技术白皮书　 电信和互联网行业 数据安全治理白皮书 （2020 年） m o c . 5 b u h t i g 中国软件评测中心·网络空间安全测评工程技术中心 2020 年 7 月 h t i g b u m o c . 5 序 言 世界主要国家纷纷采取数据本地化等强制性措施，维护数据 主权并争夺数据资源。国内诸多政策、立法齐头并进，为推动数 据安全及其治理实践提供全面保障，数据安全治理政策法律环境 空前向好。 电信和互联网行业是全球数字化进程的先驱，随着行业数据 内外部应用的同步拓展和推进，新技术新网络形态的创新融合应 m o c . 5 用，数据安全面临诸多新挑战，行业数据资源价值释放严重受阻， 治理思路、治理模式、治理手段亟需创新。 本白皮书由中国软件评测中心网络空间安全测评工程技术 中心撰写，参与人员包括白利芳、朱信铭、王涛、王翔宇、张嘉 b u 欢、张德馨、黄峥、宁黄江、李杺恬，在此特别感谢中国电子信 h t i g 息产业发展研究院副院长黄子河、副总工程师安晖、中国软件评 测中心副主任吴志刚及总工程师陈渌萍对本白皮书的撰写指导， 感谢王芳、王闯两位同事研提的宝贵意见，及品牌宣传推广部刘 喜喜、闫晓丽的编辑及排版支持，限于研究时间有限，报告内容 难免存在纰漏，不足之处恳请各方同仁批评指正！ 中国软件评测中心 唐刚 2020 年 7 月 3 日 h t i g b u m o c . 5 版权声明 本白皮书版权属于中国软件评测中心，并受法律保护，转载、 摘编或利用其他方式使用本白皮书文字或观点的，应注明“来源： m o c . 5 中国软件评测中心”，违反上述说明的，本单位将追究其相关法 律责任。 h t i g b u 指导组：黄子河 编写组：唐 刚 王翔宇 宁黄江 b u h t i g 安 晖 吴志刚 白利芳 朱信铭 张嘉欢 张德馨 李杺恬 m o c . 5 陈渌萍 王 涛 黄 峥 目 录 前 言.................................................................................................... - 1 一、 概述 ............................................................................................. - 3 (一) 概念及内涵 .......................................................................... - 3 1. 数据治理概念分析 .............................................................. - 3 2. 数据安全治理理念 .............................................................. - 5 (二) 行业数据主要分类 .............................................................. - 6 1. 基于行业特点划分 .............................................................. - 6 - m o c . 5 2. 基于服务对象划分 .............................................................. - 7 (三) 行业数据典型应用 .............................................................. - 8 - 1. 行业数据主要应用类型 ...................................................... - 8 2. 行业数据典型应用案例 .................................................... - 10 - b u 二、 电信和互联网行业数据安全发展形势 ................................... - 11 (一) 行业数据安全总体形势 .................................................... - 11 - h t i g 1. 事件影响范围不断扩大 .................................................... - 11 2. 风险危害程度日趋严重 .................................................... - 12 3. 安全治理难度持续升级 .................................................... - 13 (二) 行业数据安全主要风险 .................................................... - 14 1. 互联网暴露面问题突出 .................................................... - 14 2. 数据不可控性明显增加 .................................................... - 14 3. 数据安全管理体系不完善 ................................................ - 14 三、 电信和互联网行业数据安全治理环境 ................................... - 15 (一) 国际数据安全治理环境 .................................................... - 15 1. 欧盟密集立法深刻影响全球治理格局 ............................ - 15 2. 美国多点立法捍卫其多元化社会利益 ............................ - 17 3. 国际数据治理情绪高涨配套动作频繁 ............................ - 18 (二) 国内数据安全治理环境 .................................................... - 20 1. 国内政策多头并进迎来治理新格局 ................................ - 20 - 2. 国内数据治理标准化进展领先国际 ................................ - 22 四、 电信和互联网行业数据安全治理需求 ................................... - 23 (一) 国内外政策形势紧迫 ........................................................ - 23 (二) 安全和发展双重驱动 ........................................................ - 24 (三) 数据拥有者权益期待 ........................................................ - 25 五、 电信和互联网行业数据安全治理实践 ................................... - 26 (一) 国外典型实践案例 ............................................................ - 26 1. 微软之 DGPC 框架 ........................................................... - 26 2. Gartner 之 DSG 框架 .......................................................... - 27 - m o c . 5 (二) 国内典型实践案例 ............................................................ - 29 1. 监管层主要实践 ................................................................ - 29 2. 企业层实践案例 ................................................................ - 31 (三) 国内外实践对比 ................................................................ - 33 - b u 1. 国外标志性实践 ................................................................ - 34 2. 国内标志性实践 ................................................................ - 35 - h t i g (四) 行业实践问题分析 ............................................................ - 35 1. 企业顶层驱动力不足 ........................................................ - 35 2. “网元”模式待升级 ............................................................. - 36 3. 缺乏用户侧权益考量 ........................................................ - 36 六、 电信和互联网行业数据安全治理框架 ................................... - 36 (一) 数据安全治理层 ....................................................