数据安全治理实践指南（1.0） 中国信息通信研究院云计算与大数据研究所 2021 年 7 月 版权声明 本报告版权属于中国信息通信研究院，并受法律保护。 转载、摘编或利用其它方式使用本报告文字或者观点的，应 注明“来源：中国信息通信研究院”。违反上述声明者，本院 将追究其相关法律责任。 编制说明 本指南的撰写得到了行业内许多专家的支持和帮助，他们分别来 自：北京天融信网络安全技术有限公司、OPPO 广东移动通信有限公 司、杭州美创科技有限公司、中国电信股份有限公司、联通数字科技 有限公司、北京百度网讯科技有限公司、启明星辰信息技术集团股份 有限公司、蚂蚁科技集团股份有限公司、天翼云科技有限公司、中国 联合网络通信集团有限公司、杭州安恒信息技术股份有限公司、北京 奇虎科技有限公司、奇安信科技集团股份有限公司、中国联通研究院、 闪捷信息科技有限公司、恒安嘉新（北京）科技股份公司、京东数字 科技集团、贝壳找房（北京）科技有限公司等。在此表示由衷的感谢。 前 言 2021 年 6 月《中华人民共和国数据安全法》 （以下简称“《数据安 全法》 ”）正式颁布，标志着我国数据安全进入有法可依、依法建设的 新发展阶段。 《数据安全法》明确提出在坚持总体国家安全观基础上， 建立健全数据安全治理体系，提高数据安全保障能力。 由于数据本身具有流动性、多样性、可复制性等不同于传统生产 要素的特性，数据安全风险在数字经济时代被不断放大，因此，对数 据安全治理的要求也越来越高。如何协调政府、行业、企业、个人等 多元主体，形成协同共治机制？如何平衡数据开发利用和数据安全保 护，实现发展与安全的齐头并进？如何构建覆盖数据全生命周期安全 的治理框架？如何在各组织中落实数据安全治理的具体要求？这些 都是当前数据安全治理面临的重要问题。 本指南参考数据安全领域的相关标准，重点以中国互联网协会 T/ISC-0011-2021《数据安全治理能力评估方法》为基础，阐述了数据 安全治理的内涵；从组织如何落实数据安全治理要求的角度出发，提 出数据安全治理总体视图；按照数据安全治理目标、治理框架、治理 实践路径分别提出落地建议，并对未来发展进行展望。此外，指南还 收录了部分企业开展数据安全治理的实践经验。 目 录 一、 数据安全治理概述............................................... 1 (一) 数据安全治理概念内涵 ......................................................................................... 1 (二) 数据安全治理要点阐释 ......................................................................................... 2 二、 数据安全治理总体视图........................................... 3 三、 数据安全治理参考框架........................................... 5 (一) 数据安全战略 ........................................................................................................... 5 (二) 数据全生命周期安全 ............................................................................................. 7 (三) 基础安全 .................................................................................................................. 10 四、 数据安全治理实践路线.......................................... 13 (一) 第一步：治理规划 ................................................................................................ 14 (二) 第二步：治理建设 ................................................................................................ 15 (三) 第三步：治理运营 ................................................................................................ 24 (四) 第四步：治理成效评估 ....................................................................................... 27 五、 数据安全治理未来展望.......................................... 29 六、 附录：数据安全治理企业实践.................................... 30 (一) 中国联通集团数据安全治理实践 .................................................................... 30 (二) 蚂蚁集团数据安全治理实践.............................................................................. 35 (三) 百度数据安全治理实践 ....................................................................................... 39 (四) 天翼云数据安全治理实践 .................................................................................. 43 参考文献........................................................... 47 图 目 录 图 1 数据安全治理总体视图...................................................................................... 4 图 2 数据安全治理参考框架...................................................................................... 5 图 3 数据安全治理组织架构示意图........................................................................ 16 图 4 数据安全管理制度体系示意图........................................................................ 18 图 5 一套可参考的数据安全管理制度体系............................................................ 19 图 6 数据安全管控流程参考示意图........................................................................ 20 图 7 数据安全技术工具部署示意图........................................................................ 20 图 8 数据安全人员能力培养体系............................................................................ 23 图 9 中国联通数据安全体系总体框架.................................................................... 31 图 10 蚂蚁数据安全复合治理管理模式.................................................................. 35 图 11 蚂蚁集团数据安全四重保障图 ...................................................................... 38 图 12 百度数据安全治理工作路线.......................................................................... 39 图 13 百度数据安全治理三步走.............................................................................. 40 图 14 百度数据安全治理实践.................................................................................. 41 图 15 天翼云数据安全治理实践路标图.................................................................. 43 图 16 天翼云数据安全治理能力.............................................................................. 45 图 17 天翼云数据安全技术体系.............................................................................. 46 表 目 录 表 1 数据安全组织架构角色及职责分工............................................................