2024年企业做好数据安全治理的六点建议

《数据安全法》颁布后，监管部门与行业主管部门陆续提出数据安全保护要求，各地也出台相关条例和办法，共同推动数据安全治理体系的建立与提升。对企业而言，数据安全治理体系建设是核心要务，通过综合建设组织架构、制度流程、技术工具和人员能力，解决了企业数据安全工作由谁来做，应该怎么做，实际怎么做和有没有能力做的问题。相较于单一的措施，体系化的数据安全建设更能全面保护企业数据，确保整体安全。然而，还有大量企业在数据安全治理体系的建设上面临着体系化能力不足的困境，更有部分企业对于如何着手构建这一体系感到无从下手，缺乏明确的指导和策略。

企业的数据安全治理体系建设是一项长期且复杂的任务，其建设过程离不开科学方法的指导。中国信通院深入研究数据安全治理体系建设方法论，在《数据安全治理能力实践指南（3.0）》（以下简称：《指南3.0》）中深入探讨了数据安全治理的目标、框架与实践路径，提炼出“全局规划、场景落地、运营强化、评估优化”的治理理念，为企业实施数据安全治理体系建设提供了有力指导。

同时，在建设数据安全治理体系的过程中，企业应积极引入独立的第三方评估机构进行定期评估。借助第三方机构丰富的行业案例和专业知识，企业能够确保数据安全治理体系的科学性、合规性和全面性。中国信通院分别依据YD/T 4558-2023《数据安全治理能力通用评估方法》和GB/T 37988-2019《信息安全技术 数据安全能力成熟度模型》开展数据安全治理能力评估服务（以下简称：DSG评估）和数据安全能力成熟度评估服务（以下简称：DSMM评估），为企业提供多种评估选择。其中DSG评估是中国信通院于2020年推出的国内首个综合性数据安全治理能力评估服务，经过3年多的发展，形成了系列评估服务，包括DSG通用评估、金融专项和汽车专项。迄今为止，中国信通院已经累计为包括头部金融机构、头部车企、三大运营商、头部互联网在内的27家企业提供了25次DSG评估服务和4次DSMM评估服务，助力这些企业实现数据安全治理体系的显著提升与优化。

业务联系人：刘雪花 18500238315（微信同号）

数据分类分级是数据安全治理工作开展的基础和前提，也是实现数据精细化管理、提升数据使用价值和降低数据安全风险的关键环节。“三法”均对数据分类分级提出了明确要求，《数据二十条》更细化了落实措施。工业、电信、金融、政务等行业领域也积极制定数据分类分级标准，以贯彻国家相关要求。各行业企业数据分类分级工作迅速启动并取得一定进展，但是数据分类分级工作还面临传统分类分级工具识别敏感数据难，数据分类分级维度选择与级别划分难和数据分类分级结果应用难等问题，企业数据分类分级工作实际效果有待提升。

企业应遵循成熟的方法论进行数据分类分级建设，以最大限度地降低建设过程中的潜在问题。在这方面，中国信通院《指南3.0》所提出的数据分类分级七步走建设思路，为企业开展数据分类分级工作提供了明确且高效的行动指南，值得企业借鉴参考。企业还应积极应用人工智能技术，以提升数据分类分级工具能力，从而提高数据分类分级工作的效率和准确性。

同时，企业在数据分类分级工作的重要节点上，应定期对自身的执行情况进行审视，确保数据分类分级的科学性、合理性和有效性。为帮助企业对数据分类分级工作开展情况进行客观评估，中国信通院推出了数据分类分级成熟度评估服务，对数据分类分级工作的规划、实施和运营三大阶段开展情况进行细致评价，以准确诊断企业实际的数据分类分级开展情况，并找到不足之处与提升方向。中国信通院已助力2家头部汽车企业实现数据分类分级能力提升。

业务联系人：李天阳18511978595（微信同号）

随着全球数据安全风险的整体形势日益严峻，数据安全风险的识别、评估与应对已成为我国广大企业数据安全治理体系建设工作中面临的最紧迫的问题。《数据安全法》鼓励开展数据安全风险评估，国家网信办、工业和信息化部、中国人民银行、国家医疗保障局等监管部门、行业主管部门相继发布了数据安全保护工作要求，提出数据处理者应建立健全数据安全风险评估机制，开展风险评估。以电信网和互联网行业和金融行业为代表的行业企业数据安全风险评估需求激增，但是大部分企业对于如何开展数据安全风险评估缺乏实践经验，急需专业机构的指导和支持。

为满足企业数据安全急迫需求和合规要求，企业应建立常态化数据安全风险评估机制，定期对数据安全进行全面、系统的评估，并将数据安全风险评估嵌入到企业的日常运营和管理中，确保数据安全始终得到有效保障。为服务企业这一需求，中国信通院深耕数据安全风险领域的理论研究，携手业内积极开展了数据安全风险评估以及治理实践探索。同时，中国信通院具备丰富的数据安全风险评估以及治理服务经验，先后服务国有六大行、商业银行以及国央企等大型客户，助力客户开展数据安全风险评估，排查客户面临的数据安全风险隐患问题，加强数据安全保障措施，统筹业务发展与数据安全，树立数据安全合规观念，切实防范数据安全风险。

业务联系人：龚诗然电话：15645106927 （微信同号）

合作方的数据安全管理作为企业对外数据安全管控的核心手段，在企业数据安全治理体系中的作用日益凸显。它不仅关乎企业自身的数据安全与合规，更影响着整个数据合作生态的健康发展。各行业开始关注合作方数据安全管理，国家金融监督管理总局、工业和信息化部在加强合作方数据安全管理的相关发文中均对提出对本行业合作方数据安全管理的明确要求。然而，目前企业合作方数据安全管理存在较大不足，供应链各企业数据安全能力参差不齐，缺乏有效的合作方数据安全管理抓手，使得企业在与第三方合作时难以确保数据安全，面临数据泄露和滥用的风险。 

企业应建立对合作方数据保护能力进行评估和监督的外防安全能力，压实合作方数据安全责任，提升整体防控水平。同时，企业可以借助第三方机构进行合作方数据保护能力评估，以评促建，合理规划合作方数据安全管理能力提升路径，实现闭环循环提升，保障合作方数据安全管理能力达到国家、行业监管部门及企业自身的要求。中国信通院牵头制定《合作方数据保护能力评估要求》，填补了国内在此领域的空白，并基于此开展合作方数据保护能力评估服务。该标准提出了合作方数据保护能力评估框架，从背景资质、数据安全管理、数据处理活动安全、安全监测响应四大维度评价合作方的数据安全保护能力，为企业进行合作方数据安全管理提供有力抓手。

首批合作方数据保护能力评估正式启动，贯标、试点评估单位正在征集中，欢迎各单位报名参与！

业务联系人：张亚兰15837112556（微信同号）

数据安全治理的落地实施需要各个部门和岗位的协同合作，数据安全运营作为其中的关键环节，能够协调各方资源，确保数据安全治理工作的顺利推进。随着企业数据安全建设的不断推进，对数据安全运营能力的关注日益增强。但是企业数据安全运营工作依然面临诸多挑战，一是技术不断更新与攻击手段层出不穷对企业的安全运营能力提出了挑战；二是人员安全意识薄弱与技能不足，成为制约企业数据安全运营的内在因素；三是合规性要求与业务发展需求的双重压力对企业数据安全运营提出了更高要求。 

企业应全面提升数据安全运营质效，既要增强数据安全运营工作的有效性，确保数据的安全与合规，又要为业务提供有力支撑，促进业务的稳健、持续发展。为协助企业落实数据安全运营管理工作，优化数据安全运营管理体系，提高数据安全运营管理质效，中国信通院牵头开展《数据安全运营质效评价》标准研究，并将在标准研制完成后将推出配套的评估服务，致力协助企业完善数据安全运营管理，提高数据安全保护能力，赋能业务长效发展。

业务联系人：郝志婧15712890577（微信同号）

随着大模型的爆火，越来越多的企业开始探索大模型的应用和落地。我国高度重视大模型的健康发展和规范应用，2023年国家网信办联合六部门发布《生成式人工智能服务管理暂行办法》了明确生成式人工智能技术的各项管理要求等，2024年全国两会中多位全国政协委员也就人工智能安全创新应用建言献策。在大模型发展势头强劲的总体背景下，数据安全问题日益凸显，企业在落地大模型时面临较大挑战：传统大模型训练的数据集通常存在数据未经过治理，数据使用缺少合规审查和安全保护等不足，从而造成数据泄露、侵权和合规风险等一系列问题。

企业应提前布局大模型数据安全，通过建立完善的数据安全管理体系，强化数据安全技术研发和应用，以及加强数据安全培训和意识提升，确保大模型技术的安全可控，为企业的长远发展提供坚实保障。为协助企业开展大模型数据安全管理工作，中国信通院牵头开展《大模型数据安全风险评估规范》标准研究，建立大模型数据安全风险评估模型，明确数据安全保护措施，提升大模型数据安全能力。并将在研究完成后推出配套评估测试，致力协助企业充分防范大模型在生成、使用、运营阶段面临的数据安全风险，安全合规的使用大模型。

业务联系人：张越15501008926（微信同号）