全技術(shù)方案與數(shù)據(jù)管理管理制度執(zhí)行、數(shù)據(jù)安全產(chǎn)品部署及運(yùn)維、數(shù)據(jù)安全事件監(jiān)控及處置、數(shù)據(jù)安全漏洞排查及修復(fù)、數(shù)據(jù)安全事件溯源及分析等.4)數(shù)據(jù)安全監(jiān)督層.由組織內(nèi)與業(yè)務(wù)部門(mén)沒(méi)有隸屬關(guān)系的第三方人員組成，主要負(fù)責(zé)數(shù)據(jù)安全治理過(guò)程與結(jié)果的監(jiān)控和審計(jì)，確保數(shù)據(jù)安全治理組織執(zhí)行的效果.

　　4.1.2人力保障

　　數(shù)據(jù)安全治理除了需要相關(guān)的技術(shù)工具和產(chǎn)品，也離不開(kāi)相應(yīng)的人員保障，組織建設(shè)中明確的各個(gè)數(shù)據(jù)安全治理組織角色都需要明確具體人員保障，并制定相關(guān)人員的職責(zé)和考核要求，以及為了確保人員數(shù)據(jù)安全業(yè)務(wù)技能符合數(shù)據(jù)安全治理要求所應(yīng)該開(kāi)展的人員技能培訓(xùn)及職業(yè)發(fā)展規(guī)劃等.

　　4.1.3規(guī)范制度

　　數(shù)據(jù)安全治理涉及多方面的規(guī)范制度，主要包括：1)《數(shù)據(jù)安全管理制度》明確各個(gè)業(yè)務(wù)系統(tǒng)所涉及的數(shù)據(jù)安全管理范圍及責(zé)任人，以及相應(yīng)的組織保障機(jī)制等.2)《數(shù)據(jù)分類(lèi)分級(jí)規(guī)范》對(duì)組織內(nèi)的各類(lèi)業(yè)務(wù)數(shù)據(jù)，尤其是個(gè)人信息和重要數(shù)據(jù)，明確數(shù)據(jù)類(lèi)別和安全級(jí)別.

　　3)《數(shù)據(jù)安全管理規(guī)范》明確不同類(lèi)別、不同級(jí)別數(shù)據(jù)的安全管理措施，建立涵蓋數(shù)據(jù)采集、傳輸、存儲(chǔ)、處理、交換、銷(xiāo)毀等數(shù)據(jù)生存周期的安全管理規(guī)范.4)《數(shù)據(jù)安全運(yùn)營(yíng)管理規(guī)范》明確數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)控措施、數(shù)據(jù)安全風(fēng)險(xiǎn)響應(yīng)和應(yīng)急處置措施、數(shù)據(jù)安全漏洞排查、數(shù)據(jù)備份恢復(fù)等相應(yīng)措施要求.5)《數(shù)據(jù)安全培訓(xùn)管理制度》明確數(shù)據(jù)安全人員培訓(xùn)等相關(guān)要求.

　　4.3數(shù)據(jù)安全治理評(píng)估機(jī)制

　　數(shù)據(jù)安全治理評(píng)估機(jī)制是檢查數(shù)據(jù)安全治理效果的最有效措施，評(píng)估機(jī)制主要包括評(píng)估與評(píng)價(jià)措施和改進(jìn)與提升措施2個(gè)方面.數(shù)據(jù)安全評(píng)估措施主要包括：確定評(píng)估的目標(biāo)數(shù)據(jù)及所涉及的應(yīng)用系統(tǒng)和人員，梳理數(shù)據(jù)全生命周期過(guò)程及所涉及的數(shù)據(jù)安全技術(shù)與管理措施，分析各個(gè)數(shù)據(jù)流轉(zhuǎn)環(huán)節(jié)數(shù)據(jù)安全措施的有效性，輸出數(shù)據(jù)安全評(píng)估分析報(bào)告.數(shù)據(jù)安全評(píng)價(jià)措施在數(shù)據(jù)安全評(píng)估措施的基礎(chǔ)上對(duì)數(shù)據(jù)安全治理能力和效果進(jìn)行打分評(píng)價(jià).另外DSMM標(biāo)準(zhǔn)可以作為數(shù)據(jù)安全評(píng)估和評(píng)價(jià)措施的一個(gè)重要參考材料，該標(biāo)準(zhǔn)提煉出的30個(gè)安全過(guò)程域基本涵蓋了數(shù)據(jù)安全評(píng)估過(guò)程的各個(gè)環(huán)節(jié)，標(biāo)準(zhǔn)對(duì)數(shù)據(jù)安全能力成熟度模型的定級(jí)也可以作為評(píng)價(jià)結(jié)果的重要參考.

　　4.4數(shù)據(jù)安全治理長(zhǎng)效運(yùn)營(yíng)

　　數(shù)據(jù)安全治理與數(shù)據(jù)業(yè)務(wù)發(fā)展緊密相關(guān)，這也導(dǎo)致數(shù)據(jù)安全治理不是一個(gè)短期的一蹴而就的工作，而是需要長(zhǎng)期持續(xù)運(yùn)營(yíng).數(shù)據(jù)安全治理運(yùn)營(yíng)的核心工作包括應(yīng)急處置、隱患排查、預(yù)警通報(bào)和安全審計(jì)等幾個(gè)方面.

　　4.4.1應(yīng)急處置對(duì)于數(shù)據(jù)安全治理過(guò)程中發(fā)現(xiàn)的各類(lèi)數(shù)據(jù)安全事件和威脅隱患能夠及時(shí)進(jìn)行閉環(huán)處置，確保數(shù)據(jù)安全威脅得到解除，降低數(shù)據(jù)安全事件對(duì)數(shù)據(jù)業(yè)務(wù)的影響程度.數(shù)據(jù)安全應(yīng)急處置具體措施需要根據(jù)數(shù)據(jù)安全事件根本原因進(jìn)行針對(duì)性處理，常見(jiàn)措施包括修復(fù)數(shù)據(jù)業(yè)務(wù)系統(tǒng)安全漏洞、改進(jìn)數(shù)據(jù)處理業(yè)務(wù)流程、完善數(shù)據(jù)管理措施與制度等.

　　4.4.2隱患排查數(shù)據(jù)安全隱患排查工作需要定期或基于數(shù)據(jù)安全威脅情報(bào)實(shí)時(shí)開(kāi)展，主要是針對(duì)數(shù)據(jù)業(yè)務(wù)系統(tǒng)及數(shù)據(jù)處理流程中是否存在數(shù)據(jù)泄露、數(shù)據(jù)損毀或數(shù)據(jù)濫用等方面的漏洞進(jìn)行檢查，隱患排查還可以借助相關(guān)數(shù)據(jù)安全漏洞掃描等工具輔助進(jìn)行.

　　5結(jié)束語(yǔ)

　　近年來(lái)數(shù)據(jù)已經(jīng)成為國(guó)家重要的新型生產(chǎn)要素[13]，數(shù)據(jù)要素的數(shù)據(jù)安全治理還處于初期研究階段，同時(shí)針對(duì)人工智能等新型技術(shù)領(lǐng)域的數(shù)據(jù)安全治理研究也在持續(xù)深入[14]，一些相關(guān)的技術(shù)(如隱私安全計(jì)算、數(shù)據(jù)安全溯源等)還處于發(fā)展和成熟過(guò)程中，數(shù)據(jù)安全治理相關(guān)的行業(yè)及國(guó)家標(biāo)準(zhǔn)還沒(méi)有展開(kāi).相信隨著數(shù)據(jù)要素市場(chǎng)化的深入推進(jìn)以及國(guó)家對(duì)數(shù)據(jù)安全領(lǐng)域的重視持續(xù)加強(qiáng)，數(shù)據(jù)安全治理將在實(shí)踐中逐步成熟.

　　參考文獻(xiàn)：

　　[1]全國(guó)人民代表大會(huì)常務(wù)委員會(huì).中華人民共和國(guó)數(shù)據(jù)安全法[EB?OL].新華社，(2021-06-10)[2021-08-17].

　　[2]中國(guó)信息通信研究院云計(jì)算與大數(shù)據(jù)研究所.數(shù)據(jù)安全治理實(shí)踐指南(1.0)[R].北京：中國(guó)信息通信研究院，2021

　　[3]全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì).GB?T37988—2019信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型[M].北京：中國(guó)標(biāo)準(zhǔn)出版社，2019

　　[4]阿里巴巴，數(shù)夢(mèng)工場(chǎng)，安恒信息，等.數(shù)據(jù)安全能力建設(shè)實(shí)施指南V1.0(征求意見(jiàn)稿)[R].杭州：阿里巴巴數(shù)據(jù)安全研究院，2018

　　[5]王欣亮，任弢，劉飛.基于精準(zhǔn)治理的大數(shù)據(jù)安全治理體系創(chuàng)新[J].中國(guó)行政管理，2019(12)：121126

　　[6]國(guó)家互聯(lián)網(wǎng)信息辦公室.數(shù)據(jù)安全管理辦法(征求意見(jiàn)稿)[EB?OL].(2019-05-28)[2021-08-17].

　　作者：胡國(guó)華