摘要隨著《中華人民共和國數(shù)據(jù)安全法》的深入實施和數(shù)據(jù)要素市場化深入發(fā)展,數(shù)據(jù)安全治理相關(guān)技術(shù)與實踐也將得到持續(xù)發(fā)展.但是目前為止業(yè)內(nèi)對于數(shù)據(jù)安全治理的相關(guān)實踐還未形成統(tǒng)一的認識,相關(guān)國家及行業(yè)標準也未能推出,嘗試從數(shù)據(jù)安全治理實現(xiàn)目標與方法等方面探索一種行之有效的數(shù)據(jù)安全治理實踐.提出了一套數(shù)據(jù)安全治理體系架構(gòu),圍繞數(shù)據(jù)安全治理實踐機制的管理、技術(shù)、評估和運營等幾個方面要求逐一展開進行詳細說明,并重點對數(shù)據(jù)安全治理實踐所涉及的關(guān)鍵措施及技術(shù)要求進行了介紹.
關(guān)鍵詞數(shù)據(jù)安全;數(shù)據(jù)安全治理;數(shù)據(jù)濫用;數(shù)據(jù)安全風(fēng)險控制;數(shù)據(jù)安全運營
業(yè)內(nèi)期待已久的《中華人民共和國數(shù)據(jù)安全法》[1](以下簡稱《數(shù)據(jù)安全法》)在2021年6月10日正式公布,數(shù)據(jù)產(chǎn)業(yè)發(fā)展迎來有法可依的法治發(fā)展時代.《數(shù)據(jù)安全法》中明確提出應(yīng)“建立健全數(shù)據(jù)安全治理體系,提高數(shù)據(jù)安全保障能力”,數(shù)據(jù)安全治理也已經(jīng)獲得業(yè)內(nèi)廣泛的關(guān)注.
數(shù)據(jù)安全論文范例: 基于區(qū)塊鏈的微電網(wǎng)數(shù)據(jù)安全共享方案
1業(yè)務(wù)背景
數(shù)據(jù)安全治理從治理范圍來看可以分為國家數(shù)據(jù)安全治理和組織數(shù)據(jù)安全治理.中國信息通信研究院發(fā)布的《數(shù)據(jù)安全治理實踐指南(1.0)》[2]針對數(shù)據(jù)安全治理概念提出了廣義和狹義2個定義,廣義是針對國家戰(zhàn)略層面落實數(shù)據(jù)開發(fā)利用和數(shù)據(jù)安全統(tǒng)籌發(fā)展的策略,狹義則是基于數(shù)據(jù)生命周期建立涵蓋組織保障、制度規(guī)范、安全技術(shù)和人才建設(shè)等多重維度的策略.本文聚焦在組織層面的數(shù)據(jù)安全治理探索,即在某個組織內(nèi)部,或者多個有數(shù)據(jù)關(guān)聯(lián)的組織之間的數(shù)據(jù)安全治理工作.
一個典型的業(yè)務(wù)場景就是當前數(shù)字政府建設(shè)過程中所力推的政務(wù)數(shù)據(jù)共享.如省級政務(wù)數(shù)據(jù)共享一般都是以省大數(shù)據(jù)局或省大數(shù)據(jù)中心作為省級政務(wù)數(shù)據(jù)共享平臺建設(shè)和運營方,來拉通省內(nèi)各政府部門及地市單位的數(shù)據(jù)共享,以及與國家數(shù)據(jù)平臺的數(shù)據(jù)共享等.在這個場景下,政務(wù)數(shù)據(jù)的治理業(yè)務(wù)范圍就涉及省級政務(wù)數(shù)據(jù)共享平臺,以及參與政務(wù)數(shù)據(jù)共享的各個政府部門及地市單位的數(shù)據(jù)業(yè)務(wù)系統(tǒng),也包括省級政務(wù)數(shù)據(jù)共享平臺與國家平臺之間的數(shù)據(jù)共享接口的安全等.目前數(shù)據(jù)安全治理業(yè)內(nèi)并沒有達成一個統(tǒng)一共識,本文嘗試從數(shù)據(jù)安全治理實現(xiàn)目標與方法等方面探索一種行之有效的數(shù)據(jù)安全治理實踐方案.
2數(shù)據(jù)安全治理現(xiàn)狀
2.1業(yè)內(nèi)數(shù)據(jù)安全治理研究及實踐情況
2019年發(fā)布的GB?T37988—2019《信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型》國家標準(簡稱“DSMM”)[3]對于推動數(shù)據(jù)安全治理發(fā)展起到了非常積極的作用.DSMM標準提煉了一套數(shù)據(jù)安全能力成熟度評估體系,該體系涵蓋了數(shù)據(jù)安全能力、數(shù)據(jù)安全過程和能力成熟度等級的3個維度,和1~5共5個成熟度等級,以及覆蓋采集、傳輸、存儲、處理、交換、銷毀等數(shù)據(jù)生存周期的30個數(shù)據(jù)安全過程域等相關(guān)內(nèi)容.阿里巴巴等單位也針對性地發(fā)布了《數(shù)據(jù)安全能力建設(shè)實施指南V1.0(征求意見稿)》[4]用于指導(dǎo)各單位基于DSMM標準進行數(shù)據(jù)安全相關(guān)能力的建設(shè).
《基于精準治理的大數(shù)據(jù)安全治理體系創(chuàng)新》[5]提出了一種大數(shù)據(jù)安全治理運行框架,該框架包括基于主體精準化的多元共治體系、基于流程精準化的科學(xué)預(yù)判體系、基于手段精準化的分類處置體系和基于保障精準化的動態(tài)保障體系等方面,涵蓋了組織、流程、手段和制度等大數(shù)據(jù)安全治理的主要方面.
《數(shù)據(jù)安全治理實踐指南(1.0)》提出了一套涵蓋規(guī)劃、建設(shè)、運營、評估等系統(tǒng)建設(shè)的各個過程,并基于數(shù)據(jù)全生命周期的數(shù)據(jù)安全治理實踐總體視圖,覆蓋了基礎(chǔ)安全、數(shù)據(jù)全生命周期安全和數(shù)據(jù)安全戰(zhàn)略的數(shù)據(jù)安全治理參考框架,同時指南還給出了目前業(yè)內(nèi)多家單位的典型實踐方案.另外《數(shù)據(jù)安全法》中對開展數(shù)據(jù)安全保護及治理工作給出的具體要求包括:建立健全全流程數(shù)據(jù)安全管理制度,組織開展數(shù)據(jù)安全教育培訓(xùn),采取相應(yīng)的技術(shù)措施和其他必要措施,保障數(shù)據(jù)安全.
國家網(wǎng)信辦2019年發(fā)布的《數(shù)據(jù)安全管理辦法(征求意見稿)》[6]進一步明確了建立數(shù)據(jù)安全管理責(zé)任和評價考核制度,制定數(shù)據(jù)安全計劃,實施數(shù)據(jù)安全技術(shù)防護,開展數(shù)據(jù)安全風(fēng)險評估,制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案,及時處置安全事件,組織數(shù)據(jù)安全教育、培訓(xùn).
總之,當前業(yè)內(nèi)對于數(shù)據(jù)安全治理應(yīng)該涵蓋組織機構(gòu)、管理制度、安全技術(shù)及專業(yè)人員幾個方面是具有統(tǒng)一認識的.中國互聯(lián)網(wǎng)協(xié)會發(fā)布的團體標準T?ISC-0011—2021《數(shù)據(jù)安全治理能力評估方法》[7]給出了一套數(shù)據(jù)安全治理能力評估框架,框架涵蓋了數(shù)據(jù)安全戰(zhàn)略、數(shù)據(jù)生命周期安全和基礎(chǔ)安全3個層面的共18個數(shù)據(jù)安全能力項,并對于每個能力項又細分為基礎(chǔ)、優(yōu)秀和先進3個等級.Gartner曾提出了一個DCAP(以數(shù)據(jù)為中心的審核和保護)的數(shù)據(jù)安全治理理念,基于該理念業(yè)內(nèi)提出過很多的以數(shù)據(jù)為中心的數(shù)據(jù)安全解決方案,這些解決方案的一個共性就是對數(shù)據(jù)進行發(fā)現(xiàn)和標識化(數(shù)據(jù)分類分級),并基于這些數(shù)據(jù)標識進行相應(yīng)的安全策略控制.
2.2數(shù)據(jù)安全治理存在的主要問題
業(yè)內(nèi)對數(shù)據(jù)安全治理過程及關(guān)鍵路徑基本都有一定共識,并進行了一些相關(guān)實踐.但是目前數(shù)據(jù)安全治理研究及實踐存在一些典型問題,主要有以下幾個方面.
2.2.1數(shù)據(jù)安全合規(guī)不等同于數(shù)據(jù)安全保障
安全行業(yè)一個重要業(yè)務(wù)目標就是“合規(guī)”,即遵守國家各類安全相關(guān)法律法規(guī)的要求,在數(shù)據(jù)安全領(lǐng)域也是如此.數(shù)據(jù)安全領(lǐng)域涉及的合規(guī)要求除了既要遵守網(wǎng)絡(luò)安全相關(guān)的法規(guī),還要遵守數(shù)據(jù)安全專有的法規(guī).典型的數(shù)據(jù)安全法規(guī)包括:2021年剛發(fā)布的《數(shù)據(jù)安全法》和《個人信息保護法》[8],另外國家網(wǎng)信辦發(fā)布的《網(wǎng)絡(luò)安全審查辦法(修訂草案征求意見稿)》[9]也專門增補了數(shù)據(jù)安全相關(guān)要求,正式發(fā)布后也將是各關(guān)鍵信息基礎(chǔ)設(shè)施數(shù)據(jù)處理者所應(yīng)重點遵守的法規(guī)之一.
另外還有很多其他法規(guī)(如《中華人民共和國民法典》等)也涉及數(shù)據(jù)安全相關(guān)規(guī)定,同時有些部委和地方政府也會出臺面向行業(yè)或區(qū)域的數(shù)據(jù)安全相關(guān)法規(guī),比如銀保監(jiān)會發(fā)布的《中國銀保監(jiān)會監(jiān)管數(shù)據(jù)安全管理辦法(試行)》[10]、工信部發(fā)布的《移動互聯(lián)網(wǎng)應(yīng)用程序個人信息保護管理暫行規(guī)定(征求意見稿)》[11]、天津市發(fā)布的《天津市數(shù)據(jù)安全管理辦法(暫行)》[12]等.
數(shù)據(jù)安全合規(guī)工作非常重要,合規(guī)也是從事數(shù)據(jù)處理事項的基本前提條件.但是數(shù)據(jù)安全合規(guī)不能等同于數(shù)據(jù)安全保障,即使符合各種相關(guān)的數(shù)據(jù)安全法規(guī)要求,不能認為數(shù)據(jù)安全就萬無一失.我們知道,數(shù)據(jù)安全防護本質(zhì)符合“木桶原理”,即數(shù)據(jù)安全防護水平取決于數(shù)據(jù)安全所涉及各個方面的安全防護水平的最低點,合規(guī)僅確保這個最低點能達到基本要求,也就是底線要求.另外數(shù)據(jù)安全合規(guī)檢查的粒度也直接決定了合規(guī)結(jié)果與安全效果是否一致,就算拿到了合規(guī)證明也很難確保系統(tǒng)達到數(shù)據(jù)安全防護能力要求.
比如數(shù)據(jù)安全法規(guī)要求數(shù)據(jù)采集必須經(jīng)過充分授權(quán),但實際執(zhí)行過程是得到明示同意還是只單純進行公示.數(shù)據(jù)處理者對數(shù)據(jù)必須進行分類分級,但是實際執(zhí)行分類分級的粒度是否涵蓋了所有重要數(shù)據(jù),是否能確保重要數(shù)據(jù)都得到有效防護.這些情況在數(shù)據(jù)安全合規(guī)評估和檢測中未必能得到充分確認.同時數(shù)據(jù)安全合規(guī)評估和檢測也與執(zhí)行評估和檢測人員自身水平及采用的評估和檢測的工具能力也有很大關(guān)系.因此,數(shù)據(jù)安全合規(guī)只能作為數(shù)據(jù)安全防護的基礎(chǔ)和底線的要求,要做好數(shù)據(jù)安全保障還需要做更多工作.
2.2.2數(shù)據(jù)安全方案不等同于數(shù)據(jù)安全防護
數(shù)據(jù)安全治理還經(jīng)常存在重視數(shù)據(jù)安全設(shè)計方案和建設(shè)方案,但卻忽視數(shù)據(jù)安全防護效果的問題.編制數(shù)據(jù)安全方案是幾乎所有數(shù)據(jù)安全建設(shè)項目所必需的要求,但是很多項目都存在重建設(shè)輕運營的問題,即數(shù)據(jù)安全方案編制得比較全面,實際建設(shè)也按方案要求進行了部署和應(yīng)用,但是數(shù)據(jù)安全治理效果是否能發(fā)揮出來、數(shù)據(jù)安全策略是否達到方案預(yù)期效果等數(shù)據(jù)安全運營階段所應(yīng)重點考察的指標往往被忽視.
2.2.3數(shù)據(jù)安全運維不等同于數(shù)據(jù)安全運營
數(shù)據(jù)安全治理實踐經(jīng)常是重視運維,很多項目基本都會要求配置駐場運維人員,但是對數(shù)據(jù)安全運營不是非常重視,甚至有些項目還經(jīng)常把運維和運營2個概念混淆不清.數(shù)據(jù)安全運營的目的是把數(shù)據(jù)安全的價值挖掘出來,但是在平常業(yè)務(wù)中,數(shù)據(jù)安全運營與數(shù)據(jù)安全運維、數(shù)據(jù)安全管理等既有部分重疊,又各有側(cè)重點.數(shù)據(jù)安全運維的核心目標就是維護好數(shù)據(jù)安全相關(guān)軟硬件產(chǎn)品,確保數(shù)據(jù)安全軟硬件產(chǎn)品正常運轉(zhuǎn),相關(guān)故障、告警得到及時處置.通俗來講,數(shù)據(jù)安全運維是確保產(chǎn)品用起來,數(shù)據(jù)安全運營則是確保產(chǎn)品用好.
以數(shù)據(jù)庫防火墻產(chǎn)品為例:數(shù)據(jù)安全運維確保防火墻運行狀態(tài)正常,沒有死機、沒有故障、沒有異常等;數(shù)據(jù)安全運營則是確保防火墻的安全防護規(guī)則始終有效,并及時剔除失效的策略.另外,數(shù)據(jù)安全運維人員技能更多強調(diào)對數(shù)據(jù)安全軟硬件產(chǎn)品的使用及維護等方面,數(shù)據(jù)安全運營人員技能則更多是側(cè)重數(shù)據(jù)安全防護與具體業(yè)務(wù)方面.
2.2.4數(shù)據(jù)安全技術(shù)不等同于數(shù)據(jù)安全治理
經(jīng)過多年研究發(fā)展,目前已經(jīng)有很多的數(shù)據(jù)安全相關(guān)技術(shù)逐步成熟,比如加密、脫敏、數(shù)字水印、數(shù)據(jù)庫審計等等,這些技術(shù)也在絕大部分數(shù)據(jù)安全治理實踐中得以落實.
3數(shù)據(jù)安全治理體系研究
3.1數(shù)據(jù)安全治理目標
本文研究的數(shù)據(jù)安全治理目標還是限定在1個或多個組織機構(gòu)內(nèi),面向重要數(shù)據(jù)或敏感信息的數(shù)據(jù)安全管理與控制等相關(guān)措施.典型的業(yè)務(wù)場景就是數(shù)字政府中各政府部門的數(shù)據(jù)安全治理,既包括各政府部門內(nèi)部數(shù)據(jù)安全治理,也包括跨部門的數(shù)據(jù)共享層面的數(shù)據(jù)安全治理.數(shù)據(jù)安全治理主要目標包括以下方面:
1)數(shù)據(jù)安全合規(guī)目標.必須滿足國內(nèi)各類數(shù)據(jù)安全法規(guī)的要求,包括國家、地方及相關(guān)行業(yè)方面的法律和法規(guī).2)數(shù)據(jù)安全防護目標.必須確保數(shù)據(jù)安全治理所涵蓋的業(yè)務(wù)系統(tǒng)的重要數(shù)據(jù)運行安全,包括數(shù)據(jù)可靠性要求、數(shù)據(jù)防泄露要求以及數(shù)據(jù)防濫用要求等.3)數(shù)據(jù)安全治理目標.提供涵蓋技術(shù)與管理等多層次的數(shù)據(jù)安全治理體系,確保數(shù)據(jù)安全與數(shù)據(jù)業(yè)務(wù)持續(xù)同步發(fā)展.
3.2數(shù)據(jù)安全治理體系架構(gòu)
本文提出一套集管理、技術(shù)、評估和運營為一體的數(shù)據(jù)安全治理體系架構(gòu),從多個維度提出數(shù)據(jù)安全治理實踐機制.數(shù)據(jù)安全治理機制主要涵蓋4個維度的數(shù)據(jù)安全治理實踐機制:1)數(shù)據(jù)安全管理機制.主要包括數(shù)據(jù)安全治理所涉及的組織建設(shè)、人力保障和相應(yīng)的規(guī)范制度等.2)數(shù)據(jù)安全治理技術(shù).涉及數(shù)據(jù)安全治理所涉及的各個領(lǐng)域的技術(shù)及工具,主要包括數(shù)據(jù)發(fā)現(xiàn)、分類分級、數(shù)據(jù)安全防護策略、安全風(fēng)險控制及安全運營等方面.3)數(shù)據(jù)安全治理評估.具體涉及評估和評價,以及針對評估和評價后的結(jié)果進行改進與提升方面的內(nèi)容.
4數(shù)據(jù)安全治理實踐探索
4.1數(shù)據(jù)安全治理管理機制
數(shù)據(jù)安全治理離不開組織和人力方面的投入,因此數(shù)據(jù)安全治理管理機制需要重點落實以下方面的工作.
4.1.1組織建設(shè)
需要制定數(shù)據(jù)安全治理組織機構(gòu),明確數(shù)據(jù)安全治理所涉及業(yè)務(wù)范圍的相關(guān)組織團隊在數(shù)據(jù)安全治理工作中的相關(guān)職責(zé)和具體要求,建議至少應(yīng)制定下面幾個數(shù)據(jù)安全治理組織角色:1)數(shù)據(jù)安全決策層.由整個組織高級管理人員或數(shù)據(jù)安全官等組成,負責(zé)整個組織的數(shù)據(jù)安全目標與規(guī)劃、數(shù)據(jù)安全治理全過程的資源保障及重大事件協(xié)調(diào)與決策等職責(zé),承擔(dān)整個組織數(shù)據(jù)安全最終責(zé)任.2)數(shù)據(jù)安全管理層.由整個組織內(nèi)各個具體業(yè)務(wù)部門管理人員等組成,負責(zé)具體業(yè)務(wù)部門數(shù)據(jù)安全措施與決策的執(zhí)行,包括但不限于制定數(shù)據(jù)安全管理規(guī)范、組織制定及落實數(shù)據(jù)安全技術(shù)方案、組織數(shù)據(jù)安全業(yè)務(wù)及技能培訓(xùn)等,承擔(dān)具體業(yè)務(wù)部門數(shù)據(jù)安全的責(zé)任.
3)數(shù)據(jù)安全執(zhí)行層.由各個具體業(yè)務(wù)部門承擔(dān)數(shù)據(jù)安全執(zhí)行的人員組成,主要負責(zé)具體數(shù)據(jù)安全治理相關(guān)的技術(shù)及管 理措施的落實,包括但不限于數(shù)據(jù)安全技術(shù)方案與數(shù)據(jù)管理管理制度執(zhí)行、數(shù)據(jù)安全產(chǎn)品部署及運維、數(shù)據(jù)安全事件監(jiān)控及處置、數(shù)據(jù)安全漏洞排查及修復(fù)、數(shù)據(jù)安全事件溯源及分析等.4)數(shù)據(jù)安全監(jiān)督層.由組織內(nèi)與業(yè)務(wù)部門沒有隸屬關(guān)系的第三方人員組成,主要負責(zé)數(shù)據(jù)安全治理過程與結(jié)果的監(jiān)控和審計,確保數(shù)據(jù)安全治理組織執(zhí)行的效果.
4.1.2人力保障
數(shù)據(jù)安全治理除了需要相關(guān)的技術(shù)工具和產(chǎn)品,也離不開相應(yīng)的人員保障,組織建設(shè)中明確的各個數(shù)據(jù)安全治理組織角色都需要明確具體人員保障,并制定相關(guān)人員的職責(zé)和考核要求,以及為了確保人員數(shù)據(jù)安全業(yè)務(wù)技能符合數(shù)據(jù)安全治理要求所應(yīng)該開展的人員技能培訓(xùn)及職業(yè)發(fā)展規(guī)劃等.
4.1.3規(guī)范制度
數(shù)據(jù)安全治理涉及多方面的規(guī)范制度,主要包括:1)《數(shù)據(jù)安全管理制度》明確各個業(yè)務(wù)系統(tǒng)所涉及的數(shù)據(jù)安全管理范圍及責(zé)任人,以及相應(yīng)的組織保障機制等.2)《數(shù)據(jù)分類分級規(guī)范》對組織內(nèi)的各類業(yè)務(wù)數(shù)據(jù),尤其是個人信息和重要數(shù)據(jù),明確數(shù)據(jù)類別和安全級別.
3)《數(shù)據(jù)安全管理規(guī)范》明確不同類別、不同級別數(shù)據(jù)的安全管理措施,建立涵蓋數(shù)據(jù)采集、傳輸、存儲、處理、交換、銷毀等數(shù)據(jù)生存周期的安全管理規(guī)范.4)《數(shù)據(jù)安全運營管理規(guī)范》明確數(shù)據(jù)安全風(fēng)險監(jiān)控措施、數(shù)據(jù)安全風(fēng)險響應(yīng)和應(yīng)急處置措施、數(shù)據(jù)安全漏洞排查、數(shù)據(jù)備份恢復(fù)等相應(yīng)措施要求.5)《數(shù)據(jù)安全培訓(xùn)管理制度》明確數(shù)據(jù)安全人員培訓(xùn)等相關(guān)要求.
4.3數(shù)據(jù)安全治理評估機制
數(shù)據(jù)安全治理評估機制是檢查數(shù)據(jù)安全治理效果的最有效措施,評估機制主要包括評估與評價措施和改進與提升措施2個方面.數(shù)據(jù)安全評估措施主要包括:確定評估的目標數(shù)據(jù)及所涉及的應(yīng)用系統(tǒng)和人員,梳理數(shù)據(jù)全生命周期過程及所涉及的數(shù)據(jù)安全技術(shù)與管理措施,分析各個數(shù)據(jù)流轉(zhuǎn)環(huán)節(jié)數(shù)據(jù)安全措施的有效性,輸出數(shù)據(jù)安全評估分析報告.數(shù)據(jù)安全評價措施在數(shù)據(jù)安全評估措施的基礎(chǔ)上對數(shù)據(jù)安全治理能力和效果進行打分評價.另外DSMM標準可以作為數(shù)據(jù)安全評估和評價措施的一個重要參考材料,該標準提煉出的30個安全過程域基本涵蓋了數(shù)據(jù)安全評估過程的各個環(huán)節(jié),標準對數(shù)據(jù)安全能力成熟度模型的定級也可以作為評價結(jié)果的重要參考.
4.4數(shù)據(jù)安全治理長效運營
數(shù)據(jù)安全治理與數(shù)據(jù)業(yè)務(wù)發(fā)展緊密相關(guān),這也導(dǎo)致數(shù)據(jù)安全治理不是一個短期的一蹴而就的工作,而是需要長期持續(xù)運營.數(shù)據(jù)安全治理運營的核心工作包括應(yīng)急處置、隱患排查、預(yù)警通報和安全審計等幾個方面.
4.4.1應(yīng)急處置對于數(shù)據(jù)安全治理過程中發(fā)現(xiàn)的各類數(shù)據(jù)安全事件和威脅隱患能夠及時進行閉環(huán)處置,確保數(shù)據(jù)安全威脅得到解除,降低數(shù)據(jù)安全事件對數(shù)據(jù)業(yè)務(wù)的影響程度.數(shù)據(jù)安全應(yīng)急處置具體措施需要根據(jù)數(shù)據(jù)安全事件根本原因進行針對性處理,常見措施包括修復(fù)數(shù)據(jù)業(yè)務(wù)系統(tǒng)安全漏洞、改進數(shù)據(jù)處理業(yè)務(wù)流程、完善數(shù)據(jù)管理措施與制度等.
4.4.2隱患排查數(shù)據(jù)安全隱患排查工作需要定期或基于數(shù)據(jù)安全威脅情報實時開展,主要是針對數(shù)據(jù)業(yè)務(wù)系統(tǒng)及數(shù)據(jù)處理流程中是否存在數(shù)據(jù)泄露、數(shù)據(jù)損毀或數(shù)據(jù)濫用等方面的漏洞進行檢查,隱患排查還可以借助相關(guān)數(shù)據(jù)安全漏洞掃描等工具輔助進行.
5結(jié)束語
近年來數(shù)據(jù)已經(jīng)成為國家重要的新型生產(chǎn)要素[13],數(shù)據(jù)要素的數(shù)據(jù)安全治理還處于初期研究階段,同時針對人工智能等新型技術(shù)領(lǐng)域的數(shù)據(jù)安全治理研究也在持續(xù)深入[14],一些相關(guān)的技術(shù)(如隱私安全計算、數(shù)據(jù)安全溯源等)還處于發(fā)展和成熟過程中,數(shù)據(jù)安全治理相關(guān)的行業(yè)及國家標準還沒有展開.相信隨著數(shù)據(jù)要素市場化的深入推進以及國家對數(shù)據(jù)安全領(lǐng)域的重視持續(xù)加強,數(shù)據(jù)安全治理將在實踐中逐步成熟.
參考文獻:
[1]全國人民代表大會常務(wù)委員會.中華人民共和國數(shù)據(jù)安全法[EB?OL].新華社,(2021-06-10)[2021-08-17].
[2]中國信息通信研究院云計算與大數(shù)據(jù)研究所.數(shù)據(jù)安全治理實踐指南(1.0)[R].北京:中國信息通信研究院,2021
[3]全國信息安全標準化技術(shù)委員會.GB?T37988—2019信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型[M].北京:中國標準出版社,2019
[4]阿里巴巴,數(shù)夢工場,安恒信息,等.數(shù)據(jù)安全能力建設(shè)實施指南V1.0(征求意見稿)[R].杭州:阿里巴巴數(shù)據(jù)安全研究院,2018
[5]王欣亮,任弢,劉飛.基于精準治理的大數(shù)據(jù)安全治理體系創(chuàng)新[J].中國行政管理,2019(12):121126
[6]國家互聯(lián)網(wǎng)信息辦公室.數(shù)據(jù)安全管理辦法(征求意見稿)[EB?OL].(2019-05-28)[2021-08-17].
作者:胡國華
相關(guān)閱讀
