鑽石舞台

掃碼訂閱《中國信息安全》雜誌

權威刊物 重要平台 關鍵渠道

郵發代號 2-786

5月13日，由中國計算機學會計算機安全專委會、工業信息安全產業發展聯盟、中關村網絡安全與信息化產業聯盟、北京工業互聯網技術創新與產業發展聯盟聯合主辦，北京安華金和科技有限公司承辦的第五屆中國數據安全治理高峰論壇在雲上盛大開啟，首個雲上論壇——個人信息保護與數據安全治理論壇成功召開。

論壇伊始，中國電子信息產業發展研究院黨委書記劉文強作論壇致辭。作為互聯網建設大國，我國高度重視數據安全相關制度建設，具有較為成熟的法律體系。當前，我國正處於網絡建設強國的關鍵階段，劉文強對於個人信息保護與數據安全治理發展提出三點建議：

一是創新探索，為保障數字經濟的健康發展，亟需探索出一條安全治理的有效路徑；

二是集智攻關，要加強產學研合作，建立研究機構與相關數據處理主體的聯動機制，運用研究技術的科研能力結合企業技術積累和服務體系，開展數據治理的示範應用；

三是久久為功，國內頭部企業要發揮示範引領作用，不斷增強網絡安全防護能力及數據安全保障水平，切實有效防範各類風險。我們需要銘記，只有牢牢守住安全底線，才能為數字經濟發展助力，為數字中國建設貢獻力量。

中國軟件評測中心副主任劉龍庚在致辭時表示，數據已成為國家基礎性戰略資源，不僅有利於推動我國經濟社會高質量發展，也有利於提升國家治理能力現代化水平。近年來，個人信息泄露、數據過度搜集、大數據殺熟等侵犯個人合法權益的事件屢屢發生，數據處理者作為數據管理的主體，有義務有責任積極開展數據安全治理工作，保證數據的完整性、保密性和可用性。劉龍庚提出，個人信息保護與數據安全治理處於挑戰與機遇並存的發展初期，需要業界各方群策群力，共同探討發展路徑，齊力推動我國數據安全產業實現快速、健康、可持續發展。

數據安全問題與日俱增，數據安全立法進程大幅加快，數據認證規範化要求正當其時。中國網絡安全審查技術與認證中心網絡安全審查二部主任陳世翔在「數據安全認證解讀」主題演講中表示，近年來，隨着我國數據安全頂層設計的日益完善，所出台的數據安全法律法規也對認證認可提出了要求。其中，《個人信息保護法》提出，要支持有關機構開展個人信息保護評估、認證服務；個人信息處理者確需向境外提供個人信息的，應當按照國家網信部門的規定經專業機構進行個人信息保護認證。

為了更好地落實數據安全法律法規要求，加強認證制度規劃和建設工作，我們應當促進認證制度同其他制度銜接、採信，專注數據安全、個人信息保護領域基礎理論、評價方法及檢測工具的研究，並積極跟蹤國外認證制度，形成滿足我國數據、產品、服務的國際貿易需求的認證制度，促進市場監管國際化水平的提升，為構建全面開放的新格局作出貢獻。

數據安全管理規定邁入新階段，有關個人信息保護、重要數據安全等方面的細則規定及其價值邏輯，對於各方主體的合規風控工作均產生了重大影響。北京師範大學互聯網發展研究院院長助理、博導，中國互聯網協會研究中心副主任吳沈括在「數據治理與企業刑事合規風控」演講中表示，數據已經成為企業業務運行及研發創新的重要驅動力，與之同時伴隨的數據刑事風險也日漸凸顯。

在《個人信息保護法》《關鍵信息基礎設施安全保護條例》等法律法規全面施行的新階段，針對單位犯罪刑事責任的企業合規風控要求有三大基本元素：強調法規要求內嵌到企業業務全流程、強調企業各部門各條線的合規大協同、強調企業的運營活動目標的正向價值。

吳沈括指出，企業欲求面向未來的數據合規之道，需要構建兼具技術可行性以及成本合理的應急處置機制、做好內外數據資產管理、落實關鍵崗位和人員的高水平管理，全面搭建適用於各種數據類型，融匯技術治理、組織治理與生態治理的多維體系，進而邁上數據大合規的戰略風控新高度。

數據安全保護的重點有兩個方面：一是保護個人信息安全，另一方面是保護重要數據安全。日前出台的多項法律法規和政策文件中，均對重要數據安全提出了要求。

中國信息安全研究院網絡安全研究所正高工崔占華在「重要數據安全相關國家標準進展」主題報告中提到，2022年1月13日，全國信息安全標準化技術委員會發布正式的《重要數據識別指南（徵求意見稿）》，對重要數據的界定範圍發生了重大的變更，即重要數據指「以電子方式存在的，一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能危害國家安全、公共利益的數據」，且明確排除了國家秘密和單獨的個人信息，體現了有關重要數據的立法趨勢，相較於此前對於重要數據的界定更為清晰。

此外，崔占華提出了重要數據的描述格式，各組織上報重要數據時應明確本行業的監管要求和目前適用的管理政策並對數據的重要性進行描述，明確重要數據的來源、用途、共享交換情況、保護措施等，再按程序上報。今年，全國信息安全標準化技術委員會在國家標準需求清單中列出的第一項標準，就是《重要數據處理安全要求》，需要各類企事業單位高度關注，在管理制度上、技術措施上做好準備，做到對數據的全流程保護。

在大數據應用日益廣泛的今天，政務數據資源共享和開放已經成為促進大數據產業發展的關鍵，但由於政務數據的敏感性，加之政府數據分類分級標準的滯後和缺失，使政府數據開放和共享面臨諸多困難。

中國軟件評測中心雲安全實驗室主任李安倫在「政務數據的安全合規思考」分享中表示，數據分類分級是數據全流程動態保護的基本前提，也是當前政務數據安全建設的痛點和難點；開展數據分類分級是落實法律法規的必須措施，是國家推動數據開放共享、提升數據資源價值的前提，同時也是履行數據安全合規的法定義務。

為更好地迎接數字政府建設帶來的數據安全挑戰，李安倫呼籲政務數據主管部門構建省、市、區/縣三級試點模式，探索並形成可落地、可複製的政務數據分類分級實施路徑和模式，並在國家網絡安全等級保護制度的基礎上嚴格落實數據安全檢測評估、認證等，全方位提高數據安全管理能力，使電子政務更好地服務國家治理體系和治理能力現代化建設。

政府數據資源來源廣泛、類型多樣、數據量大且數據分布情況不清晰，亟需規範的數據分類分級標準做好相應的數據資源盤點。北京安華金和科技有限公司高級技術專家雷嘉賓於「政務數據分類分級落地探索與實踐」報告中分享，進行數據安全治理的前置條件即是對數據進行分類分級。

政務數據分類分級的落地路徑可以分為四個階段：1）對國家、行業、地方的數據分類分級規範標準收集解讀，尋求分類分級工作的共通點；2）對數據資產調研方案進行梳理，圍繞數據生命周期、數據資產統計表等開展調研與訪談；3）根據數據資產清單及及實際業務場景，輸出數據分類分級標準指南；4）根據指南，對分類分級進行落地，輸出數據資產清單及數據管控要求，編制數據安全治理方案，制定數據安全管理規範、開展數據安全技術及運營體系建設。

通過數據分類分級加強數據管理，提高數據質量，充分發揮數據資源價值，輔助政務決策、業務分析和監督預警，才能助力政務數據安全治理行為體系建設得到長遠高效發展。

數據是一種無限可變和可移動的資源，通常會在分散的數據系統中進行存儲和處理，傳統的以基礎設施為中心的數據安全方法常常效果不佳，因此需要從全局視角考慮如何保護數據安全，這就對數據全生命周期管理提出了較高的要求。

中國移動通信有限公司研究院安全技術研究所所長何申在「數據全生命周期安全治理實踐」主題報告中談到，我們應當以數據資產的標註和登記、數據流轉鏈路描繪、數據監控與審計、敏感數據保護、可信標記內生、數據智能協同六個方向為切入點，真正做到以數據流動性為風險來源，構建以數據為中心的安全防護新思路。只有讓數據安全服務與數據安全技術能力建設相結合，才能在數據全生命周期的各個環節更好地持續化建設數據安全防護能力。

在《數據安全法》體系之下，相關部門針對金融數據安全也下達了《銀行業金融機構數據治理指引》、《金融業數據能力建設指引》等多項指導意見和方針。

本次論壇上光大科技數據安全專家蔚晨以「金融業數據安全治理實踐」為主題，從數據安全治理理念、數據安全治理核心、數據安全治理體系實踐過程及成果等維度作出分享。蔚晨提出，我們應當秉承「基於現狀、適度超前」的原則，同時將分類分級作為數據安全治理的手段。業務發展的規範化與精細度決定着數據安全治理的深入程度，數據分類分級工作必須與業務開展相結合才能真正落地實施，保障數據的完整性、可用性、準確性、高效性。

在圓桌討論環節，中國軟件評測中心副主任劉龍庚、賽迪研究院網絡安全所副所長閆曉麗、中國移動通信有限公司研究院安全技術研究所所長何申、北京世輝律師事務所合伙人王新銳、北京安華金和科技有限公司高級技術專家雷嘉賓與主持人中國軟件評測中心信創中心副主任馬士民齊聚，針對當前的數據安全治理現狀、數據安全檢測評估與認證、數據安全治理框架等問題展開深入探討。

第五屆中國數據安全治理高峰論壇首個雲上論壇個人信息保護與數據安全治理論壇為各方搭建了良好的交流平台，與會嘉賓共話數據安全產業發展的新趨勢、新問題，新現象，為個人信息保護與數據安全治理提供了新思路、新途徑，得到了業界廣泛關注，呈現了精彩紛呈的線上盛宴。

5月20日，第五屆中國數據安全治理高峰論壇第二個雲論壇——工業數據安全論壇即將召開，將帶來工業數據安全應對舉措及建設實踐經驗分享，屆時歡迎您的收看！

掃碼關注我們

更多信息安全資訊

請關注「中國信息安全」