在信息爆炸的今天,數(shù)據(jù)已成為驅(qū)動社會進(jìn)步與經(jīng)濟(jì)發(fā)展的核心引擎。為了進(jìn)一步規(guī)范與提升我國大數(shù)據(jù)治理水平,近日,國家標(biāo)準(zhǔn)《信息技術(shù) 大數(shù)據(jù) 數(shù)據(jù)治理實施指南》GB/T 44109-2024正式頒布,并將于2024年12月1日起全面實施。這一里程碑式的舉措,不僅標(biāo)志著我國數(shù)據(jù)治理工作邁入了標(biāo)準(zhǔn)化、規(guī)范化的新階段,更為各行各業(yè)的數(shù)據(jù)管理樹立了明確的方向和標(biāo)準(zhǔn)。
一、標(biāo)準(zhǔn)化引領(lǐng)數(shù)據(jù)治理新篇章
《信息技術(shù) 大數(shù)據(jù) 數(shù)據(jù)治理實施指南》作為組織開展數(shù)據(jù)治理工作的權(quán)威指導(dǎo)性文件,其出臺旨在通過統(tǒng)一的框架和指南,引導(dǎo)各行業(yè)、各領(lǐng)域的數(shù)據(jù)治理實踐走向標(biāo)準(zhǔn)化、規(guī)范化。
它不僅滿足了組織對數(shù)據(jù)質(zhì)量、安全和價值挖掘的迫切需求,還為數(shù)據(jù)治理行業(yè)的蓬勃發(fā)展注入了強(qiáng)勁動力。通過該指南,組織能夠準(zhǔn)確評估自身數(shù)據(jù)治理的成效,獲取專業(yè)的改進(jìn)策略,從而穩(wěn)步提升數(shù)據(jù)治理能力,釋放數(shù)據(jù)的潛在價值。
隨著大數(shù)據(jù)技術(shù)的飛速發(fā)展與廣泛應(yīng)用,數(shù)據(jù)已成為國家基礎(chǔ)性戰(zhàn)略資源。數(shù)據(jù)治理,作為提升組織競爭力、實現(xiàn)可持續(xù)發(fā)展的關(guān)鍵一環(huán),其重要性日益凸顯。
1. 國家政策持續(xù)加碼,推動數(shù)據(jù)安全治理
國家層面高度重視數(shù)據(jù)安全治理,一系列相關(guān)政策的出臺,彰顯了政府在保障數(shù)據(jù)安全、促進(jìn)數(shù)據(jù)流通和發(fā)展數(shù)字經(jīng)濟(jì)方面的決心。數(shù)據(jù)作為關(guān)鍵生產(chǎn)要素,其安全與合規(guī)利用對于維護(hù)國家安全、保護(hù)個人隱私、促進(jìn)經(jīng)濟(jì)繁榮具有不可替代的作用。
2023年2月27日,中共中央、國務(wù)院印發(fā)的《數(shù)字中國建設(shè)整體布局規(guī)劃》中明確,數(shù)字中國建設(shè)要夯實數(shù)字基礎(chǔ)設(shè)施和數(shù)據(jù)資源體系“兩大基礎(chǔ)”,要筑牢可信可控的數(shù)字安全屏障。近幾年來,我國加快出臺數(shù)據(jù)安全方面的立法進(jìn)程,加強(qiáng)防范數(shù)據(jù)安全風(fēng)險。相繼出臺了《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《密碼法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》《個人信息保護(hù)法》《數(shù)據(jù)安全管理辦法》等多項政策法規(guī),以及《信息安全技術(shù)個人信息安全規(guī)范》《數(shù)據(jù)安全風(fēng)險評估管理辦法》等行業(yè)規(guī)章制度,為數(shù)據(jù)安全行業(yè)的規(guī)范化發(fā)展、數(shù)據(jù)安全領(lǐng)域的技術(shù)發(fā)展和應(yīng)用深化提供了指導(dǎo)和參考。
2. 數(shù)據(jù)安全與發(fā)展并重,發(fā)揮數(shù)據(jù)要素價值
我國堅持?jǐn)?shù)據(jù)安全與發(fā)展并重,安全是發(fā)展的前提,發(fā)展是安全的保障。《數(shù)據(jù)安全法》對數(shù)據(jù)安全的定義為“通過采取必要措施,確保數(shù)據(jù)處于有效保護(hù)和合法利用的狀態(tài),以及具備保障持續(xù)安全狀態(tài)的能力”。《網(wǎng)絡(luò)安全法》對等保、關(guān)基對象已提出數(shù)據(jù)安全要求,《數(shù)據(jù)安全法》進(jìn)行銜接,要求利用網(wǎng)絡(luò)開展數(shù)據(jù)處理活動,應(yīng)當(dāng)在等?;A(chǔ)上履行數(shù)據(jù)安全保護(hù)義務(wù)。
貫穿數(shù)據(jù)全生命周期,在數(shù)據(jù)采集、傳輸、存儲、處理、共享、銷毀等各階段,政企均需進(jìn)行安全防護(hù)。數(shù)據(jù)分類分級保護(hù),不同類型、不同級別的數(shù)據(jù),重要程度、可能造成的危害程度不同,應(yīng)當(dāng)匹配不同的保護(hù)措施。“管理+技術(shù)+運(yùn)營”體系建設(shè),數(shù)據(jù)安全不僅是技術(shù)問題,更是管理問題;《數(shù)據(jù)安全法》規(guī)定,數(shù)據(jù)處理者要建立數(shù)據(jù)安全管理制度,也要采取技術(shù)措施保障數(shù)據(jù)安全,還要加強(qiáng)風(fēng)險監(jiān)測;《個人信息保護(hù)法》也在管理、技術(shù)、運(yùn)營等方面提出要求。
3. 數(shù)據(jù)安全威脅多發(fā),風(fēng)險驅(qū)動數(shù)據(jù)安全治理
數(shù)據(jù)具有可復(fù)制、可無限供給等屬性,伴隨各類數(shù)據(jù)迅猛增長,數(shù)據(jù)安全問題由沖擊個人隱私、商業(yè)秘密上升至損害國家利益。
-
2019年,虛假“貸款A(yù)PP”致超150萬人隱私信息泄露;
-
2019年,世界煉鋁巨頭公司邊界防護(hù)能力不足,經(jīng)濟(jì)損失慘重;
-
2020年,歐洲能源集團(tuán)遭勒索軟件攻擊,5TB數(shù)據(jù)被盜;
-
2020年,美國醫(yī)療機(jī)構(gòu)數(shù)據(jù)泄露,引發(fā)安全性擔(dān)憂。
三、數(shù)據(jù)安全治理面臨諸多挑戰(zhàn)
我國在數(shù)據(jù)安全治理推進(jìn)工作中已取得了一系列重要成就,為數(shù)字經(jīng)濟(jì)的健康快速發(fā)展奠定了堅實基礎(chǔ),同時也面臨新的挑戰(zhàn)亟待解決。
1.數(shù)據(jù)安全合規(guī)落地困難
國家出臺了一系列政策文件,體現(xiàn)了合規(guī)升級、監(jiān)管趨嚴(yán)的宏觀趨勢。
《數(shù)據(jù)安全法》《個人信息保護(hù)法》相繼出臺,對數(shù)據(jù)要素流通使用過程中的數(shù)據(jù)安全與隱私保護(hù)作出相關(guān)規(guī)定。
-
2021年12月,國務(wù)院出臺《要素市場化配置綜合改革試點總體方案》提出要探索建立數(shù)據(jù)要素流通規(guī)則,加強(qiáng)數(shù)據(jù)安全保護(hù),推動完善數(shù)據(jù)分級分類安全保護(hù)制度。
-
2022年12月2日,《關(guān)于構(gòu)建數(shù)據(jù)基礎(chǔ)制度更好發(fā)揮數(shù)據(jù)要素作用的意見》明確指出,數(shù)據(jù)安全是數(shù)據(jù)要素流通交易的底線和紅線,是開展數(shù)據(jù)流通交易的首要條件。
-
2022年12月,工信部印發(fā)《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)》,圍繞數(shù)據(jù)收集、存儲、加工、傳輸、提供、公開、銷毀、出境、轉(zhuǎn)移、委托處理等環(huán)節(jié),提出相應(yīng)安全管理和保護(hù)要求等七個方面。
-
2023年6月,交通運(yùn)輸部印發(fā)《公路水路關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)管理辦法》提出,切實保障公路水路關(guān)鍵信息基礎(chǔ)設(shè)施安全,維護(hù)網(wǎng)絡(luò)和數(shù)據(jù)安全。
-
2023年7月,《中國人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)安全管理辦法(征求意見稿)》提出,鼓勵數(shù)據(jù)處理者在保障安全合規(guī)前提下,積極促進(jìn)數(shù)據(jù)高效流通和創(chuàng)新應(yīng)用。
-
2024年1月,《“數(shù)據(jù)要素×”三年行動計劃(2024-2026)》的出臺以推動數(shù)據(jù)要素高水平應(yīng)用為主線,提出要提升數(shù)據(jù)供給水平、優(yōu)化數(shù)據(jù)流通環(huán)境、加強(qiáng)數(shù)據(jù)安全保障。
2. 數(shù)據(jù)要素流通風(fēng)險
數(shù)據(jù)要素流通使用環(huán)境復(fù)雜,涉及多方主體、多個環(huán)節(jié),同時數(shù)據(jù)產(chǎn)品具有極易復(fù)制、非排他性、難追溯等特征,均使數(shù)據(jù)流通使用面臨安全風(fēng)險、隱私泄漏挑戰(zhàn)等問題。這不僅威脅國家數(shù)據(jù)安全,也不利于企業(yè)和個人數(shù)字權(quán)益的保護(hù),嚴(yán)重阻礙數(shù)據(jù)要素流通使用市場化配置。
3. 數(shù)據(jù)資產(chǎn)發(fā)現(xiàn)與分類分級難題
數(shù)據(jù)形態(tài)日益豐富,數(shù)據(jù)資產(chǎn)梳理和分類分級難度加大,極易產(chǎn)生安全死角。同時,數(shù)據(jù)的類別級別需要結(jié)合業(yè)務(wù)場景進(jìn)行動態(tài)調(diào)整,在不同場景下的等級認(rèn)定以及相應(yīng)的管控或處理技術(shù)可能不同,數(shù)據(jù)分類分級的持續(xù)性難以保持。
傳統(tǒng)漏洞、弱口令、高危端口等安全問題及新生的勒索、挖礦、違規(guī)外聯(lián)等未知威脅層出不窮,缺乏專業(yè)安全運(yùn)營團(tuán)隊和常態(tài)化運(yùn)營機(jī)制,導(dǎo)致現(xiàn)有安全防控能力難以抵御數(shù)據(jù)安全威脅。
四、全流程數(shù)據(jù)治理體系保障數(shù)據(jù)安全
面對數(shù)據(jù)治理過程中的重重挑戰(zhàn),道普信息作為第三方數(shù)字化風(fēng)險管控專家,提出了構(gòu)建全流程數(shù)據(jù)安全治理體系的創(chuàng)新思路。這一體系覆蓋了數(shù)據(jù)的采集、存儲、處理、傳輸和銷毀等全生命周期,確保數(shù)據(jù)在每一個環(huán)節(jié)都能得到妥善管理和有效保護(hù)。
通過數(shù)據(jù)治理體系建設(shè),不斷開發(fā)創(chuàng)新的數(shù)據(jù)服務(wù),融合目標(biāo)、流程、方法、工具,建立覆蓋數(shù)據(jù)全生命周期的"數(shù)據(jù)管理機(jī)制、數(shù)據(jù)管理平臺、數(shù)據(jù)開放平臺“框架,實現(xiàn)數(shù)據(jù)的資產(chǎn)化、可視化、服務(wù)化,保障數(shù)據(jù)的核心價值。
強(qiáng)化數(shù)據(jù)安全風(fēng)險評估,對數(shù)據(jù)全生命周期進(jìn)行風(fēng)險識別和評估,提升數(shù)據(jù)安全保障能力、風(fēng)險發(fā)現(xiàn)能力,確保數(shù)據(jù)安全風(fēng)險可控。
基于網(wǎng)絡(luò)安全責(zé)任制、等級保護(hù)、關(guān)基保護(hù)、密碼應(yīng)用、數(shù)據(jù)安全、個人信息保護(hù)等監(jiān)管要求,開展等保、密碼、關(guān)保等多規(guī)測評,針對風(fēng)險提出改進(jìn)建議,幫助完成合規(guī)整改。
從運(yùn)營管理、運(yùn)營運(yùn)行、運(yùn)行技術(shù)三方面,構(gòu)建具備一體化的分析識別、安全防護(hù)、監(jiān)測評估、監(jiān)測預(yù)警、主動防御、事件處置功能的數(shù)字安全保障體系,形成終端防護(hù)、邊界隔離與威脅監(jiān)測的安全方案,實現(xiàn)安全運(yùn)營。
國家標(biāo)準(zhǔn)《信息技術(shù) 大數(shù)據(jù) 數(shù)據(jù)治理實施指南》GB/T 44109-2024的發(fā)布與實施,是我國數(shù)據(jù)安全治理體系邁向成熟的重要標(biāo)志。構(gòu)建全流程數(shù)據(jù)安全治理體系,不僅是應(yīng)對當(dāng)前數(shù)據(jù)治理挑戰(zhàn)的關(guān)鍵舉措,也是我國乃至全球數(shù)字經(jīng)濟(jì)健康、穩(wěn)定發(fā)展的基石。讓我們攜手并進(jìn),共創(chuàng)數(shù)據(jù)安全新紀(jì)元,為數(shù)字經(jīng)濟(jì)的繁榮發(fā)展貢獻(xiàn)力量。