历时四年,聚合行业安全专家智慧,凝炼行业安全最佳实践,数字时代:基于行业最佳实践的《主责数据保护与流动安全监管框架》(以下简称“框架”)于2023年6月17日第三届 数字安全大会上正式发布。
该框架是在中国信息协会信息安全专业委员会指导下,由PCSA安全研究院、联盟成员,联合行业用户和产业各方,深刻总结提炼十三五期间和十四五众多行业数据安全治理、规划、建设、运营的落地实践,共同提出一个基于行业最佳实践的《主责数据保护与流动安全监管框架》。
缘起
监管单位:数据二十条以及数据安全类政策标准等逐步发布
运营单位:激活数据落实监管,做到用数不违规、不违法
产业单位:产业聚焦日益明确,助力工具能力有序发展
数据作为生产要素,需要在明红线、守底线前提下共享共用,数字化组织需要进一步理清数据治理、安全治理和数据安全治理之间的目标区别和责任边界,聚焦数据安全治理,做到安全管理、安全技术、安全运营、安全监管的一体化落地,多方呼唤出台主责数据保护与流动安全监管框架。
《框架》历程
自2019年以来,四年历程持续积淀、持续研究,创新理念:
提出:数据治理、数据安全治理、安全治理协同理念
提出:主责、同责、守责数据保护理念
提出:全程可视、状态可察、权限可审、流动追溯、权益清晰、监审一体流动安全监管理念
提出:数据资源、资产、流动、交易四大阶段理念
提出:数据所有者、运营者、使用者、监管者、提供者等
提出:治理、监管、管理、技术、运营看管监控一体化理念
提出:数据安全治理事前督导、事中监管、事后审计理念
形成草案:数据流动强化安全监管标准草案
《框架》定位
宏观视角:明晰数据治理、安全治理和数据安全治理的主体责任和协同边界
中观架构:聚焦共性目标,数据逻辑分层,明确不同层级目标的关键场景及关键任务
微观要素:围绕关键场景和关键任务,实现主责数据保护和流动安全监管
《框架》价值
开放共享:安全知识、安全经验、安全智慧,开放共享
知识融合:清晰化数据安全治理体系,融合众多网络/数据安全政策、法律法规/标准体系/行业规范
《框架》计划
2019年8月-2023年6月,4年持续研究持续沉淀
2023年6月,框架出台,开展大范围专家意见征求
2023年6月17日,正式公开发布
后续计划,持续交流研讨
鸣谢
产业研究力量:中国信息协会信息安全专业委员会、PCSA安全研究院、PCSA安全能力者联盟成员单位(中孚信息研究院、踏实安全研究院、新华三安全研究院、美创安全研究院、昂楷安全研究院、FreeBuf等)、数世咨询、数说安全、CIO时代/安全学院、安全村
行业实践力量:能源、央企、金融、电子政务、地方大数据局等众多行业及安全专家
注:
本文约2万字,预计阅读时间 15 分钟。
本次框架图的研究和发布,内容多复杂程度高,重点围绕最佳实践的调研和落地,将大多数行业用户认知范围内重点关注的关键内容和共性经验做了提炼,通过框图和文字的形式进行展现,有所欠缺和不足之处,欢迎各行业和产业安全专家持续研讨、共同完善、交流合作,信息反馈请发送邮件至:孙研究员sunjiangbo@cnpcsa.org、徐研究员xuyuhui@cnpcsa.org。
声 明
本文及框图“数字时代:基于行业最佳实践的《主责数据保护与流动安全监管框架》”中涉及的内容,包括但不限于文本、图片、数据、表格、观点等各种形式,已取得相关著作权,严格遵循相关法律法规、标准规范,均为互联网可公开查询资料,总结凝聚了行业共性经验,意在开展深度交流、学习及研讨。
科技创新、学无止境,尊重原创、尊重创新,转载、摘编使用本文图片、文字或观点等的应注明来源。未经授权许可,任何法人单位及个人不得用于商业目的使用。违反上述声明者,可追究其相关法律责任。
一、研究背景及思考
中国信息协会信息安全专业委员会特聘专家刘涤西老师深入阐述了《框架》出台的背景、全貌以及对未来的思考。
(一)为什么要研究《框架》
随着数据资产化、要素化进程推进以及更大范围的流通交易,数据的价值观念和权益保护意识快速提升。在数据充分流通、汇聚、开发和利用的过程中,解决无序滥用的矛盾,兑现数据要素价值,是必要面对和解决的问题,同时达到了五个方面的共识。
1、数据安全同步建设的共识
“同步规划、同步建设、同步运行”既是等保合规驱动的基线要求,也是避免数据安全事件代价驱动的基本共识。当前,数据安全的认知与数字中国高质量发展要求不匹配。
2、数据安全责任主体的共识
数据参与者日益复杂,公共数据运营平台安全责任矛盾突出。国家数据局的成立开启共享、开放和安全一体化的职能定位,未来主体责任的落实可以期待。
3、数据安全效果验证的共识
现阶段,多以网络与信息系统安全方案替代数据安全解决方案,缺乏对数据自身特性和价值安全需求的应对措施。实施效果有待行业实践和试点示范工程的验证。
4、对数据安全的再认识
以数据要素有主、有价、有责为前提,以保护数据自身价值和所有者权益为目的,针对数据特性(无形性、易复制性、衍生性和无损性等)所采取的一系列保护措施。
5、对数据安全价值的再认识
旨在使主责方达到如下可持续状态:
避免直接或间接的风险与损失(代价驱动)
符合国家法律法规的基本要求(合规驱动)
使其合法权力及收益受到保护(利益驱动)
(二)框架的视角
研究团队提出《框架》的保护视角、总体架构、业务场景和版本发布重点。
1、“数据要素价值流通安全”的保护视角
2、五层七模块的总体架构
五层:基础层、数源层、汇聚层、流通层和场景支撑层;
七模块:数据质量治理、资源效益治理、资产权益治理、实体安全治理、运营安全治理、价值安全治理,以及可信价值链。
3、三横三纵的数据安全业务场景
三横的数据流通管控场景:组织内循环的自控机制、行业自循环的自律机制和社会大循环的监管机制;
三纵的资源治理场景:数据治理、安全治理和数据安全治理。
4、版本发布重点
本次发布的《框架》主要针对“组织内循环的自控机制”和“数据安全治理”方面的具体内容。
(三)对现阶段工作和未来发展趋势的思考
结合即将发布的《框架》,重点讲解了主要层级、模块间的关联关系,并对现阶段重点工作进行分析,对数据安全未来发展趋势进行了阐述,做出如下判断:
1、权益流转替代数据流转的趋势判断
称为“权动数不动”,有利于降低保护成本,建议关注公共数据空间建设及社会化授权运营。
2、合法自证替代违规取证的趋势判断
称为“守法便利”,有利于降低监管成本,建议关注数据产权相关法律出台及社会化公信服务。
3、硅化创新替代人工智能的趋势判断
新技术安全是未来数据安全的长期课题,建议关注算法安全、数字伦理、工控安全及国家智慧监管体系建设。
二、研究过程和解读
PCSA安全能力者联盟首席专家郭峰先生对本次发布《框架》的研究过程进行深入剖析,详细解读了《框架》的核心思想内容。
(一)研究过程
1、四年历程持续研究
近年来,研究团队成员参与数十个行业、用户组织的数据安全顶层规划设计、安全建设、安全运营,深刻体会数据安全工作持续演进,在帮助众多用户组织不断满足监管要求、顺应产业新变化的过程中积累大量案例经验。自2019年8月开始,研究团队成员开始持续围绕数据安全领域开展专题研究,涵盖安全技术、安全管理、安全运营、安全监管等多个方面,通过四年多的积淀终于形成本次发布的数字时代:基于行业最佳实践的《主责数据保护与流动安全监管框架》。
2019年:承担重大课题,调研多方行业、产业,开展试点研究,涉及多个领域,数据安全作为其中重要部分。
2020年:发布年度红蓝攻防全景推演系列套图,深度研究主体责任数据安全保护要素。
2021年:发布关键信息基础设施 三化六防挂图作战总体架构图,深度研究数据流动安全监管,并完成试点。
2022年:发布《基于行业最佳实践的安全保护框架》,深度研究数据安全治理、监管、管理、技术、运营关键点。
2023年:发布基于行业最佳实践的《主责数据保护与流动安全监管框架》,深度研究主责数据保护与流动安全监管。
2、多方力量共同研究
本次研究是在中国信息协会信息安全专业委员会指导下,由PCSA安全研究院、联盟成员,联合行业用户和产业各方,共同开展。
产业研究力量包括:中国信息协会信息安全专业委员会、PCSA安全研究院、PCSA安全能力者联盟成员单位(中孚信息研究院、踏实安全研究院、新华三安全研究院、美创安全研究院、昂楷安全研究院、FreeBuf等)、数世咨询、数说安全、CIO时代/安全学院、安全村。
行业实践力量包括:能源、央企、金融、电子政务、地方大数据局以及其他机构等。
3、多方征求意见,持续迭代优化完善
本次意见征求工作以数十个行业、用户组织调研为基础,为期10天左右,截至统计时间,共计对能源、国防科技、央企、金融、交通、电子政务、运营商、医疗等上百家单位的数百位专家进行意见征求,反馈率达70%以上。其中意见/建议、寄语分别约占30%、40%。经进一步研讨,约30%的有效建议予以采纳。
此外,来自电子政务、国防科技、交通、金融、运营商、能源、医疗等8个行业的众多安全专家对本次发布的《框架》均惠赠寄语,给予了高度评价和厚望。
(二)核心思想解读
1、《框架》的目标定位
法律法规密集出台,数据二十条重磅发布,国家安全监管逐项落实,各行业陆续开展数据治理及安全治理工作,大量的行业用户急需找到一个可参考可落地的数据安全框架。
本次发布的数字时代:基于行业最佳实践的《主责数据保护与流动安全监管框架》聚焦数据安全本身,面向各行业用户组织,从“数据-数据安全-安全”全局视角出发,总结凝炼数据治理和安全治理的共性问题、共性顽疾,形成以主责数据为核心的数据安全治理共性经验。围绕主责数据保护与流动安全监管主场景开展数据安全保护,理清数据治理、安全治理和数据安全治理之间的目标区别和责任边界,实现数据安全管理、技术、运营、监管一体化,保障数据在主责明确、流动监管过程中的安全使用,不断激活数据价值,持续督导治理过程中的分类分级管理,形成上层监管与从业自律、法治与从业自治协同、上下统筹的数据安全治理结构。
2、《框架》聚焦的关注点
1)平衡数据开放与安全管控,做到用数不违规、不违法
数据安全已然立法,每个数字化组织都需要思考如何用数不违规、不违法。
宏观层面,做好数字化转型是每个组织的使命,在持续开展业务经营、生产和管理的过程中,产生大量的自有数据,即“主责数据”,来自于组织内部其他组织流转过来的数据,使用者需要具有“同等责任”,做好“守责”工作。
2)三权分立,划清数据管理、安全管理、监管审计责权利边界
做好主责数据的保护,首先要明确数据管理和安全管理的责权利边界。
通过“三环论”构建的三权分立原则,明确数据安全基础分工和边界,推动责权利边界从模糊走向清晰。
首先明确定义和三权匹配的三员,即:系统管理员、安全管理员和安全审计员。
数据的系统管理员,一般是指业务部门和数据部门。
数据的安全管理员,一般是指主管安全的部门。
数据的安全审计员,一般是指数据安全的监管部门,或者称为数据安全治理委员会。大部分的数字化组织缺少监管部门。
其次定义实现数据安全主责明确的三个层次闭环。
第一层次是业务闭环,充分定义系统管理员的权责,落实数据相关系统管理权限划分、人员授权、访问授权、API调用授权等工作。这是保障业务及数据安全的基础。
第二层次是安全闭环,充分定义安全管理员的权责,制定安全策略、基线,配备数据流动过程中需要的安全设备、手段,形成监控、响应、预测和防御的闭环。这是保障数据安全一体化运营的基础。
第三层次是监管闭环,充分定义安全审计员的权责,落实数据安全管理过程中的角色、流程、数据流动前、流动中、流动后的一体化审计。这是保障数字化组织做到数据安全充分合规的基础。
3)围绕静态数据和动态数据,实现流动安全监管
随着信息化、数字化进程的不断演进,业务系统不断建设,逐步积淀出大量结构化数据、半结构化数据和非结构化数据,它们广泛存在于终端、数据中心、存储设备和数据平台上,同时配备的各类数据安全防护能力也在不断完善。但在具体落实主责数据安全保护的指导、监督、检查,做好主责数据安全保卫、保障、保护的执行过程中,仍会发现数据安全工作存在诸多问题,其根本原因是对数据当前的状态定位不清,现有数据安全防护手段缺乏针对性。
从数据状态上来看,通常分为两大类数据:
第一类为静态数据,即存储状态中的数据,往往会存在盲数据、僵尸数据和死数据的问题,且大多底账不清、权属不清、权责不清,无法清晰定义哪些是数据资源、哪些是数据资产、谁在使用、谁在访问,存在数据泄露的风险。
另一类为动态数据,即流动状态中的数据,存在流动前、流动中和流动后价值属性的区别,无论是数据流动前未取得授权;还是流动中的过程看不见、管不到、非法使用、滥用发现不了;还是流动后数据过程状态不可审查、数据权益不可控,都存在很大的数据泄露和滥用风险。
对于数据所有者来说,静态数据能否做到清晰可见,动态数据能否做到流动管控,已逐渐成为数据安全落地成功的关键因素。
4)数据全生命周期过程涉及诸多角色
数据角色决定数据流动监管的权限需求。通过对数据流动过程中不同角色的权限与职能进行解析,定义数据流动角色,实现不同数据角色对数据流动安全监管过程中的不同权限与职能的落地提供有效支撑。
数据所有者:掌握数据所有权的数据产权所有方;
数据使用者:对数据拥有使用和交换需求的数据需求方;
数据提供者:对数据进行获取、处理与提供的数据提供方;
数据运营者:对数据运营过程的计划、组织、实施和控制,是与数据生产和服务创造密切相关的各项管理工作的承担方;
数据安全监管者:在数据不同价值阶段,制定数据流动安全策略.对不同数据角色的操作等进行检查审核。
这些数据角色的充分定义和明晰是保障数据内部流动跨部门、跨应用、跨层级,外部流通跨行业、跨监管单位或跨境等机制制定的基础。
5)数据在组织内部、跨组织、行业、区域及跨境之间的流动
数据流动主要涉及不同行业领域间的跨行业流动;国家、省、市、县(区)等各级部门间的跨层级流动;同级部门/组织间的跨区域流动;行业内部多个组织间或组织内部多个部门间的跨部门流动;组织内部多个应用系统间的跨应用流动;以及组织内部生产环境和测试环境之间的跨环境流动。
3、《框架》的核心思想:“1-3-6-N”架构
数字时代:基于行业最佳实践的《主责数据保护与流动安全监管框架》的核心思想可总结为“1-3-6-N”架构。
“1”个主要场景
即主责数据保护与流动安全监管场景。要求责任主体,明红线、守底线,做到事前、事中和事后监管。
“3”个方面
即数据治理、数据安全治理、安全治理。以数据安全治理为主体,协同好数据治理和安全治理,明晰边界与责权。
“6”个层次
即治理层、监管层、管理层、运营层、技术层和数据层。统筹六个层次目标的关键场景和关键任务,共同构建数据安全治理体系。
“N”个关联角色
即数据安全治理过程中涉及的多个角色。包括:数据所有者、数据监管者、数据提供者、数据使用者、数据运营者、安全审计员、安全管理员、系统管理员等。
4、《框架》“1-3-6-N”架构解析
1)“1”个主场景:主责数据保护与流动安全监管场景
主责数据保护与流动安全监管主场景综合考虑数据治理、安全治理和数据安全治理的目标区别和职责边界,聚焦数据安全治理领域,清晰定义数据安全相关角色和流动场景,重点解决静态数据保护、动态数据流动监管的问题,做到明红线、守底线,实现事前、事中、事后监管。
主体责任明红线、守底线
数据安全法、数据二十条都明确数字化组织在数据处理过程中对数据安全负有主体责任,需要在明确红线、守住安全底线的前提下,进行数据开发利用、开放共享。
事前事中事后监管
做好数据流动事前督导、事中监管、事后审计,帮助数字化组织确认清楚在组织和组织内部数据流动过程中的主体责任,解决数据治理、安全治理的责权不清、动态监管等影响数据合法有序使用的关键问题。
2)“3”个方面:数据治理、数据安全治理、安全治理
数据治理、安全治理和数据安全治理三个方面目标不同、边界权责交叉,本框架主要聚焦数据安全治理,需要协同好数据治理和安全治理,明晰边界与责权。
数据治理
参考数据治理自身特点以及国内最新发布的数据二十条相关内容,发现,数据治理需要围绕数源可信、权属清晰、激活数据的目标,开展数据治理基础建设、数据治理能力建设、数据治理运营建设以及数据价值赋能。
由于数据治理不是本次讨论的重点,有关该部分的详细内容可查阅国际、国内相关数据管理、数据治理的流程、过程、标准和内容。
安全治理
安全治理围绕合规闭环、实战验证、风险可控的目标,开展合规基础保护建设、实战强化保护建设、指挥协同保护建设,构建网络安全管理体系、安全技术体系、安全运营体系,实现看管监控一体化、平战结合一体化。
该部分内容主要来源于PCSA安全能力者联盟2022年发布的《基于行业最佳实践的安全保护框架》,更为详细的解读可查阅2022年研究成果《基于行业最佳实践的安全保护框架》。
数据安全治理
数据安全治理围绕主责明确、流动监管、共享共用的目标,协同数据治理和安全治理,在做好数源可信、权属清晰、激活数据、合规闭环、实战验证、风险可控的前提下,聚焦主责数据保护和流动安全监管主场景,充分定义数据安全相关角色和流动场景,通过自上而下的从数据安全治理层、数据安全监管层、数据安全管理层、数据安全运营层、数据安全技术层、数据层等六个层次,逐层压实数字化组织在数据共享共用过程中的主体安全责任,提升数据的可用、可信、可流通、可追溯水平,加强内部安全自律意识,帮助数字化组织走好数据安全的“最后一公里”。
三者关系分析
数据治理和安全治理中都有数据安全的部分,伴随着数据由资源向资产的演进,一方面数据治理要求实现数据的开放共享使用,另一方面安全治理又要求严格管控守好安全底线,那么如何在安全管控的情况下做到数据共享利用、用数不违法的平衡,这就需要数据安全治理来协同好数据治理和安全治理,明晰边界与责权。
数据治理将持续为数据安全治理提供可信的数据底账、动态完整的分类分级结果,以支撑数据安全治理工作的开展;而安全治理将根据不同数据等级为数据安全治理提供完整、持续的数据安全基线。同时,在运营层面,数据安全治理的运营还需要协同数据治理运营和安全治理运营,共同实现看管监控一体化的运营目标,持续双向反馈各自运营成果。至此,数据安全治理才从真正意义上打通了数据治理、安全治理各自的鸿沟,在数字化组织全局视角上达成拉齐数据风险管控和价值激活的双重目的。
3)“6”个层次
聚焦在数据安全治理领域,研究现有落地实践,将数据安全治理划分为数据安全治理层、数据安全监管层、数据安全管理层、数据安全运营层、数据安全技术层和数据层,不同层次的数据安全场景和重点任务存在差异,其关注点也存在区别。
数据安全治理层
数据安全治理层从内部刚需和外部监管出发,围绕数据资源、数据资产、数据流通和数据交易的不同阶段,根据本行业、本组织特点开展战略制定、现状评估、蓝图规划和实施路径规划等工作,主要解决数据治理和安全治理目标不统一的共性问题,与数据治理和安全治理的目标达成统一。
战略制定:根据数字化组织发展所处的不同阶段、不同需求,制定数据安全总体战略、数据安全总体目标和数据安全总体策略。
现状评估:根据数字化组织发展所处的不同阶段、不同需求,开展数据现状评估、安全现状评估、数据安全能力现状评估,为数据安全治理体系的规划设计提供基础数据支撑。
蓝图规划:根据现状评估的结果,开展差距分析、需求分析及规划设计工作,明确规划目标,并提供充足的保障机制。
实施路径:依托蓝图规划,制定详细的实施演进路线,进一步明确行动计划和关键任务。
数据安全监管层
数据安全监管层主要解决事前督导、事中监管、事后审计的监督落实问题,实现全程可视、状态可察、权限可审、流动追溯、权益清晰、监审一体的目标。
事前督导:对数据底账梳理、数据分级分类、数据权属定义、数据授权规则制定、数据角色定义、数据安全基线制定、数据交易、数据出境专项等工作,进行事前监督、指导。
事中监管:对数据底账状态、数据归类定级、数据权属主体、数据操作行为、数据角色授权、数据流动全程、数据交易专项、数据出境专项等工作,进行事中监督、管理。
事后审计:对数据底账变更、数据分级分类、数据权属变更、数据违规操作、数据授权变更、数据流动追溯、数据交易专项、数据出境专项等工作,进行事后审计。
数据安全管理层
数据安全管理层主要围绕数据安全战略、数据安全目标和数据安全策略,通过机制定义、组织定义、职责定义等方面为数据安全治理提供充足的机制保障。
定义机制:围绕数据安全治理层定义的数据安全治理目标,做好管理定义,建立数据安全管理机制,包括管理办法、规范细则、流程表单以及可考核的关键性指标。
定义组织:配套数据安全管理机制,建立数据安全管理组织架构,明确岗位设置、角色定义和人员配备。
定义职责:基于数据安全管理机制、数据安全管理组织架构,清晰定义责任边界、权利义务、激励机制。
数据安全运营层
数据安全运营层通过数据安全监测、分层响应、协同研判、联合处置等关键任务的开展,解决多方协同的问题,实现数据安全运营的看管监控一体化。其与网络安全运营同样遵循“检测-响应-预测-防御”的Gartner自适应安全架构,区别在于数据安全运营是在网络安全运营的基础上,针对主责数据本身,实现细粒度、针对性的安全运营。
数据安全监测:聚焦数据本身,通过与数据防泄露、数据访问控制、安全登录、数据操作、数据流动、API接口等能力的对接,实现细化到数据库、表、字段的专而深的细粒度安全监测。
分层响应:针对数据安全事件,建立分层响应机制,落实数据管理员、系统管理员、安全管理员、IT基础设施管理员等不同角色之间的分层响应。
协同研判:协同业务部门、数据部门和安全部门等多方人员综合分析研判数据安全事件,深度分析数据服务停止、数据篡改,误操作/恶意行为、数据泄露、越权访问、数据勒索、数据违规外发等的根本原因,做好数据风险预测、研判、分析、预警和通报。
联合处置:基于协同研判分析的结果,联合业务部门、数据部门、安全部门等开展安全策略核查、数据违规阻断、恢复服务/系统/数据、冗余备份安全加固、最小授权等联合处置工作,应对暴露面收敛、攻击发现与阻断、日常攻防演练、威胁情报处置等安全应用场景。
数据安全技术层
数据安全技术层主要建立数据安全工具能力资源池,为数据监管和运营提供可扩展的能力使用及调用。
数据全生命周期的基础合规:在满足个人信息保护、等级保护、关基保护、数据安全法、密码保护、F级保护、商密保护、行业规范等法律法规、标准规范的基础上,做到从数据采集、数据传输、数据存储、数据处理、数据加工、数据共享、数据交换、数据交易、数据销毁的全生命周期合规。
数据安全工具能力资源池:围绕数据全生命周期建立分类分级、数据标签、密级标识、隔离交换、加密传输、策略矩阵、存储加密、访问控制、隐私保护、数据授权、数据脱敏、零信任、行为授权、操作审计、打刻审计、数据水印、数据防泄漏、介质管控、备份恢复、数据清除、剩余信息保护等数据安全能力资源池。
数据层
数据层通过对各类数据的标识证明,使数据成为独立管理对象,其属性可支撑数据共享、交换及交易流通等场景。
经过多年的信息化、数字化建设,已经积累了大量的数据。从技术上来看,可以分为结构化数据、半结构化数据、非结构化数据;从敏感程度上来看,可以分为SM数据、商密数据、个人隐私数据等;从责任归属上来看,可以分为个人数据、企业数据、公共数据等。
标识证明通过数源标识、数据标识、权益标识,标记数据全生命周期各过程,形成数据资源目录,使数据所有者明晰其主责数据,同时通过对具体的数据实体登记形成产权证明、权益证明和交易证明,形成实体数据底账,使数据相关方明确各自的数据权益,最终数据资源目录和实体数据底账通过流通标识比对,实现对数据共享、交换及交易流通等场景应用支撑。
4)“N”个关联角色
是指参与到数据安全治理全过程的各个组织定义的角色。包括:数据所有者、数据监管者、数据提供者、数据使用者、数据运营者、安全审计员、安全管理员、系统管理员等。
数据所有者:即数据产权所有方;
数据使用者:即数据需求方;
数据提供者:即对数据进行获取与处理数据供给方;
数据运营者:即对数据运营过程的计划、组织、实施和控制各项管理工作的承担方;
数据监管者:即在数据不同价值阶段,制定数据流动安全策略,对不同数据角色的操作等进行稽核审查方;
系统管理员:即系统的所有者,负责系统的管理和授权;
安全管理员:即网络安全管理者;
安全审计员:即网络安全和数据安全的审计者。
其他角色:即涉及到数据及网络安全支撑的相关人员,如基础设施保障人员等。
三、专家建议及寄语精选
(一)专家意见及建议精选
通过对“(征求意见稿)数字时代:基于行业最佳实践的主责数据保护与流动安全监管框架”的学习,我个人感觉“基于行业最佳实践的主责数据保护与流动安全监管框架”具有实用性和先进性,为了框架更好地落地,建议统筹考虑数据安全保护强度与数据流通效率者两项关键指标,并在这两个指标上寻找一个平衡点。根据数据信息的重要程度,建议针对不同级别数据对象,在框架中定义不同保护、监管级别。
——电子政务行业 某专家老师
1.数据安全不同行业存在较大差异,如通过实践能总结出些细化行业框架将会更好地帮助企业数据安全工作落地。
2.随着企业国际业务增多,数据出境安全相关问题日益突出,如能提供框架下的专项应对方案,将更好的帮助企业开展国际化的业务。
——能源行业 某专家老师
此框架是帮助企业开展数据安全保护的一项重要举措,从整体到分层提供了可落地的实施策略,在以下几点建议提供更多指引。
1.人工智能、大模型等新兴技术的涌现,给数据保护带来了新的挑战。需要考虑新技术和业务模式与数据保护法规的合规性和安全性。
2.对于全球化的组织来说,跨境数据流动是不可避免的。然而,不同国家和地区对数据保护和隐私的要求存在差异,可能导致合规性挑战。全球数据流动的安全监管需要统筹考虑。
——金融行业 某专家老师
1.数据安全和传统网络安全不同,主体具有流动性,且与业务耦合度较高。因此在提到总体框架的“可落地”时,建议同时关注“数据安全治理”与现有的“IT治理”、“业务治理”的有机融合,从战略目标、管理流程、技术框架等层面,考虑业务连续性、业务效率和适配成本等各项指标。例如,在技术层面考虑到业务系统的逻辑架构,需要结合上述指标考虑低侵入式甚至零侵入式的安全防护,包括数据应用运行时打桩、北向兼容的数据接口。
2.这个框架是一个整体架构,实际落地还有一定距离。另外,数据安全治理更多的应该融入到数据治理过程中,这项工作更容易开展,效率高更便捷。
——能源行业 某专家老师
对智能化引入的新型数据安全问题,如人工智能生成数据被污染而引入的伦理安全问题的监管,可纳入专项工作。
——金融行业 某专家老师
管理职责划分:
1. 数据安全,网络安全管理的职责如何划分。目前组织通常没有单独的数据安全岗位,网络安全岗位同时兼管数据安全,是否合适?
2.数据安全 与保密管理的职责如何划分。 数据安全也包含涉密数据安全的管理,组织通常现有保密部门,管理职责如何划分?
云计算:
1. 云计算环境下,数据运营者通常不是组织内部人员,而是提供云服务的厂商。按照目前的框架,数据所有者的安全治理框架如何管理这一类数据运营者(外部厂商身份)。
——能源行业 某专家老师
1.加强与上级监管的合作交流,比如工信部、公安等;
2.扩大产业界的参与,同更多厂商、客户、产业等多交流;
3.建议将人工智能与数据安全深入结合,做好数据安全风险预警管控。
——央企行业 某专家老师
1.是否可增加主责数据的定义及与主数据的区别?
2.标题流动安全是否改为数据流动安全?
3.内容很多、很全面。但操作流程不太清晰,可操作性、体系完整性有待加强。
——能源行业 某专家老师
1.建议在国内数据安全治理研究一览中补充《关于构建更加完善的要素市场化配置体制机制的意见》、《工业数据分类分级指南》条目。
2.建议完善数据跨境流通安全部分的管理和防护机制。
——央企行业 某专家老师
增加数据交换或者交易的电子存证内容,不仅数据是重要的,数据交换的记录也是很重要的,也应该是不可篡改的。
——电子政务行业 某专家老师
1.中间技术层里面:数据标签应该在数据分级分类前面,没有标签,就没有属性,没有属性就无法根据数据属性分类;
2.左侧数据治理部分的数据治理基础:觉得缺少统一数据标准,没有统一的数据标准,原始业务系统本来就存在数据孤岛,没有统一的数据标准,不便于进行数据治理;
3.中间治理层:战略制定部分缺少数据治理的内容,只有数据安全的维度;
4.对于结构的感觉:数据安全治理应该包含在数据治理的环节中,数据安全应该是贯穿在数据治理的环节中,感觉它数据治理放在数据安全治理的左侧这种结构不太合适。
——医疗行业 某专家老师
行业用户数据安全落地过程中的难点,需要提前说明并有效避免。所发布框架,多维度、分层次,从多个角度对数据安全治理工作进行了规划设计,对行业数据安全保障工作规划具有全面的指导意义。同时,从落地角度看,行业数据安全体系建设中也存在诸多难点,需要在实践过程中多加注意。其中,数据安全与业务融合的问题是需要重点关注的问题。具体表现如:
1.数据分类分级工作需要结合行业业务视角和安全视角综合推进;
2.以“数据”为核心的数据业务流和数据流成为数据安全体系规划的重要考虑方面;
3.数据安全打破传统的网络安全区域划分,数据安全能力如何更好融合关键环节需要持续创新推进。
——通信行业 某专家老师
“一体化安全”成为当下网络安全体系建设的重要思路。实践角度看,以平台为核心,“云网端数用”的一体化安全落地,成为重要方式。针对数据安全而言,还可以强调:“全要素资产精细盘点”采用主动探测,被动识别相结合的方式发现数据资产,账号资产,应用资产,网络资产,利用AI技术对数据进行自动的分类分级,并对数据的流转进行自动梳理和盘点,实现资产数据血缘可视。“全周期风险精准监控”以基于AI的UEBA和关联规则为核心,针对各类型的数据安全风险,提供高效快速低误报的全域风险监控,以安全风险和风险资产等多角度呈现全生命周期的数据安全风险,帮助客户快速准确的溯源分析,对数据风险全盘可控。”全链路设备统一使能”统一纳管全套数据安全设备,充分融合使能数据安全设备。以分类分级的数据为核心拉通各种数据安全设备,广泛兼容采集数据安全设备审计日志,进而实现统一设备运维,设备能力呈现,设备能力驱动,完成风险及时阻隔。
——通信行业 某专家老师
1.建议明确给出”主责数据“定义及界定方法,目前看不少数据权责不清很难界定。
2.“N”个关联角色中:安全审计员、安全管理员、系统管理员与前面有关数据的角色不是并列关系,个人建议数据所有者、数据监管者、数据提供者、数据使用者、数据运营者应该分设三员。
3.三个方面目前是数据治理、安全治理、数据安全治理似乎没有拉开几方面的层次和区分,为防止混淆建议修改为: 要素梳理安全保障、数据治理。
4.该框架的最佳实践建议写得更实一些,直接是某部委、某金融机构落地方案概述。
——金融行业 某专家老师
1.本框架标题是监管框架,而框架定位又是面向数安产业、行业用户和安全从业者的拱形框架,且框架的用途、目标和内容又是站在治理层面指导数据安全体系落地或者从数据治理/安全治理/数据安全治理全局以及统筹的维度上找到落地路径,与监管框架这个名称有些不匹配,建议监管框架改为治理框架或者参考框架。
2.治理、监管、管理、运营、技术、数据六个层次之间的逻辑关系不够明确,建议按照框架图的层次自上而下或者自下而上来进行阐述衔接关系和逻辑,有助于框架的解读和落地。
3.本框架明确了核心的1个“主要场景",“3”个方面,“6”个层次和”N“个关联角色,但是在数据安全治理体系中6个层次与N个关联角色之间的关系比较含糊,N个关联角色与“1”、“3”、“6”不在一个维度;另外,N个关联角色主要体现在“管理层:组织机制”中,不够全局,建议弱化N个关联角色,或者在框架图将N个角色进行强化。
——能源行业 某专家老师
1.系统层、IT基础设施层,有些似乎与其他不在一个维度,或者说不全是实体对象,比如“业务连续性”。
2.标识证明最下方的右侧的,我感觉SM、商秘、个人隐私是一个维度,核心、重要、一般数据是另一个维度,不应并列。
3.是否应该增加价值标识或价值证明(现在有在做数据资产价值评估的),还有就是技术层里的密级标识,是还是也应该放到这一层里。
4.组织机制定义职责中,是不是应该增加一项“技能要求”。
5.正中间的那根虚线,似乎没什么必要。
6.看了这张图以后,我感觉主责数据保护比较明显,但似乎流动安全的味道不足。我想了一下,可能是因为这张图更多地还是站在数据拥有者的角度上去表述的,或者说只考虑了在组织内部的流动和使用,而没有考虑跨部门、跨行业、跨平台的流动,所以我想能不能在管理层中,增加一个“定义用户”,在运营层里数据安全监测里,把数据流动单独拉出来,突出一下。这一点儿想得不太全面,只是一种感觉。
——央企行业 某专家老师
一大两小三个图是并列关系,不能很好表述三者关系,建议可考虑将两个小图放在大图之下,表示数据治理和安全治理是数据安全治理的重要支撑。
——央企行业 某专家老师
1.题目主责数据的定义建议根据行业情况再做细分或重新定义,有些行业不适用;
2.这个藏经阁的分层分类,递进关系有待探讨,有的在一个维度有的不在一个维度。
——金融行业 某专家老师
治理层、监管层、管理层、运营层、技术层、数据层6个层次中,管理涉及到每个层次和环节,比如治理层,由领导小组负责,监管层一般由主管部门负责,都涉及到管理问题,管理应该是贯穿到每个环节中的,所以直接把管理列为一个层是否合适?
——交通行业 某专家老师
1.对监管层、管理层分层进行再考虑。一是治理层确定数据安全目标和路径后,首先应确定数据安全治理机制、组织、职责等内容,然后才是确定监管的具体事项;二是理清与DSMM组织架构层次的关系,以免理解上的混乱。
2.数据资源、数据资产、数据流通、数据交易四个阶段的划分建议再斟酌,前两个和后两个不是一个维度。
——电子政务行业 某专家老师
行业监管,建议增加《银行保险机构数据安全办法》(目前为金融保险机构尤为关注的监管要求)。
——金融行业 某专家老师
1.建议修改为“帮助组织确定数据流动过程中主体责任”。
2.定义组织:建议增加机构,先不要定人员,人员是后面的 N,权责匹配的要求应该放在。
3.定义机制上。定义职责 建议改为“明确定义清楚组织各“者”和岗位职责,激励机制其实也是机制,建议也放到第一条。
4.技术层:工具能力:工具能力显得太聚焦,并且使用的很多是安全保护和防护技术,落地还是软硬件设备,建议更改“措施手段”、“设备设施”或者其他。
——交通行业 某专家老师
1.数据层:在核心数据前面再加一竖杆,他是两种不同的分法
2.技术层:
(1)打刻审计是指打印和刻录审计吗?感觉不是很常见的说法。
(2)备份恢复,现实很多数据备份,最后恢复都不成功的,建议直接提容灾备份,或备份恢复验证;
(3)另外监管审计说了很多行为审计等,那么技术能力这里,建议加上UEBA,同时我们目前遇到很多数据勒索事件,可以加上“数据防勒索”。
3.管理层:
(1)一般都是四级管理制度框架,所以可以这样写,方针政策、管理规范、手册指南、流程表单…这样符合常规操作。
(2)这些数据所有者,系统管理员是两种不同的维度的划分,摆在一起显得有点乱,要么在上面再加一层,要么只列一种。
4.监管层:加上数据合规督导、数据安全合规监管、数据安全合规审计。
5.治理层:不知数据安全能力现状评估,是否包含了数据安全风险评估和数据安全合规评估。如不含,建议加上这常见的评估方式。
——运营商行业 某专家老师
(二)专家寄语精选
以下排名不分先后
1、产业研究力量
《主责数据保护与流动安全监管框架》较全面、系统地梳理分析了数据安全治理所涉及的相关要素以及相互之间的关系,对采取的对策措施给与了说明和阐述。《框架》对数字安全的研究和实践具有很好的参考和借鉴作用。
——中国信息协会信息安全专业委员会 主任 叶红老师
“数据二十条”发布以来,人们的数据价值观全面强化,对数据产权、流通交易和收益分配充满构想和期待。PCSA发布《主责数据保护与流动安全监管框架》恰逢其时,其对主责数据及要素价值流通安全的阐述,值得业界共同思考,深入研究,付诸实践。
——中国信息协会信息安全专业委员会 专家 刘涤西老师
数据安全治理难不难?难,难在哪里?不难,不难在哪里?这个问题缠绕了好多年,没有数字中国,数字经济,数据二十条,数据安全法这些新要求和新推动力,原来做数据安全并不难,做好网络层,主机层,数据层身份认证,访问控制,监控审计,加密脱敏,备份恢复,安全加固,最小权限,基本可以解决99%的问题。即便三权不分立,即便底帐模糊,即便一堆盲数据,死数据,僵尸数据。
要想激活数据,用好数据,跨组织,跨行业,跨区域,跨境,共享共用,流通交易,赋能经济,作为数据所有者,每个具体的数字化组织单元就需要做好更细力度的数据安全治理。明红线守底线的共享共用,将激活开放与风险管控的矛盾达成统一目标,让数据主责明确,让数据流动全程可视,状态可查,权限可审,权益可控,流动追溯,监审一体下体现价值。
——PCSA安全能力者联盟 首席专家 郭峰老师
数据要素化是数字经济、数字政府、数字中国快速发展的前提,而数据安全则是数据要素化的关键支撑,因此数据安全的落地问题迫在眉睫。本次PCSA联合多方,经过四年打磨推出的《主责数据保护与流动安全监管框架》,满足了静态数据保护和动态数据流动监测,两大主流场景的安全需求,不仅在技术和管理上提供了体系化的平台框架,还是对《数据二十条》的深度理解和实际落地。《主责数据保护与流动安全监管框架》,恰逢其时。
——数世咨询 创始人兼总经理 李少鹏老师
数字经济时代,构建可信可控的数字安全保障体系,是加速推动数据要素开发利用与价值释放,繁荣数字产业、赋能实体经济的核心问题之一。与传统生产要素不同,数据具有明显的无成本复制、流动性强、确权定责难等特点,数据的开放与共享共用也将面临前所未有之挑战。基于行业最佳实践的主责数据保护与流动安全监管框架,从宏观政策、顶层制度、理论依据和实际落地等多方面出发,充分阐明数据治理与安全治理的不同目标与责任,以更具象、更具实践价值的方法论,提炼出一套契合我国实际国情的数据安全监管与治理的系统性框架。该框架的发布将成为企业数据安全体系建设的重要参考依据,对促进我国数字安全产业快速、高质量发展具有重大意义。
——赛博英杰 创始人兼董事长 谭晓生老师
主责数据保护与流动安全监管框架是数据安全治理领域优秀实践的结晶,其发布必将有助于促进数据的安全流动和合规使用,清晰化数据安全治理体系,有力推动数字经济的健康发展!
——数说安全 于老师
在这个日新月异的数字时代,我们面临着无数的挑战和机遇。作为深耕数字产业的媒体,我们深知数据安全治理的重要性。我们鼓励所有的领导者和决策者不断提升我们的数字安全能力,包括业务发展洞悉能力、强化安全同步能力、夯实软硬实力。我们需要洞悉业务愿景、数字化规划、行业特点及发展步调,具备安全与其发展相匹配的能力。最后,我们要感谢所有参与这项工作的专家和研究人员。他们的智慧和努力,使我们能够在这个数字时代,拥有一套全面的安全保护框架。
——CIO时代 姚老师
对于国内的关键基础设施机构和大型企业而言,随着网络安全经过多年的发展,早已脱离单纯独立产品的建设思路,持续在构建自己的安全思想和体系。而数据是数字化体系中流动的最有价值的资产表现形态,因此如何理解数据,如何更好的监管和治理数据的安全与风险,成为目前发展的当下挑战。
由PCSA安全研究院牵头并发布的《主责数据保护与流动安全监管框架》,给出了全局视角下的洞察与思考,使得众多的安全要素点可以融合为一,价值尤为难得。在未来客户的应用落地场景中,整合各方能力的有机生态体系,是中国网络安全生态联动和当下时代挑战的创新融合,行业的发展因此也有了更多的可能。
——安全村 主编 张朝鹏老师
数字化时代已经不再遥远,既要用好数据,也要确保数据安全,已经成为企业/组织需要考虑的问题。《主责数据保护与流动安全监管框架》为企业/组织提供了一个共性框架,为企业/组织合规闭环、实战验证和风险可控提出了可落地的路径。
——FreeBuf
2、行业实践力量
以下排名不分先后,只按照姓氏排序
随着金融业迈入数字化时代,数据安全、数据管理成为重要议题。作为产生和积累数据量最大、数据类型最丰富的领域之一,各金融机构正积极筑牢数据安全和个人信息保护的“护城河”。PCSA联盟牵头制定了《主责数据保护与流动安全监管框架》,具有极强的理论与实践意义,其中明确指出数据治理的目标应是数源可信、权属清晰和激活数据,数据安全治理的目标应是主责清晰、流动监管和共享共用,安全治理的目标应是合规闭环、实战验证和风险可控。这对广大金融机构的的数字化转型和提升数据安全能力有着极大地促进作用,也为下一步推进数字化转型、规范数据安全治理体系、发挥数据能效以及推动数字经济的高速健康发展指明了具体工作方向。
——城银清算服务有限责任公司 运行保障部 陈老师
安全对于当前的企业来说是底线,而且近期监管对网络安全、数据安全都提出了新的要求,按照证券行业监管的要求,数据治理数据安全也是未来监管重点。
《主责数据保护与流动安全监管框架》的提出很有意义,该框架覆盖角度完善,从外规到企业本身等角度将数据治理、安全治理以及数据安全治理的目标和边界做了梳理,具备极高的借鉴价值。
通过主责数据相关阶段、层级划分等边界定义提出,有利于不同阶段的差异化施策,有助于领先案例的有效成功经验推广,进一步为行业标准制定提供依据,也有助于企业更好管理数据,做好数据保护工作,也有利于监管层对后续监管工作分层参考。
该框架的提出有利于各企业在基础上做各种能力建设和补足,但是对于企业实操的参考上,选择哪些可以达到底线标准,哪些可以达到行业什么样的水平,这样的一个衡量尺度还需要进一步对标。
——某证券公司 信息技术部 陈老师
在当今信息安全解决方案繁多、数据安全困扰颇多的情况下,《主责数据保护与流动安全监管框架》给了我们一个相对清晰的指引。
——中国检验认证集团有限公司 信息管理部 陈老师
《十四五规划》明确提出要加快数字化发展,保障国家数据安全。《基于行业最佳实践的主责数据保护与流动安全监管框架》从数据的传输、汇聚、存储、治理、管理、共享、流动等方面进行重点研究,实现了对数据的安全基础治理、全生命周期保护、安全流动监管等全方位的安全监测和安全防护,对政府及其他行业在数据安全的管理、运营、技术、系统等的建设与实施上具有很强的指导示范。
——江苏省地震局 信息中心 付老师
祝愿PCSA在关基安全、数据安全等方面,收获更多认识与实践。在关基安全、数据安全、智能安全等领域,维护国家网络安全,做出更大的贡献。
——中国供销电子商务有限公司 网络工程部 郭老师
“十四五”规划指出,要迎接数字时代,激活数据要素潜能,加快建设数字经济、数字社会、数字政府。党的二十大报告要求加快建设网络强国、数字中国,数据日益成为重要的生产要素。后疫情时代,政府、企业均加大数字化转型步伐,深挖数据价值。《主责数据保护与流动安全监管框架》是PCSA顺应数字化潮流,组织多位专家历时4年时间完成的重大课题,关注数据安全政策、法律法规、标准体系以及行业规范与数据治理的融合,参与行业标准的规划与建设,从数据全局视角提出的数据治理、数据保护、数据监管的体系结构。框架的提出将进一步推进数字化转型,规范数据安全治理体系,发挥数据能效,推动数字经济的高速健康发展。
——光大集团 信息科技部 黄老师
设计理念清晰,融合数据治理和安全治理,框架设计充分体现了如何处理安全和发展的关系,可为数据安全行业保护工作扩宽思路,具有较大借鉴意义。
——民航电信开发有限责任公司 网络安全部 侯老师
随着《数据安全法》的颁布实施以及相关法律法规的密集出台,安全运营单位、安全从业人员应接不暇,如何有效做到数据安全的全生命周期保护,是从业人员一直在思索的问题。通过PCSA联盟牵头编制的《主责数据保护与流动安全监管框架》,可以更详细地指导从业者如何去管理数据的存储、使用、销毁全生命周期安全,进而形成行之有效的数据安全治理解决方案。
——国家能源集团国能数智科技公司 IT基础运营事业部 韩老师
数字时代下,数据的共享流转是刚需,而数据的安全监控则是红线。《数字时代:基于行业最佳实践的主责数据保护与流动安全监管框架》,将数据治理和安全治理的思想,同时映射在数据安全治理空间中,并通过数据安全治理活动融汇贯通,清晰地表达了各要素之间的关联、支撑与依赖关系。无论您是何种角色,相信您都可以“按图索骥”,找到适合您自己的落地路径。
——中国航天科工集团网络信息发展有限公司 金老师
PCSA联盟提出基于行业的最佳实践《主责数据保护与流动安全监管框架》,积极响应了国家宏观数据主权保护,有效衔接了国家数据安全保护监管要求,具体指导了政府企业数据安全落地思路。最佳实践从整体框架到详细措施,全方位覆盖数据采、取、存、用、共生命周期的保护,值得政府及重点行业进行深入学习及借鉴,对推动数据安全防护工作的落地起到积极作用。
——国网思极网安科技(北京)有限公司 互联网业务部 李老师
开放银行是银行数字化转型重要组成部分,数据共享是开放银行的基础,《数字时代:基于行业最佳实践的主责数据保护与流动安全监管框架》,将数据合规使用和安全管理纳入到整个数据治理整体框架内,为机构落实和推进相关数据场景的使用提供了管理框架和最佳实践。
——吉林亿联银行 李老师
近年来,国家、监管机构频繁发布了数据安全管理要求,《主责数据保护与流动安全监管框架》能够基于行业最佳实践,制定“1-3-6-N” 架构,从全局视野探索并梳理出数据治理、数据安全管理思路,为数据保护与流动提供很好的理论支撑。
——招商银行 安全内控 刘老师
随着数字技术的不断发展,数字经济已经成为全球经济发展的重要驱动力。数据安全的重要性不言而喻。PCSA的《基于行业最佳实践的主责数据保护与流动安全监管框架》从监管审计的视角将数据治理和安全治理两者结合起来,达到主责明确、流动监管、共享共用,可落地的协同了数据治理和安全治理,明确各自边界、责权与协同。
——国家外汇局 监测中心 刘老师
当下,国家全力发展数字经济,专业出众的联合项目团队,抓住数据这个核心,锚定数据治理和数据安全两大关键环节,结合最佳实践,提出此框架,对数字经济发展过程中,实现数据的收集、利用、治理和保护的全生命周期管理,具有重大的理论和实践指导意义。
——某能源集团 科技信息处 刘老师
数据是未来核心资产。释放数据资产价值,赋能业务可持续发展。
——中国石油集团东方地球物理公司 数据中心 赖老师
看到《主责数据保护与流动安全监管框架》,我们很是欣慰,也是眼前一亮。过往单位开展数据安全治理工作的问题和困惑我们在这里找到共鸣和解答:数据安全治理不单纯是技术问题,也不是为了简单的监管合规,而是从数据层、技术层、管理层、监管层、治理层的一体化运营,结合行业不同特点做到数据主责明确、流动监管和共享共用,真正发挥数据要素的价值。
——浙江省农业农村大数据发展中心 某老师
PCSA一年一图持续做最前沿的技术研究,通过实践经验提炼模型和理论具有很重要的指导意义。希望不仅能不断落地推动数据流动使用合法,还能不断打磨优化做到合规甚而走在行业前端,做到了真真正正的最佳实践。
——某银行 科技信息部 某老师
数据是我们的财富,也是我们的风险。数据安全是我们的责任,也是我们的保障。为了应对数据安全挑战,我们需要建立一个有效的数据安全监管框架,确保我们的数据得到合理的保护和流动。
——中国铁路昆明局信息技术所 乔老师
监管框架非常适合税务系统组织架构和安全实践,不仅切合监管实际,而且令人耳目一新,对于明确各部门安全责任、共同推动数据安全保护和监管具有积极指导意义。
——国家税务总局湖北省税务局 秦老师
希望主责数据保护与流动安全监控框架早日发布,提升我国各行业数据安全管理水平。
——国家管网数字化部 任老师
数字时代:基于行业最佳实践的《主责数据保护与流动安全监管框架》比较全面,覆盖了数据的全生命周期,体现了数据各参与方的要求,为主责的数据保护提供了一个较好的框架。同时也为数据保护的落地提供了一个比较好的路径。
——司法部 信息中心 宋老师
数字时代已经来临,数字技术快速迭代,数字应用层出不穷,网络安全、数据安全和个人信息保护面临日益严峻的安全挑战。保障网络安全事关国家安全和广大人民群众切身利益,是数字时代网络和数据安全从业者的使命担当。
基于行业最佳实践《主责数据保护与流动安全监管框架》汇聚国内网络和数据安全专家学者之智慧,融合重要行业专家之经验,是多年来跟踪研究、探索创新、持续迭代的重磅成果,对于行业网络和数据安全保障具有普遍借鉴价值。
实践永无止境,创新永无止境,网络安全永远在路上。路虽远行则将至,事虽难做则必成。
——浙江省网络空间安全协会 宋老师
框架站位高远,从全局出发,顺时而生,为各行业和众多数据安全从业者提供指引,为数据保护和安全有效落地提供参考,充分体现了研究团队和专家的智慧的结晶,望尽早发布发挥其价值,也望框架随着更多实践越来越完善。
——中国中化控股有限责任公司 网络安全与基础设施管理部 孙老师
PCSA四年来坚持重大课题研究、坚持红蓝攻防实践、坚持数据安全研究,坚持智能安全探索。祝愿PCSA积极参与行业标准及规范建设,持续推进行业网络安全技术和能力提升。
——中国供销电子商务有限公司 孙老师
《框架》在主责数据保护与流动安全监管场景下,为各行各业的数据安全治理工作提供了一个共性参考架构。期待PCSA后续能够基于该框架,与数字安全厂商共同推出更多的落地解决方案,为我国企业与各级政府的数据安全治理保驾护航。
——中国船舶工业综合技术经济研究院 船舶质量与可靠性研究中心 谭老师
《主责数据保护与流动安全监管框架》系统梳理国家法律法规和制度要求,结合行业实践,总结提炼形成“1-3-6-N”的总体框架,对各行业从业者更好地理解法律法规要求、指导落地工作很有帮助,特别是对数字化程度相对较高、正在向更高阶段努力进行数字化转型的金融业从业者可以提供较好的参考和借鉴。
——中央国债登记结算有限责任公司 唐老师
在数字经济时代,数据已经成为新型生产要素,对传统生产方式变革具有重大影响。而在促进数据资产充分开放、利用和共享的同时,如何保障数据资产全流程安全,是摆在我们面前的难题。
PCSA联盟牵头,结合对重点行业用户和产业各方多年深入细致的研究,提出基于行业的最佳实践《主责数据保护与流动安全监管框架》,从全局视角出发,统筹数据治理/安全治理/数据安全治理,突破共性问题,为我们指出了一条可落地可借鉴的难题解决途径。
——中国航天科工集团 网信部 王老师
本框架基于全局的视角展现了数据安全治理的基本框架,厘清了数据安全、数据治理、安全治理之间的边界和联系,明确了数据治理不同阶段需要的数据安全治理的程度、深度以及落地动作都是不一样的,数据安全治理的成熟度必须考虑数据治理的成熟度,数据安全治理的目标与措施也必须与数据资产应用的程度密切相关。这些对企业开展数据治理和数据安全工作起到了高屋建瓴的指导作用。
——北京市燃气集团有限责任公司 王老师
本框架描述了数据安全治理与数据治理、安全治理两个重要领域的关系,以及在数据安全治理不同层面所应关注的重要内容,重点突出,结构明晰。
——中国海油石油集团有限公司信息技术中心 高级顾问/专家 王老师
数据安全风险日益成为影响产业发展、网络安全甚至国家安全的重要因素。此架构描述了数据安全治理与数据治理、安全治理之间的关系,以及在数据安全治理过程中各层面的主要关注点,相关内容即描述了数据安全方面的特性又承接了历年来所提出的一系列架构成果,具有一定的指导意义。希望PCSA能推出更多具有指导性、实用的网络安全领域框架。
——中国海油石油集团有限公司信息技术中心 王老师
该框架内涵丰富,意义重大。在数据要素日益成为重要驱动力量的今天,数据安全治理的提出正当其时。该框架继承了安全保护框架的经验和成果,又聚集数据全周期安全问题的全面解决,是行业的重要指导性文件,其推演的方法论也值得学习借鉴。
——光大科技有限公司 向老师
整体感觉逻辑挺清晰,严谨全面。
——邮储银行 数据中心 薛老师
数据安全是企业生存和发展的基石,《框架》对企业数据安全面临的挑战和趋势进行了系统的分析,具有很强的实用性和现实意义。个人认为,建设数据安全防护体系,需要从预防、监测、处置、治理等全流程做好数据安全防护。框架提出的数据安全治理体系为企业建设数据安全防护体系提供了方法论,对广大企业的数字化转型和提升数据安全能力有着极大地促进作用。
——英大基金管理有限公司 夏老师
该框架是数据安全法实施以来数据安全领域的第一份里程碑式监管框架,对数据要素参与各方都有重要参考意义。于我而言,会参考进一步完善本单位数据安全治理体系,积极参与最佳实践的积累落地。期待尽快发布。
——中国人民银行 袁老师
数字经济时代,数据已成为最重要的生产资源,如何高效安全的利用数据,充分发挥数据价值,是当前迫切需要解决的问题。由多位专家结合行业实践形成的主责数据保护与流动安全监管框架,系统分析了数据安全治理的关键要素及耦合关系,提出了数据保护、流动与监管的层次体系架构,将为激发数据活力,推动数字经济高质量发展提供很好的指导和借鉴作用。
——航天科工集团二院 袁老师
《主责数据保护与流动安全监管框架》,覆盖了数据全生命的处理,确保数据处于有效保护和合法利用的状态,具备了持续安全状态保障的能力。
——中国寰球工程有限公司 科技信息部 伊老师
"随着互联网的飞速发展与政府企事业单位的数字化转型,数据资产已经成为国家和国民经济重要资产。2015年,习近平总书记在第二届世界互联网大会开幕式上的讲话提出推进“数字中国”建设。党的二十大报告进一步提出“加快发展数字经济,促进数字经济和实体经济深度融合,打造具有国际竞争力的数字产业集群”“强化经济、重大基础设施、金融、网络、数据、生物、资源、核、太空、海洋等安全保障体系建设”“加强个人信息保护”。国民经济的数字化、智能化转型已迫在眉睫、呼之欲出,同时数据资产的合规管理、数据流转与数据交易的全流程安全成为保障建设数字中国,大力发展数字经济的关键支撑和保障。
PCSA安全研究院牵头各成员单位、行业用户和产业各方研究提出基于行业最佳实践《主责数据保护与流动安全监管框架》,为各部门各行业在数字化转型中困扰多年的数据安全问题提出了很好的可落地的安全解决方案。
方案服务国家战略大局,依据现有国家法律政策和标准规范,系统设计了数据安全管理保护的安全框架,明晰了数据关联各方的职责,分层次设计了数据治理和安全管理防护的具体内容,具备较强的科学性和指导性,为从事数据管理运营各环节的组织和部门提供了系统的方法论和路线图。
建议PCSA安全联盟深度参与国家有关数据治理和安全管理等方面的标准规范体系建设,推动国家有关政策和标准规范的出台,促进数据安全管理的标准化和强制性,更好服务于建设数字中国和推动数字经济建设大局。"
——国务院国有资产监督管理委员会 张老师
党的二十大报告将强化网络、数据安全保障体系建设作为健全国家安全体系的重要内容。《主责数据保护与流动安全监管框架》内容全面、架构清晰、管理与技术并重、可操作性强,基本涵盖了数据收集、存储、使用、加工、传输、提供、公开等数据处理的全生命周期安全防护,对各行各业依法依规开展数据安全保护具有较强的指导意义和借鉴价值,也对推动数据安全共享和开发利用,保障数字经济发展有着积极意义。
——水利部信息中心 张老师
这次协会发布的“主责数据保护与流动安全监管框架”一如既往的高屋建瓴,抽丝剥茧般将分散的法规、标准与实践相结合,梳理构建出数据安全治理的“1-3-6-N” 框架,给数据安全治理这一 “横贯东西、纵横南北”的新领域厘清了相对清晰的内涵及边界,具有很高的应用价值和参考意义。
——中央国债登记结算有限责任公司 信息科技部 张老师
《主责数据保护与流动安全监管框架》紧盯目前国内的数据安全痛点,把数据安全治理的规划、建设、运营从全局上进行了一个整体设计,提出的一个经过验证的行业最佳落地实践,为各行业的数据治理、安全治理、数据安全治理提供了全面的指导,指明了方向。祝这套体系框架在各行各业全面开花,为我国的数据安全的整体治理能力再上一台阶发挥重大作用。
——交通运输部 保网中心 赵老师
《主责数据保护与流动安全监管框架》紧盯目前国内的数据安全痛点,把数据安全治理的规划、建设、运营从全局上进行了一个整体设计,提出的一个经过验证的行业最佳落地实践,为各行业的数据治理、安全治理、数据安全治理提供了全面的指导,指明了方向。祝这套体系框架在各行各业全面开花,为我国的数据安全的整体治理能力再上一台阶发挥重大作用。
——中国交通通信信息中心 赵老师
《主责数据保护与流动安全监管框架》从主责数据保护与流动安全监管的场景出发,全面的阐述了数据安全治理过程中各层次,各角色以及各个系统之间的关系,对数据安全从业人员有着非常大的参考价值。期待在后续具体的落地技术规范等方面能有进一步的研究。
——南方基金 宗老师
四、下载链接
扫码关注公众号并回复“主责数据保护与流动安全监管框架”或者“四年四图”获取本次发布会高清套图
第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:zhanghy
免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。
抢沙发
