专题丨数据安全治理体系与技术研究

数据安全治理体系与技术研究

李晓伟  吴迎  邹彧  白云飞

（兴唐通信科技有限公司，北京 100191）

摘要：随着数字产业化和产业数字化的快速推进，数据已经成为数字化转型时代的核心竞争力。随着数据成为资产，成为基础设施，数据的安全受到前所未有的重视和保护。数据安全治理融合了数据安全技术和数据安全管理，是以“数据使用安全”为目标的技术体系。通过对数据安全治理的必要性以及其发展现状进行分析，提出了一种以数据安全标识为基础的数据安全治理体系框架和技术架构。

关键词：数据安全；数据安全治理体系；数据安全标识

中图分类号：TN929.11      文献标识码：A

引用格式：李晓伟, 吴迎, 邹彧, 等. 数据安全治理体系与技术研究[J]. 信息通信技术与政策, 2021,47(8):51-55.

doi：10.12267/j.issn.2096-5931.2021.08.008

0  引言

《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》明确提出数据是推动数字化发展的关键要素，必须加快数字产业化和产业数字化，推进数字化发展。为更好地发挥数据的基础资源作用和创新引擎作用，要做好数据资源的开发、利用和保护：一方面要使数据连起来、跑起来、用起来；另一方面要强化数据的安全保障^[1]。数据安全治理是“围绕数据安全使用”的愿景，以“让数据使用更安全”为目的的安全体系构建方法论，覆盖了敏感信息管理、安全防护、合规三大目标构建而成的技术体系。它不仅是一套多种数据安全工具协同组合的产品级解决方案，而且是从管理制度到工具支撑，从决策层到技术层，自上而下贯穿整个组织架构的完整体系链条^[2-4]。

1  数据安全治理的必要性

数据的安全和使用是相互矛盾需要调和的两个方面，既要确保数据的高效使用，又要保证数据的安全管理，成为一个值得关注的问题。

（1）数据规模暴涨，战略价值提升。根据《大数据白皮书（2020年）》统计^[5]，2020年全球共产生数据量达到47 ZB，预计到2035年这一数据量将达到2142 ZB，全球数据量逐年迎来爆发式的规模增长，数据己成为一种能够影响国家战略决策的战略资源，谁掌握了更多、更有价值的数据，谁就掌握了未来的主动权。

（2）数据泄露频繁，安全需要治理。根据ForgeRock《消费者身份信息违规报告》2020年公布的数据^[6]，网络犯罪分子在2019年暴露了超过50 亿条数据记录，给美国造成了超过1.2 万亿美元的损失。随着数据泄露问题的日趋严重，对数据安全治理的需求越来越迫切。

（3）政策要求明确，推进治理实施。我国已发布《中华人民共和国数据安全法》，明确了数据安全的重要性，对数据安全防护提出了基本要求。随着网络安全战略地位的上升和国家大数据战略的加快实施，数据安全已经成为我国重点关注的问题。

2  数据安全治理发展现状

2.1  国际发展

在国际上，Gartner对数据安全治理进行了一系列研究，近年来推出了一系列研究报告和框架模型^[2]：2015年，提出数据安全治理的概念和相应的原则与框架；2017年，提出适用于数据安全评估与控制的持续自适应安全风险和信任评估模型（CARTA）；2018年，发布研究报告《如何使用数据安全治理框架》，正式提出数据安全治理（DSG）框架；2020年4月，提出安全和风险管理者应借助DSG框架，在两种数据泄露防护（DLP）方案之间做选择。

2.2  国内发展

2017年，中国网络安全产业联盟成立数据安全治理工作组，组织召开首届数据安全治理高峰论坛^[7]；2018 年，在第二届数据安全治理高峰论坛上成立全国首个数据安全领域的专项委员会——数据安全治理委员会，并发布《数据安全治理白皮书》^[8]；2019年，在第三届数据安全治理高峰论坛上数据安全治理委员会发布《数据安全治理建设指南》及《数据安全治理白皮书2.0》^[9]。

3  数据安全治理体系框架设计

围绕数据安全治理需求，本文借鉴国内外数据安全治理研究成果，基于“标识数据、梳理资产、动态防护、精确管控、持续提升”理念，从组织建设、过程管理、技术支撑、治理评价和制度体系五个维度构建以数据为中心、安全标识为基础，以组织管理为核心的数据安全治理体系框架（见图1）。