解读数据安全治理能力评估框架2.0，第四批DSG评估征集中

12月21日，在2021数据安全产业峰会议中，中国信通院云计算与大数据研究所工程师刘雪花解读了《数据安全治理能力评估框架2.0》。

2021年《数据安全法》、《个人信息保护法》相继颁布实施，配套的行政法规、部门规章和地方条例也在陆续制定，这表明数据安全进入了强监管时代。

企业落实数据安全保护和个人信息保护义务，需要建设数据安全治理体系。数据安全治理不再局限于技术层面或管理层面，而是需要围绕数据全生命周期安全，推动组织架构、制度流程、技术工具、人才培养四位一体的总体布局和全面规划。

衡量企业的数据安全治理能力，需要进行数据安全治理能力评估。正如《数据安全法》提出的，国家层面大力支持数据安全检测评估、认证等服务的开展。

中国信通院早在2020年就启动了数据安全治理评估相关工作，其中就包括《数据安全治理能力评估方法》标准的研制。1.0版本的标准制定于2020年10月启动，2021年4月27日正式发布，2.0版本修订于2021年6月启动。

数据安全治理能力评估标准2.0在三方面的进行了优化，包括紧跟监管要求，实现了对最新合规要求的全面覆盖；设置更加友好的评估等级，提供了阶段性的建设、改进和评估依据；并基于大量DSG评估经验优化了部分标准条款。

在法律法规的对标方面，主要对《数据安全法》、《个人信息保护法》中规定的数据安全和个人信息安全保护义务与要求进行了全面的对标和完整的覆盖。

数据安全治理能力评估框架2.0将企业的数据安全治理能力分为三个层次，分别是数据安全战略层、数据全生命周期安全和基础安全，并进一步细分成15个能力项。评估主要从组织架构、制度流程、技术工具、人员能力四个维度展开，并将评估的结果划分成5个等级。

数据安全战略层从企业的顶层规划方面提出要求，评估企业为数据安全治理搭框架、配人手的能力。其中数据安全规划能力项关注企业在数据安全治理方面的顶层组织架构建设情况，机构人员管理能力项关注企业数据安全从业人员在管理、技术、运营等方面的安全能力。

数据全生命周期安全主要评估企业在数据全流转过程进行规范和约束，以降低各环节数据安全风险的能力。对数据采集安全、数据传输安全、数据存储安全、数据使用安全、数据共享安全、数据销毁安全都提出了全面的要求。

基础安全评估企业在基础安全方面的保障能力，包括数据分类分级、合规管理、合作方管理、监控审计、身份认证与访问控制、安全风险分析、安全事件应急等方面的能力要求。

评估框架2.0的等级设置依据组织的数据安全治理能力的覆盖范围、支撑力度进行划分。第一级“初始级”指没有正式的数据安全治管理流程和体系。第二级“重点执行级”指在部门或者数据职能领域中建立了基本的制度流程及技术工具。第三级“全面治理级”指在组织层面具备了完善的管理机制和技术体系。第四级“量化评估级”指建立了量化评估体系。第五级“持续优化级”指组织能动态改进持续优化,成为行业标杆。

框架2.0的亮点主要体现在专注于数据安全，以数据为中心建设安全体系，对数据全生命周期进行保护；该框架既是方法论，也是度量准则和操作指南，具备较强的操作性；同时，该框架的更新紧跟立法趋势，实现对最新合规要求的覆盖。

中国信通院早在2020年9月就启动了数据安全治理评估工作，在工业和信息化部网络安全管理局的指导下，于2020年12月正式推出国内首个“数据安全治理能力评估服务”，数据安全治理能力评估服务以“准确度量企业的数据安全治理能力现状，合理规划数据安全治理能力提升路径”为目标，帮助企业发现数据安全治理能力不足，推动行业数据安全治理能力发展。

企业参加DSG评估的收益包括发现企业数据安全现存问题、明确企业的数据安全发展方向，提升企业数据安全治理能力，帮助企业在应对监管时做到“心中有数”。此外，DSG评估还提供了很多后续增值的服务，如沙龙、论坛、大会等交流平台，标准、研究报告等研究成果以及宣传推广的机会。

DSG评估正在持续开展中，2021年共完成3批次33家企业DSG评估工作，参评单位行业涉及电信运营商、互联网、金融、医疗、物联网等。

目前第四批DSG评估正在征集中，欢迎咨询！

联系人

中国信息通信研究院@刘雪花

电话：18500238315（同微信）

邮箱：[email protected]

dbaplus社群@林老师

电话：19879094604（同微信）

邮箱：[email protected]