报告-从数据安全法到数据安全治理dr

CONTENTS目录数据安全法 数据安全治理 数据安全实践案例PART01 PART02 PART0301数据安全法数据作为市场要素成为国家战略2022-01-06中共中央国务院印发了《要素市场化配置综合改革试点总体方案》，第六章第十九、二十、二十一、二十二条，明确提出加快培育数据要素市场的意见。推进公共数据有序的流通和共享推动数据要素市场的培育打造统一的技术标准和数据生态加强数据安全保护总体要求市场决定有序流动健全制度创新监管问题导向分类施策稳中求进循序渐进要素领域要素市场化配置综合改革试点总体方案⚫探索完善公共数据共享、开放、运营服务、安全保障的管理体制⚫分级分类、分步有序推动部分领域数据流通应用⚫促进商业数据流通、跨区域数据互联、政企数据融合应用⚫强化网络安全等级保护要求，推动完善数据分级分类安全保护制度国家战略各国快速推进数据安全立法 中国陆续出台具有重大影响的数据安全法规时间 国家/地区 政策2018年12月 法国 新修订《法国数据保护法》2018年7月 印度 《2018个人数据保护法（草案）》2018年6月 美国加州 《加州消费者隐私法案》2018年5月25日 欧盟 《通用数据保护条例》（GDRP）2018年5月 巴西 《通用数据保护法》2015年9月 俄罗斯 《个人数据保护法》2015年5月 日本 《个人信息保护法案》时间 政策 重要影响2017年6月1日 《网络安全法》 数据泄露责任和日志审计责任明确2020年1月1日 《国家密码法》 国外密码相关的数据安全产品不再合法2021年9月1日 《数据安全法》 对国家重要数据明确保护要求2021年9月1日《关键信息基础设施安全保护条例》 保障关键信息基础设施安全，维护网络安全2021年7月10日《网络安全审查办法》（征求意见稿） 要求100万个人信息到国外上市要上报2021年11月1日 《个人信息保护法》 将对个人信息保护的安全责任更为明确等保2.0对数据安全提出具体要求监管机构和重要行业数据安全要求和措施等级 类别 对应产品二级安全通用要求 数据库漏扫/防火墙云计算安全扩展要求 数据库安全运维/加密三级安全通用要求 数据库防火墙/安全运维/加密/梳理/动态脱敏/审计云计算安全扩展要求 数据库审计/防火墙/加密二/三级参考 大数据应用数据库脱敏/防火墙/安全运维/审计/梳理/加密/脱敏/水印/行业 政策和措施银行《金融行业数据分级分类规范》、《证券期货数据分级分类指引》、《金融行业数据安全生命周期技术要求》国网 《电力监控系统安全防护规定》《国网营销系统数据脱敏规范》教育 《教育直属机关数据安全管理办法》等医疗 《信息安全技术健康医疗数据安全指南GB/T39725-2020》等公安 《关于紧急排查整改重要数据和公民个人信息泄露安全隐患的通知》（319整改方案）网信和工信 《电信与互联网行业提升网络数据安全保护能力专项行动方案》国内外数据安全法规和标准新业务生态下的数据安全威胁数据安全威胁和暴露面随着业务变化而增加主要外部威胁主要内部风险新技术新业态风险•利用应用系统的漏洞、网络漏洞进行注入攻击；•利用移动设备、智能设备、监控设备、无线网络、物联网进行渗透；•通过病毒、木马、0Day漏洞进行渗透攻击。•大数据、生物识别、公有云等新技术带来新的数据安全风险；•开源社区软件、第三方SDK、开发运维工具带有恶意代码；•交通生态中，和第三方合作企业进行的数据交互带来的风险。•内部员工有意、无意操作不当造成数据泄露；•业务人员使用对内部数据分析，使用数据不当；•高权限人员使用特权访问不当；•业务人员权控不当，超权限访问业务数据，过度访问业务数据；•通过邮件、移动存储设备等，泄露数据。新业务生态下的数据安全威胁第一章总则第二章数据安全与发展（安全与发展并重）实施大数据战略 加强数据开发和数据安全技术研究数据安全标准体系建设促进数据安全检测评估、认证服务健全数据交易管理制度第三章数据安全制度（保护重要数据） 第四章数据安全保护义务数据分类分级保护制度(重要数据保护目录)风险评估 风险报告信息共享 监测预警数据安全应急处置机制数据安全审查制度数据出口管制针对歧视性禁止、限制的对等措施数据安全管理制度数据安全治理数据安全教育培训数据安全技术措施数据安全管理机构数据安全风险监测数据安全风险评估(种类\数量\风险)合法、正当收集数据数据安全风险处置数据处理和服务数据来源审核、记录数据处理服务许可依法数据调取数据出境\跨境存储第五章政务数据安全与开放第六章法律责任第七章附则依照法律、行政法规收集、使用数据健全数据安全管理制度，落实保护责任 监督受托方履行数据安全保护义务 政务数据开放目录和开放平台2021年9月1日正式实施总体架构第三条本法所称数据,是指任何以电子或者非电子形式对信息的记录。数据处理，包括数据的收集、存储、使用、加工、传输、提供、公开等。数据安全，是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及保障持续安全状态的能力。术语定义《网络安全法》：网络数据：通过网络收集、存储、传输、处理和产生的各种电子数据。《民法典》：个人信息：以电子或者其他方式记录的能够单独或者与其他信息总结合识别特定自然人的各种信息，包括：姓名、出生日期、身份证号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。《数据安全管理办法》：数据收集、存储、传输、处理、使用等活动◆电子◆非电子◆收集、存储、使用、加工、传输、提供、公开数据形式 数据活动网络安全法 数据安全管理办法第一章总则第四条维护数据安全，应当坚持总体国家安全观，建立健全数据安全治理体系，提高数据安全保障能力。第五条中央国家安全领导机构负责国家数据安全工作的决策和议事协调，研究制定、指导实施国家数据安全战略和有关重大方针政策，统筹协调国家数据安全的重大事项和重要工作，建立国家数据安全工作协调机制。第六条各地区、各部门对本地区、本部门工作中产生、汇总、加工的数据及数据安全负主体责任。工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。公安机关等执法机构主体责任各地区、各部门行业主管部门监管责任监管和主体责任第二章数据安全与发展第十三条国家统筹发展和安全，坚持以数据开发利用和产业发展促进数据安全，以数据安全保障数据开发利用和产业发展。设专章对支持促进数据安全与发展的措施作了规定，保护个人、组织与数据有关的权益，提升数据安全治理和数据开发利用水平，促进以数据为关键生产要素的数字经济发展；坚持安全与发展并重。加强具体制度与整体治理框架的衔接。从基础定义、数据安全管理、数据分类分级、重要数据出境等方面，进一步加强与《网络安全法》等法律的衔接，完善我国数据治理法律制度建设；加大数据处理违法行为处罚力度，建设重要数据管理、行业自律管理、数据交易管理等制度，回应实践问题及社会关切。回应社会关切。《数据安全法》三个主要特点第十八条国家促进数据安全检测评估、认证等服务的发展，支持数据安全检测评估、认证等专业机构依法开展服务活动。检测认证数据安全检测评估、认证服务《GB/T

37932-2019

信息安全技术数据交易服务安全要求》数据安全认证培训、数据安全教育实训数据交易 第十九条国家建立健全数据交易管理制度，规范数据交易行为，培育数据交易市场。安全培训第二十条国家支持高等学校、中等职业学校、科研机构和企业等开展数据开发利用技术和数据安全相关教育和培训，采取多种方式培养数据开发利用技术和数据安全专业人才，促进人才交流。《数据安全法》第二章数据安全制度出口管制数据分级分类保护相关条款中的主体是国家或公安机关为主，但数据安全要落地就会深入到社会大众之中，尤其是企业。数据安全风险评估、报告、信息共享、监测预警机制数据安全应急处置机制数据安全审查制度反制歧视性措施地区/部门/行业重要数据目录风险信息的获取、分析、研判、预警依法启动应急预案及时发布与公众有关的警示信息影响国家安全的数据活动进行国家安全审查安全审查决定为最终决定对管制物项的数据依法实施出口管制对中国进行数据和数据开发利用技术等有关的投资、贸易采取歧视性的禁止、限制或其他类似措施的，可根据实际情况采取响应的措施第三章数据安全制度国家各地区各部门数据分类分级保护制度建立数据安全风险评建立 估等机制建立数据安全应急处置机制数据安全审查制度建立数据处理活动审查数据安全风险监测预警重要数据目录重点保护数据安全风险实施数据出口管制反歧视性政策反制采取监管部门数据安全职责第二十一条国家建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者公民、组织合法权益造成的危害程度，对数据实行分类分级保护，并确定重要数据目录，加强对重要数据的保护。关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据，实行更加严格的管理制度。各地区、各部门应当按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录，对列入目录的数据进行重点保护。分类分级数据梳理 敏感数据数据分类分级重要数据保护目录◆数据资产状况◆账户权限分布情况◆定义敏感数据◆敏感数据访问状况◆制定数据分类分级标准◆形成重要数据保护目录◆安全策略配置和管控《数据安全法》第三章网络安全法二十一条国家实行网络安全等级保护制度。第二十二条国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制,加强数据安全风险信息的获取、分析、研判、预警工作。风险管理◆数据库风险评估◆数据全生命周期安全评估◆数据库监测◆数据库态势感知◆上报风险信息◆共享风险信息◆应急组织和工具◆应急团队通过数据库、大数据审计流量监测，接口和应用流量采集、日志采集和分析，结合敏感数据清单、分类分级信息、资产备案信息，实现对外接口、生产运维、数据生命周期风险监测和事件处置能力，实现数据流转可视化能力。风险评估 风险监测 信息共享 应急响应第二十三条国家建立数据安全应急处置机制。发生数据安全事件,有关主管部门应当依法启动应急预案,采取相应的应急处置措施,消除安全隐患,防止危害扩大,并及时向社会发布与公众有关的警示信息。应急处置《数据安全法》第三章第二十四条国家建立数据安全审查制度,对影响或者可能影响国家安全的数据活动进行国家安全审查。依法作出的安全审查决定为最终决定。数据安全审查呼应网络安全审查办法首次提出数据出口管制概念赋予采取反制措施的权利出口管制 第二十五条国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制。第二十六条任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易等方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的，中华人民共和国可以根据实际情况对该国家或者地区对等采取措施。反歧视《数据安全法》第三章数据安全保护义务内控体系风险监测全流程数据安全管理制度数据安全教育培训保障数据安全的技术措施和其他必要措施设立数据安全负责人和管理机构数据安全缺陷、漏洞类型 补救措施数据安全事件及时告知用户报告主管部门定期评估与报送评估报告面临风险及其应对措施风险评估样本为重要数据评估人为处理者重要数据处理者主要数据的种类、数量收集、存储、加工、使用情况数据内容第四章数据安全保护义务重要数据的处理者数据处理活动开展加强风险监测风险评估报告网安法报送全流程数据安全管理制度建立健全处置数据安全缺陷漏洞数据安全教育培训组织开展数据安全负责人和管理机构明确采取技术措施保障数据安全开展风险评估数据安全事件补救主管部门报告关键基础设施运营者境内收集重要数据出境 数据出境安全管理办法行政许可数据交易中介服务机构数据来源，审核身份，留存审核，交易记录公安&国家安全机关调取批准重要数据处理者的数据安全保护义务政务数据安全与开放收集与使用存储、加工或向他人提供履行法定职责的范围依照法律、行政法规规定的条件和程序严格的批准程序监督受托方履行相应的数据安全保护义务公开与开放 及时、准确公开公正、公平、便民的原则开放目录、开放平台主要概括了政务数据的全生命周期管理的内容。数据安全法第五章依法保密国家机关建立健全数据安全管理制度落实数据安全保护责任，保障政务数据安全国家机关政务数据处理活动依法收集依法保密全流程数据安全建立健全管理制度落实保护责任受托方批准监督国家制定政务数据开放目录建设、维护电子政务系统存储、加工政务数据履行数据安全保护义务不得擅自留存、使用、泄露或者向他人提供政务数据依法公开构建政务数据开放平台具有管理公共事务职能的组织法律法规授权电子政务建设推进政务数据处理单位的数据安全保护义务数据安全法第六章第四十三条有关主管部门在履行数据安全监管职责中,发现数据活动存在较大安全风险的,可以按照规定的权限和程序对有关组织和个人进行约谈。有关组织和个人应当按照要求采取措施,进行整改,消除隐患。第四十四条开展数据处理活动的组织、个人不履行本法。第四十五条从事数据交易中介服务的机构未履行本法。第四十六条违反本法第三十四条规定，拒不配合数据调取的。第四十七条国家机关不履行本法规定的数据安全保护义务的，对直接负责的主管人员和其他直接责任人员依法给予处分。法律责任遵守法律规定，落实数据安全保护义务。1、具有强制约束力的规范；2、双罚机制；3、国家机关及其工作人员的数据保护义务；数据安全多主体罚款：50万<组织最高罚款<200万，1万<个人最高罚款<20万违反国家核心数据管理制度，危害国家主权、安全和发展利益的，由有关主管部门处二百万元以上一千万元以下罚款，并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照；构成犯罪的，依法追究刑事责任。数据安全法重要条款总结条款 主体 内容三.第二十一条国家机关 1、建立数据分类分级保护制度2、统筹协调有关部门制定重要数据目录地区、部门、行业确定本地区、本部门以及相关行业、领域的重要数据具体目录三.第二十二条国家机关 1、建立数据安全风险评估、报告、信息共享、监测预警机制2、统筹协调有关部门加强数据安全风险信息的获取、分析、研判、预警工作三.第二十三条国家机关 建立数据安全应急处置机制主管部门 依法启动应急预案，采取相应的应急处置措施，发布与公众有关的警示信息三.第二十四条国家机关 1、建立数据安全审查制度2、进行国家安全审查三.第二十五条国家机关 依法实施出口管制三.第二十六条国家机关 对歧视性禁止、限制的对等反制措施四.第二十七条数据处理者 1、建立健全全流程数据安全管理制度2、组织开展数据安全教育培训3、采取技术措施保障数据安全4、重要数据处理者，应明确数据安全负责人和管理机构四.第二十九条数据处理者 1、加强风险监测2、发现数据安全缺陷、漏洞等风险时，立即采取补救措施3、发生数据安全事件时立即采取处置措施，及时告知用户并向有关主管部门报告条款 主体 内容四.第三十条重要数据处理者1、定期开展风险评估，并向有关主管部门报送风险评估报告2、报告应包括重要数据的种类、数量，开展数据处理活动的情况，面临的数据安全风险及其应对措施等四.第三十一条关键基础设施运营者适用《网络安全法》对重要数据进行出境管理其他数据处理者重要数据的出境安全管理办法，由国家网信部门会同国务院有关部门制定四.第三十三条数据交易中介服务机构1、要求数据提供方说明数据来源2、审核交易双方的身份并留存审核、交易记录五.第三十八条国家机关 1、依法收集和使用数据2、对在履职中知悉的个人隐私、个人信息、商业秘密、保密商务信息等予以保密五.第三十九条国家机关 建立健全数据安全管理制度，落实数据安全保护责任，保障政务数据安全五.第四十条国家机关(委托方)委托他人建设、维护电子政务系统，存储、加工政务数据1、应当经过严格的批准程序2、监督受托方履行相应的数据安全保护义务受托方 履行数据安全保护义务，不得擅自留存、使用、泄露或者向他人提供政务数据五.第四十一条国家机关 及时、准确公开政务数据。依法不予公开的除外五.第四十二条国家机关 制定政务数据开放目录，构建安全可控的政务数据开放平台www.在此输入公司网址.com网络数据安全管理条例第五条国家建立数据分类分级保护制度。按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度，将数据分为一般数据、重要数据、核心数据，不同级别的数据采取不同的保护措施。第九条数据处理者应当采取备份、加密、访问控制等必要措施，……数据处理者应当按照网络安全等级保护……处理重要数据的系统原则上应当满足三级以上网络安全等级保护和关键信息基础设施安全保护要求，处理核心数据的系统依照有关规定从严保护。数据处理者应当使用密码对重要数据和核心数据进行保护。第十二条数据处理者向第三方提供个人信息，或者共享、交易、委托处理重要数据的，应当遵守以下规定：（一）……行政法规规定的不需要取得个人同意的情形或者经过匿名化处理的除外；第三十条重要数据的处理者，应当制定数据安全培训计划，每年组织开展全员数据安全教育培训，数据安全相关的技术和管理人员每年教育培训时间不得少于二十小时。02数据安全治理Gartner看数据安全治理：2015年提出数据安全治理概念2017年，数据安全治理是数据安全的风暴之眼➢数据安全治理不仅仅是一套用工具组合的产品级解决方案，而是从决策层到技术层，从管理制度到工具支撑，自上而下贯穿整个组织架构的完整链条。➢Gartner对“安全和风险管理”的基本定义：组织内的各个层级之间需要对数据安全治理的目标和宗旨取得共识，确保采取合理和适当的措施，以最有效的方式保护信息资源。安华金和与数据安全治理在国内首家提出数据安全治理在国家网信办指导下，成立数据安全治理工作组在公安部指导下，成立数据安全治理委员会举办第三届数据安全治理高峰论坛5月13日举办第四届数据安全治理高峰论坛同时发布数据安全治理白皮书3.05月13日第五届中国数据安全治理高峰论坛201620172018201920212022数据安全治理大事记第四条维护数据安全，应当坚持总体国家安全观，建立健全数据安全治理体系，提高数据安全保障能力。第十一条国家积极开展数据安全治理、数据开发利用等领域的国际交流与合作，参与数据安全相关国际规则和标准的制定，促进数据跨境安全、自由流动。两次提及数据安全治理，可见在政企单位建立数据安全治理体系的重要性。数据安全法中的数据安全治理政企单位现状：数据安全建设缺乏体系化、标准化数据安全法都有哪些条指导我们做好数据安全治理呢？第二十一条国家建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录，加强对重要数据的保护。各地区、各部门应当按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录，对列入目录的数据进行重点保护。《数据安全法》中分类分级要求⚫国家建立数据分类分级保护制度。按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度，将数据分为一般数据、重要数据、核心数据，不同级别的数据采取不同的保护措施。⚫国家对个人信息和重要数据进行重点保护，对核心数据实行严格保护。⚫各地区、各部门应当按照国家数据分类分级要求，对本地区、本部门以及相关行业、领域的数据进行分类分级管理。第五十一条个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等，采取下列措施确保个人信息处理活动符合法律、行政法规的规定，并防止未经授权的访问以及个人信息泄露、篡改、丢失：（一）制定内部管理制度和操作规程；（二）对个人信息实行分类管理；（三）采取相应的加密、去标识化等安全技术措施；《个人信息保护法》中分类分级要求《网络数据安全管理条例》落实了两法的国家数据分类分级保护制度，对一般数据、个人信息、重要数据等如何保护给出了具体要求。…… ……分类分级是数据安全的重要前提分类分级是数据全流程动态保护的重要前提，不仅是数据安全治理的第一步，也是当前数据安全治理的痛点和难点。分类分级 数据资产梳理 数据分类分级建立数据分类分级保护制度重要程度危害程度数据在经济社会发展中的重要程度遭到篡改、破坏、泄露或者非法获取、非法利用，造成的危害程度数据资产梳理 数据分类分级“摸清家底”《数据资产清单》《业务流转图》《业务数据分布报告》《现有数据安全防护调研报告》《数据分类分级清单》《数据分类分级标准指南》《敏感数据清单》合规要求数据安全防护支撑与基础，针对性的数据防护，减轻综合投入成本01 02测试数据资产杂乱不清数据资产归属不清晰避免一刀切的控制方式，数据安全管理更加精细。01 02目录交付目的解决问题数据分类分级服务框架（闭环）数据分类分级基本方法行业数据分类分级指引数据分类分级动态管控如何保护重要数据措施追溯监测监管内部风险 流程和制度 数据“跑冒滴漏”外部风险 违规使用 暴露公网API被违规开放大数据组件暴露数据的收集、存储、使用、加工数据传输、提供、公开数据保护 敏感数据 重要数据保护目录如何进行风险管理风险管理 风险评估 监测预警 信息共享 应急处置护网数据安全风险信息的获取、分析、研判、预警工作。数据安全风险评估、报告、信息共享、监测预警机制数据安全应急处置机制启动应急预案 采取相应的应急处置措施，及时向社会发布与公众有关的警示信息。《公共互联网网络安全威胁监测与处置办法》《公共互联网网络安全突发事件应急预案》重保网络安全法五十三条制定应急预案，并定期组织演练数据安全治理实践第三章数据安全制度（保护重要数据）数据分类分级保护制度(重要数据保护目录)风险评估 风险报告信息共享 监测预警数据安全应急处置机制数据安全审查制度数据出口管制针对歧视性禁止、限制的对等措施《数据安全分级分类规范指引》在制定过程中。【重要数据目录】省部主管（行业主管）与地方协商制订，这里涉及数据共享格式是否统一。数据的收集、存储、使用、加工中的“跑冒滴漏”，通过DAS、DPS、DOMS、DES等技术手段监管。数据传输、提供、公开，防止在公网暴露，通过DSWMS、DAS、DPS等手段监管。应建立《数据安全事件应急处置机制》，并定期进行非授权数据批量泄露和数据篡改事件处置演练。落地的面临问题缺乏制度无法监管违规事件无规范约束，安全管理制度未覆盖，出现的数据安全问题。有安全管理制度和规范约束；缺乏技术支撑落地手段；出现如批量泄露无审计措施。有安全管理制度和规范约束；已具备技术支撑落地；出现如运维人员违反规范的批量刷库行为。《数据安全法》中的数据安全治理应建制度、有监管、定期上报数据安全风险监测补丁未升级弱口令低安全策略高危程序代码缺省配置权限宽泛加强风险监测•提权漏洞•SQL注入漏洞•缓冲区溢出•访问控制漏洞•拒绝服务漏洞立即采取补救措施监测数据安全全生命周期数据中台/数据湖数据收集存储 数据使用加工数据提供公开 数据应用生产库归集库主题库专题库中间库DMS数据脱敏系统开发测试库第三方开发测试第三方运维WEB应用系统 API共享库API分析系统、报表系统、查询系统、第三方数据服务共享库脱敏文件中间库表数据安全缺陷 安全漏洞 数据采集系统临时库外部用户立即采取发现安全 处置措施事件及时告知用户并上报主管部门数据安全风险评估01据有资多产少需（要种类和数量）数纳入管理范畴需要回答的信息03数据资产环境是否存在安全隐患，如漏洞、弱口令02开展数据处理活动的情况。数据从哪来，敏感数据有哪些，位于什么地方，被谁访问04权数据环境中有多少活跃账号、限如何，面临的数据安全风险和应对措施。资产价值评估安全事件的损失资产识别脆弱性识别 脆弱性评估威胁识别 威胁评估安全事件的可能性综合风险评估风险评估三要素：资产价值评估、脆弱性评估、威胁评估向主管部门报送定期开展风险评估数据安全治理实践一级：总体方针，二级：制度，三级：程序；四级：表格；可通过办法、发函、细则来落实；预计形成一级《制度》，二级《指引》，三级《细则》,四级《操作规范》。实际岗位名称和职责待定，根据实际情况数据运营团队有可能在管理团队下面。第四章数据安全保护义务数据安全管理制度数据安全治理数据安全教育培训数据安全技术措施数据安全管理机构数据安全风险监测数据安全风险评估(种类\数量\风险)合法、正当收集数据数据安全风险处置数据处理和服务数据来源审核、记录数据处理服务许可依法数据调取数据出境\跨境存储通过数据安全运营管控平台随时监测，一般提供报告的周期与运维周期相同，定期做风险监测报告，建议间隔是1年。定期做风险评估报告，建议间隔时间是1年。数据安全治理面临挑战泄露数据数据的收集、存储、使用、加工、传输、提供、公开环节泄露出去了，流到黑市交易首先是思想和意识层面，政企单位应该牢固树立数据安全意识观，建立全流程数据安全管理制度和规范，这是防止数据泄露的前提。多部门参与结合必要手段才能达成目标网安部门业务部门风控部门数据处理部门单位决策层参与和推进依据《数据安全法》和行业的规章制度管好数据安全成本控制专业性不足技术能力认知不足数据安全治理如何落地数据安全治理从整体结构入手，方案带动评估、平台满足合规购置审计、脱敏产品根据需求购置各种场景化数据安全设备运营平台建设、策略优化、事件处理、持续监控设置安全策略逐步融入管理流程，融入现有IT设施自顶向下方案带动平台已有单品复购搭建平台12这里开始这里开始03数据安全实践案例安华金和数据安全治理能力十二年专注数据安全领域政企案例丰富 数据库安全No.1安华金和多项技术专利，数据库漏洞挖掘能力业内第一。海关、税务、社保、银行、证券、国网、铁路、民航等安全建设。数据库审计、数据库防火墙、数据库脱敏、数据库加密、数据安全运营管控平台业内最强。数据安全治理理念领先北京市数据安全保障小组组长单位。承办数据安全治理高峰论坛。数据资产梳理数据资产梳理前 数据资产梳理后记录和客户申报：110个库 ◼最终梳理出290个库，其中180个库无人认领和管理◼无主库中包含敏感信息库90多个◼最终有43个库确认是僵尸库，进行了清理◼资产不明，有多少存量资产未知◼数据无分类分级，数据缺乏管理依据和制度。◼访问来源混乱，权限混乱无体系◼自动梳理：自动化分析数据资产类型、归属。◼数据分级：将客户信息进行分类，分级管理。◼资产认领：所有未知资产全部认领。◼资产台账：责任到部门、人，建立数据资产安全标识。◼数据热度：监控资产和数据使用热度，进行重点防护和监管◼监控风险：记录核心数据库的运维操作，对第三方运维人员操作进行全面的审计和监控；关键价值◼彻底解决数据底账不清的问题◼为后续数据安全防护体系的建设提供依据◼建立长效监控机制，动态监控资产和数据变化，一劳永逸数据分类分级实践中烟数据分级分类客户需求对中烟信息系统内的数据进行收集、整理，归类，运用相应地数学模型，对数据的类别、特征、生命周期、安全要求等各方面进行综合建模，结合相应地法律法规，形成以下方面的标准：⚫数据资产分类标准。数据资产分类标准研究是按照数据的主题、形态、元特征、应用、部署地点、生成时间等进行分类，数据分类维度的选择以数据主题为优先。⚫数据资产分级标准。数据资产分级标准是按照数据的保密性和完整性等进行高低级别的划分。对最关键和最有价值的数据采取最高级别的防护措施，同时减少不必要的投入。⚫数据资产安全防护标准。依据数据资产不同的分类和分级信息，结合国家、行业，提出不同分类、分级对应的安全防护标准。项目背景累计10年的订单明细约为20亿行，每周产生的数据量约为500万行，交易笔数约为3亿/年，更多的消费者数据将纳入到烟草生态圈中，烟草行业的数据量大且增长迅猛。然而，烟草数据的巨大价值也引发了黑客组织和攻击者的高度关注。分析发现，烟草数据安全事件具有以经济利益为主要目的、以重要敏感烟草数据为攻击目标、攻击大多来源于企业外部等特点。如何推动企业提升烟草数据安全管理能力，在促进烟草数据使用、流动与共享的同时实现有效管控治理，成为亟待解决的问题。智慧城市数据安全十四五要求《北京市十四五智慧城市发展行动纲要》网络数据的安全防护，事前监测与数据库风险评估、事中防护与数据库防火墙、事后响应与数据库安全审计相关。数据分级分类与数据资产梳理，安全咨询服务，数据安全运营管控平台密切相关。智慧城市数据安全要求《北京政府投资信息化项目数据资源管理办法（试行）》这几个基础库是数据集中存储的关键。涉及数据安全管理制度咨询和安全风险评估。第七条市经济信息化委会同人口、法人、自然资源和地理空间、宏观经济、电子证照等基础信息资源库市级牵头部门，共同编制、发布和维护基础信息资源目录。第八章政务信息资源安全第二十六条市经济信息化委会同市网络信息安全监管部门建立政务信息资源安全管理制度，组织开展风险评估和安全审查。市经济信息化委要建立市级大数据管理平台统一身份认证、权限管理、数据加密等技术防护体系，增强其风险防范能力。政务部门要建立健全信息安全制度，对政务信息资源实施分级分类管理，确保政务信息资源采集、共享和使用安全。第二十七条政务部门应建立应急响应和灾难恢复机制，制定工作预案，根据政务信息资源重要程度，采取相应策略。第二十八条政务部门要加强对公民个人信息的保护，处理好公民个人信息保护与共享开放的关系，防止个人信息被非法获取或泄露。涉及数据加密、分级分类、确保采集、共享和使用安全。保护好个人隐私信息。关键价值◼政务数据大屏展示，需要过滤个人隐私、企业敏感数据◼智慧城市通过“数据共享”提升了数据使用价值，同时面临数据安全隐患，需要通过技术手段避免大规模数据泄漏◼共享数据的业务系统数量多，数据脱敏需要统一的策略管理机制，业务系统“定制开发”不可行。◼第三方开发人员、外包人员组织结构复杂，需要统一控制，集中管理，防止敏感数据大批量泄漏某智慧城市数据动态脱敏实践数据动态脱敏展示效果工业数据分类分级指南（试行）第六条工业企业工业数据分类维度包括但不限于研发数据域（研发设计数据、开发测试数据等）、生产数据域（控制信息、工况状态、工艺参数、系统日志等）、运维数据域（物流数据、产品售后服务数据等）、管理数据域（系统设备资产信息、客户与产品信息、产品供应链数据、业务统计数据等）、外部数据域（与其他主体共享的数据等）。第七条平台企业工业数据分类维度包括但不限于平台运营数据域（物联采集数据、知识库模型库数据、研发数据等）和企业管理数据域（客户数据、业务