数据安全治理白皮书 b u 数据安全治理委员会  编著 h t i g c . 5 m o m o h t i g b u c . 5 前言 Preface m o 该白皮书由中国网络安全与信息化产业联盟数据安全治理委员会（简称数 c . 5 据安全治理委员会）起草编著，通过对国内外当下的数据安全情势与市场趋势 进行解读与前瞻，结合国际相关标准与框架，提出符合中国信息化建设阶段和 需求的数据安全治理理念与框架，旨在帮助政府与企业进行数据安全建设的整 b u 体思考与规划，为数据安全建设的设计与实施者提供具有参考价值的数据安全 治理整体方案及案例实践。白皮书中阐述的数据安全治理体系是以数据资产的 h t i g 正常使用为前提，保障数据在各使用场景下的安全，促进数据价值的释放与共 享。 白皮书主要撰写单位：北京安华金和科技有限公司、北京数字认证股份有 限公司、北京炼石网络技术有限公司、中金金融认证中心有限公司、北京亿赛 通科技发展有限责任公司。 主要撰写人：刘晓韬、杨海峰、闻璐、宣淦淼、付蓉洁、沈雪峰、李伟明、 刘思成、李敏、岳小杰、柴思跃、李贺等。 ▇ 委员会介绍 中国网络安全与信息化产业联盟数据安全治理委员会（以下简称数据安全治 理委员会）是在中国网信联盟的指导与支持下，由北京市“数据库安全保障小组 组长单位”安华金和牵头，联合业内知名企业发起的专业技术创新工作组织，这 也是迄今为止，全国首家数据安全领域的专项委员会。 委员会将在中国网信联盟的指导下，在行业专家及学术专家的支持下，以行 业数据安全应用为目标、以产业协作为主线、以技术创新为核心，形成在数据安 全领域的技术研究、思维碰撞、学术探讨、行业实践分享的交流平台，探索和推 动政府、行业、企业在数据安全治理工作上的思路、规范和技术实践，以期达成 在数据即资产时代，既保障数据安全又促进数据的分享和使用。 2018 中国数据安全治理峰会，数据安全治理委员会正式成立并对外发布《数 据安全治理白皮书》1.0 版本。2019 年，延续 1.0 版本，数据安全治理委员会编写 团队共同编著修订了 2.0 版本。未来，委员会各成员单位将发挥各自所长，持续 开展产业研究与方案整合，共同推动数据安全治理理念与框架在各行业中的应用 落地与经验分享，以期为各级政府与企业单位提供具有行业针对性的数据安全治 m o 理方案与技术支撑，帮助共同实现数据资产的价值释放。 c . 5 ▇ 主任单位介绍 北京安华金和科技有限公司（以下简称安华金和），公司 2009 年 3 月 2 日 成立至今，一直专注于数据安全领域，是中国专业的数据安全产品及解决方案提 b u 供商，由长期致力于数据处理和信息安全领域的专业人士共同创造。安华金和能 够提供数据库安全全线产品及方案，并以此为支撑，全国首家提出“数据安全治理” h t i g 框架，提供涵盖人员组织、安全策略、流程制定及技术支撑全方位的整体安全思 路与方案。 围绕公司使命与愿景，安华金和主营业务方向分为三大部分： 1. 围绕数据库安全，安华金和推出全线数据库安全产品及解决方案。 2. 推进数据安全治理理念在各行业的方案落地和实践。 3. 面向公有云和私有云环境特性，提供云数据安全全线产品，为公有云和私 有云用户提供数据安全整体解决方案。 目录 Catalog 《数据安全治理白皮书》2.0 版本修订说明…………………………………………… 1 一．数据安全建设需要系统化建设思路……………………………………………… 2 m o 1.1 数据安全成为安全的核心问题… ……………………………………………… 2 1.2 数据泄露路径多元化… ………………………………………………………… 4 c . 5 1.3 数据安全相关法规和标准大爆发… …………………………………………… 7 1.4 数据安全建设需要有系统化思维和建设框架… ……………………………… 9 b u 二．数据安全治理基本理念…… …………………………………………………………10 2.1 Gartner 数据安全治理理念…… ………………………………………………… 10 h t i g 2.2 Microsoft 的 DGPC 理念… ……………………………………………………… 11 2.3 数据安全治理概论… …………………………………………………………… 14 2.3.1 数据安全治理的愿景……………………………………………………… 15 2.3.2 数据安全治理的需求目标………………………………………………… 15 2.3.3 数据安全治理的核心理念………………………………………………… 15 2.3.4 数据安全治理建设与演进模型…………………………………………… 16 2.3.5 数据安全治理框架………………………………………………………… 17 2.3.6 数据安全治理与传统安全概念的差异…………………………………… 17 2.4 数据安全治理与数据安全成熟度模型… ……………………………………… 18 2.5 数据安全治理与数据治理… …………………………………………………… 19 三．数据安全治理的组织建设…………………………………………………………20 四．数据安全治理规范制定…… …………………………………………………………21 4.1 外部所要遵循的策略…… …………………………………………………… 22 4.2 数据的分级分类…… ………………………………………………………… 24 4.3 数据资产及使用状况的梳理… ………………………………………………… 26 4.3.1 数据使用部门和角色梳理………………………………………………… 26 4.3.2 数据的存储与分布梳理…………………………………………………… 26 4.3.3 数据的使用状况梳理……………………………………………………… 26 4.4 数据的访问控制… ……………………………………………………………… 27 4.5 定期的稽核策略… ……………………………………………………………… 28 五．数据安全治理技术支撑框架………………………………………………………29 m o 5.1 数据安全治理的技术挑战… …………………………………………………… 29 5.1.1 数据安全状况梳理技术挑战……………………………………………… 29 c . 5 5.1.2 数据访问管控技术挑战…………………………………………………… 30 5.1.3 数据安全的稽核和风险发现挑战………………………………………… 30 b u 5.2 数据安全治理的技术支撑… …………………………………………………… 31 5.2.1 数据资产梳理的技术支撑………………………………………………… 31 h t i g 5.2.2 数据使用安全控制………………………………………………………… 32 5.2.3 数据安全审计与稽核……………………………………………………… 38 六 . 数据安全治理的发展展望 … ………………………………………………………40 附件 A  词汇列表…… ……………………………………………………………………43 附件 B  国际数据安全治理理论…… ……………………………………………………44 Gartner 关于数据安全治理（DSG）的框架与观点…… …………………………… 44 Microsoft 提出的 DGPC 框架………………………………………………………… 45 数据治理的商业案例… ………………………………………………………… 46 DGPC 框架组件… ……………………………………………………………… 46 附件 C  数据安全治理实践…… …………………………………………………………53 电信数据安全治理实践……………………………………………………………… 53 C.1.1 运营商数据安全现状与挑战… ……………………………………………… 53 C.1.2 运营商数据安全对策… ……………………………………………………… 53 C.1.3 电信数据安全治理具体实践… ……………………………………………… 54 C.1.3.1 建立组织… ……………………………………………………………… 54 C.1.3.2 建立总则………………………………………………………………… 55 C.1.3.3 梳理职责………………………………………………………………… 55 C.1.3.4 数据分类分级…………………………………………………………… 56 C.1.3.5 定义岗位角色与权限…………………………………………………… 56 C.1.3.6 建立账号与授权管理机制……………………………………………… 57 m o C.1.3.7 建立客户敏感信息操作规范…………………………………………… 57 C.1.3.8 落实客户信息安全日常审查…………………………………………… 58 c . 5 C.1.3.9 落实客户信息系统的技术管控………………………………………… 59 C.1.4 实践总结… …………………………………………………………………… 59 b u 教育部数据安全治理实践…………………………………………………………… 59 教育部数据安全治理现状与挑战… …………………………………………… 59 h t i g 教育部数据安全治理具体实践… ……………………………………………… 60 梳理敏感数据的资产… ………………………………………………………… 60 实践总结… ……………………………………………………………………… 61 市政务云数据治理实践……………………………………………………………… 61 市政务云数据治理具体实践… ………………………………………………… 62 基于敏感特征发现数据库敏感数据… ………………………………………… 62 实践总结… ……………………………………………………………………… 62 国家电网数据安全治理实践………………………………………………………… 63 国家电网数据安全治理面临挑战… …………………………………………… 63 国家电网数据安全治理具体实践… …………………………………………… 64 建立数据安全治理技术保障体系… …………………………………………… 65 实践总结… ……………………………………………………………………… 66 附件 D  数据安全生态环境…… …………………………………………………………67