数据安全是数字经济发展的“底座”，在经济发展中扮演至关重要的角色。随着我国《网络安全法》、《数据安全法》以及《个人信息保护法》的陆续出台实施，数据安全治理能力建设明显加速。如何推动数据安全治理健康高质量发展，必须建立行业数据安全标准体系。“提升数据安全治理能力是企业在数字经济时代的紧迫议题”，由中国信息通信研究院牵头，联手20多家单位共同参与制定《数据安全治理能力评估方法》团体标准，2021年5月20日发布。南都大数据研究院数字政府研究中心为此专访中国信息通信研究院云计算与大数据研究所大数据与区块链部副主任闫树。

南方都市报（以下简称南都）：闫博士，您好。您曾经主导过数据安全治理能力评估方法团体标准制定，在您看来，当前数据安全包括哪些方面的问题？国内数据安全治理有哪些实践亮点？

闫树：在我看来，当前数据安全主要存在三个方面的问题：一是数据安全监管趋严，企业合规难度升级。我国《数据安全法》、《个人信息保护法》等的实施为数据安全法治化提供了良好的政策环境，数据安全问题将得到一定程度的缓解。另一方面，对企业数据安全及合规也提出了更高要求，如何运用有效手段保障数据安全及合规是企业面临的一大挑战。

二是安全与发展并重，两者协调经验不足。《数据安全法》指出“坚持以数据开发利用和产业发展促进数据安全，以数据安全保障数据开发利用和产业发展”。如何平衡数据使用和数据保护之间的平衡关系，是另一个挑战。

三是数据安全人才短缺，后备力量支撑薄弱。数据安全从业人员大都由网络与信息安全人才转化而来，人才储备严重不足，需要企业从自身业务场景出发，着手构建适合的数据安全人才培养体系，支撑数据安全建设。

目前，国内数据安全治理实践亮点主要体现在两个方面：一是数据安全治理组织架构逐渐形成。根据我们调研发现，70%以上的企业在组织内部设立了数据安全工作的责任体系，负责整体推进数据安全建设，有助于实现“一盘棋”的治理效果。

二是数据分类分级在企业数据安全治理实践中率先落地。这主要得益于我国已出台的多个行业标准、实践指南，为相关企业提供“分级防护”、“备案管理”的工作思路。绝大多数组织按照相关政策的要求、指导，开展数据资产的梳理工作并制定数据分类分级策略，组织内的数据分类分级工作配套制度、技术的落地程度远超其他基础安全建设工作。

数据安全是强监管问题也是企业发展底线问题

南都：大数据时代数据安全面临数据泄露、隐私收集、多方数据使用等风险，国内数据安全治理处于什么阶段，还有哪些问题需要解决？

闫树：国内数据安全治理处于起步阶段，存在制度流程不完备、技术工具不成熟、专业人才匮乏等特点。然而，组织数据安全治理观念普遍有所改善，不再满足于临时性的数据安全工作部署，逐渐关注如何进行持续性、系统性的改进，围绕着数据全生命周期安全，推动组织内多部门协作、全流程制度制定、体系化技术实现、专业化人才培养等总体布局和全面规划。

待解决的问题主要包括组织需要提升对数据安全重要性的认知，形成常态化的数据安全工作与运行机制；加强数据资产、风险威胁梳理，厘清敏感数据资产，做到有效安全防护；关注人员安全管理，提升全员安全意识，防范内部违规数据访问行为。

南都：为何传统安全方法不适用于大数据时代下的数据安全？数据安全为什么强调治理而非管理？

闫树：随着企业的业务环境日益开放、业务生态日益复杂，企业数据的产生、流动、处理等过程将更加丰富，数据的跨部门、跨行业流动也更加频繁。

在数据开放共享的大前提下，传统的数据安全措施，比如加密、脱敏、阻断等，将不完全满足当前的数据安全保护需求，需要更进一步的技术措施，可对数据的流动进行实时监控、审计溯源、违规告警。

数据安全强调治理，而非管理，主要在于“管理”更偏重于自上而下的执行，“治理”更注重企业各个管理层级、各个业务部门的相互配合，完整协作，不仅仅是单向的“管理”，而是形成贯穿组织数据全生命周期的完整协作链条。组织内的各个层级、部门需要对数据全生命周期安全的目标达成共识，并确保在各环节采取、执行有效的措施，为数据安全保驾护航。

南都：数据安全治理是确保数据存、管、用等各环节数据质量，排除数据风险，目前数据安全治理有哪些多元路径？

闫树：目前，数据安全治理一方面是自上而下的模式，首先从企业层面构建整体的治理组织架构，做出整体规划，在分阶段、分业务去执行完善。另一方面是自下而上的模式，从某个业务线入手，由点及面，逐渐扩展到组织的其他业务。

刚才我提到数据安全是强监管问题，也是企业发展的底线问题，涉及跨部门的合作沟通，因此自上而下的模式更有利于各项策略的良好执行，我们也更推荐以这种方式去做数据安全治理。

数据安全治理与业务流程升级转型要同时开展

南都：标准是发挥数据生产要素价值、推动高效融合应用的前提与基础，当初制定数据安全治理能力评估方法团体标准的初衷是什么？目前成效如何？

闫树：我们当初制定《数据安全治理能力评估方法》团体标准，主要由于全球范围内数据泄露频发，我国立法、监管力度随之加强，然而数据安全治理面临着行业治理水平参差不齐、治理度量方法缺失、企业缺少实践经验与技术、人才等诸多问题。《数据安全治理能力评估方法》针对这些问题，依据《数据安全法》、《个人信息保护法》等国家法律法规，构建数据安全治理能力方法论体系，设计数据安全治理能力建设的度量准则，并分路径、分阶段制定相应的操作指南。

同时，《数据安全治理能力评估方法》给出不同等级的能力要求及可操作的评估细则，有助于对企业的实际建设能力进行量化考察，进行优缺点总结，也为企业的数据安全治理能力建设提供参考和实施依据。

今年已经开展三批次DSG评估，完成包含在线、试点评估在内的26家企业，覆盖金融、证券、电信、互联网、汽车、制造等行业，我们对参评企业的数据安全治理现状进行定级，总结行业痛点，分析共性问题，并给出提升建议。

此外，《数据安全治理能力评估方法》也基于国家最新法律法规与企业数据安全治理现状，持续更新迭代。目前我们已着手升级原有评估标准，并在CCSA成功立项新的行业标准《数据安全治理能力评估方法》，行标的评估等级将由原来的3级扩充为5级，并细化量化评估指标，以鼓励更多企业参与，持续提升DSG评估精度。目前标准已开展五次讨论，将在12月底完成初稿。

南都： 数据安全治理最终目标是实现数据安全和数字经济发展之间的平衡，甚至相互促进，作为政府大数据管理部门、行业企业等，应该如何做好数据安全治理，提升数据安全能力，最大化释放数据的价值？

闫树：企业管理层需要提高数据安全重视程度。在企业的数据安全建设中予以决策支持和资源支持，同时各部门明确职责，主动承担相应数据安全管理职能。

数据安全治理和业务流程升级转型同时开展。数据与业务是强相关关系，数据安全的各项策略以及治理措施必须要融入到具体业务线中，因此企业需要从实际场景出发构建符合现状的数据安全治理体系。

第三方数据安全治理评估与自评估相结合。自评估是企业进行日常治理的有效手段，第三方评估有助于企业避免“灯下黑”评估结果，也有助于跟同行业的横向对比。

人物简介：

闫树，理学博士，中国信息通信研究院云计算与大数据研究所大数据与区块链部副主任，高级工程师，长期研究方向数据流通技术及合规性等。牵头编写《大数据白皮书》《数据流通关键技术白皮书》《多方安全计算技术与应用研究报告》及数据流通、可信数据服务、多方安全计算、可信执行环境、联邦学习等相关标准。参与编写工业和信息化部“十三五”“十四五”《大数据产业发展规划》及多项地方政策规划编制。

出品：南都大数据研究院 数字政府研究中心

统筹：邹莹 研究员：袁炯贤 设计：刘寅杉

编辑：袁炯贤

更多报道请看专题：数据新作为·数据30人20城系列报道解码数治之道

本文作者

袁炯贤

6253W

南方都市报记者