数据安全治理 b u 建设指南 h t i g c . 5 北京安华金和科技有限公司 2019 年 4 月 m o m o h t i g b u c . 5 前言 Preface c . 5 m o 本指南由北京安华金和科技有限公司发起，并负责总体设计，最终 解释权归北京安华金和科技有限公司所有。 b u 本指南参与起草人：杨海峰、孙铮、刘海洋、李月飞、刘思成、宣淦淼、 张志刚。 h t i g m o h t i g b u c . 5 目录 Catalog 1. 范围和目的… ………………………………………………………………………… 1 m o 2. 数据安全治理与传统理念的关系和区别… ………………………………………… 1 2.1 数据安全治理概论… …………………………………………………………… 1 c . 5 2.2 数据安全治理与数据安全防护的关系… ……………………………………… 1 2.3 数据安全治理与数据安全能力成熟度模型的区别… ………………………… 2 2.4 数据安全治理与数据治理的关系… …………………………………………… 3 b u 3. 数据安全治理体系框架… …………………………………………………………… 4 h t i g 3.1 能力维度… ……………………………………………………………………… 5 3.2 执行维度… ……………………………………………………………………… 6 3.3 场景维度… ……………………………………………………………………… 6 4. 数据安全治理能力维度建设… ……………………………………………………… 7 4.1 组织建设… ……………………………………………………………………… 7 4.1.1 组织职能设计……………………………………………………………… 7 4.1.2 组织架构设计……………………………………………………………… 8 4.1.3 组织架构说明……………………………………………………………… 9 4.2 治理评估… ……………………………………………………………………… 10 4.2.1 评估规划…………………………………………………………………… 10 4.2.2 评估流程…………………………………………………………………… 12 4.2.3 评估内容…………………………………………………………………… 13 4.2.4 评估实施…………………………………………………………………… 17 4.2.5 治理建议 … ……………………………………………………………… 18 4.3 制度建设… ……………………………………………………………………… 20 4.3.1 制度体系框架设计………………………………………………………… 20 4.3.2 制度体系框架说明………………………………………………………… 20 4.4 技术建设… ……………………………………………………………………… 21 4.4.2 技术体系框架说明 … …………………………………………………… 22 5. 执行维度建设… ………………………………………………………………………22 5.1 资产梳理… ……………………………………………………………………… 22 5.1.1 资产分布梳理……………………………………………………………… 23 m o 5.1.2 资产访问梳理……………………………………………………………… 23 5.1.3 资产风险梳理……………………………………………………………… 23 c . 5 5.2 行为管控… ……………………………………………………………………… 24 5.2.1 角色定义管控……………………………………………………………… 24 b u 5.2.2 分类分级管控……………………………………………………………… 25 5.2.3 授权行为管控……………………………………………………………… 25 h t i g 5.2.4 操作行为管控……………………………………………………………… 27 5.3 治理稽核… ……………………………………………………………………… 28 5.3.1 审计与监控………………………………………………………………… 29 5.3.2 数据流动分析……………………………………………………………… 29 5.3.3 数据访问行为分析………………………………………………………… 29 5.3.4 异常访问识别与告警……………………………………………………… 29 6. 场景维度建设… ………………………………………………………………………30 6.1 数据分类分级… ………………………………………………………………… 30 6.1.1 概述………………………………………………………………………… 30 6.2.2 制度规范…………………………………………………………………… 30 6.1.3 技术工具…………………………………………………………………… 31 6.1.4 参考文件…………………………………………………………………… 31 6.2 开发测试场景… ………………………………………………………………… 31 6.2.1 概述………………………………………………………………………… 31 6.2.2 制度规范…………………………………………………………………… 31 6.2.2 技术工具…………………………………………………………………… 32 6.2.4 参考文件…………………………………………………………………… 32 6.3 数据运维场景… ………………………………………………………………… 32 6.3.1 概述………………………………………………………………………… 32 6.3.3 技术工具…………………………………………………………………… 33 6.3.4 参考文件…………………………………………………………………… 33 6.4 数据共享场景… ………………………………………………………………… 33 6.4.1 概述………………………………………………………………………… 33 m o 6.4.2 制度规范…………………………………………………………………… 33 6.4.3 技术工具…………………………………………………………………… 34 c . 5 6.4.6 参考文件…………………………………………………………………… 34 6.5 数据分析场景… ………………………………………………………………… 34 b u 6.5.1 概述………………………………………………………………………… 34 6.5.2 制度规范…………………………………………………………………… 34 h t i g 6.5.3 技术工具…………………………………………………………………… 35 6.5.4 参考文件…………………………………………………………………… 35 6.6 应用访问场景… ………………………………………………………………… 35 6.6.1 概述………………………………………………………………………… 35 6.6.2 制度规范…………………………………………………………………… 35 6.6.3 技术工具…………………………………………………………………… 36 6.6.4 参考文件…………………………………………………………………… 36 6.7 特权访问场景… ………………………………………………………………… 36 6.7.1 概述………………………………………………………………………… 36 6.7.2 制度规范…………………………………………………………………… 36 6.7.3 技术工具…………………………………………………………………… 37 6.7.4 参考文件…………………………………………………………………… 37 7. 纠正和优化数据安全治理体系… ……………………………………………………37 7.1 纠正措施… ……………………………………………………………………… 38 7.1.1 纠正措施的制定与实施…………………………………………………… 38 7.1.2 纠正措施实施情况的跟踪验证…………………………………………… 38 7.2 持续优化… ……………………………………………………………………… 38 7.2.1 能力、意识、培训………………………………………………………… 38 7.2.3 绩效评价…………………………………………………………………… 39 7.2.4 内部审核…………………………………………………………………… 40 7.2.5 管理评审…………………………………………………………………… 42 m o h t i g b u c . 5 数据安全治理建设指南 1. 范围和目的 本指南使用范围为从事数据安全治理体系建设的企业单位和准备建设数据安全治理体系 的企业和政府单位，提供参考。 本指南旨在指导企业和政府单位开展数据安全治理体系建设工作，包括能力维度、执行 维度、场景维度三个维度建设说明，帮助大家以实际经验为基础，将制度规范与技术工具有 效融合，以整体提升数据安全能力为最终目的，本指南具有全面性、先进性、持续性、可落 地性的特点。 m o 2. 数据安全治理与传统理念的关系和区别 c . 5 2.1 数据安全治理概论 数据安全治理（Data Security Governance 简称：DSG）, 主要目标是“让数据使用更安全”， 只有合理的处理好数据资产的使用与安全，政府与企业才能在新的数据时代稳健而高速发展。 b u 围绕“让数据使用更安全”的核心目标，重点关注数据的权限和数据应用的场景，帮助 用户完成数据安全治理体系的建设。 h t i g 数据安全治理并非单一产品或平台的构建，而是覆盖数据全部使用场景的数据安全治理 体系建设。因此，需要按步骤、分阶段的逐渐完成。数据安全治理并不是一个项目，而更像 是一项工程。为了有效实践数据安全治理，形成数据安全的闭环，我们需要一个系统化的过 程完成数据安全治理的建设。 2.2 数据安全治理与数据安全防护的关系 为了更加有效地理解数据安全治理概念与数据安全防护的差异，我们可以做一个比较： 差异对比 数据安全治理 数据安全防护 目标方面 以数据的安全使用为目标 以数据的安全防护，不受攻击为目标 对象方面 面向内部或准