

评估观察丨2021 年数据安全治理能力评估观察

数智安全行动计划

2021-12-22

导读：评估观察丨2021 年数据安全治理能力评估观察

2021 数据安全产业峰会暨可信隐私计算高峰论坛于12月21日线上举行。

本次大会由中国信息通信研究院、中国通信标准化协会指导，中国通信标准化协会大数据技术标准推进委员会（CCSA TC601）主办，数据安全推进计划（DSI）、隐私计算联盟（PPCA）、金融数据智能联盟（FINDA）承办。

会上，中国信通院云计算与大数据研究所工程师龚诗然以“企业数据安全治理能力评估观察”为题，介绍了2021年开展企业数据安全治理评估工作过程中的诸多观察，总结了企业数据安全治理工作在组织建设、人才培养、技术工具等方面的现状与趋势，指出了企业在数据分类分级、数据共享等方面的亮点与共性问题，从短期改进与长期发展的角度为企业提供了改进建议与提升思路。

以下为部分演讲内容：

数据安全治理能力评估服务旨在“以评促建”，帮助企业度量企业数据安全治理能力现状、助力企业发现数据安全治理能力不足、指明企业数据安全治理能力提升路径、促进行业数据安全治理能力发展。

2021年，我们共计开展三批 33 家企业的DSG评估，参评单位行业广泛分布于电信运营商、互联网、金融、医疗、物联网等行业领域。本次观察的数据主要来源于三批DSG评估的参评企业。

我们观察到，企业逐渐关注持续性、系统性的数据安全建设。企业围绕数据全生命周期安全，从组织建设、制度流程、技术工具、人才培养方面进行总体布局、全面规划，并持续将上一阶段未解决的问题作为下一阶段规划的输入，以实现真正闭环。同时，企业倾向于引入第三方机构，帮助企业对数据安全治理水平进行评价、检查。

组织建设方面，大多数企业建立了基本的数据安全治理工作组织，明确了决策者、管理者、执行者的角色及职责，以确保数据安全治理工作的有效开展。然而，从实际的工作效果上看，大多数企业数据安全治理能力的组织建设仍处于起步阶段。

人员能力方面，大部分企业认为数据安全治理面临的最大挑战是专业人才缺失。基于这一点，企业积极开展数据安全培训，内部的数据安全培训课程体系初具雏形，部分课程仍处于课题探索、初期研制的阶段。企业对专业培训服务具有需求空间，而根据对安全厂商的调研数据，较少的厂商将数据安全培训服务纳入其主营业务范围，供给市场存在空白。

技术工具方面，企业加强数据安全技术规划，防护布局由“点”向“面”趋势渐显。一方面，企业建立广范围、细颗粒度、一体化、自动化的技术体系，有效夯实企业数据安全治理能力底座。另一方面，企业通过应用多种数据安全产品，由单点技术布局走向数据安全防护面建设，实现数据生命周期全流程覆盖、多层次防护。

数据分类与分级作为企业数据安全治理的基础工程，起到至关重要的作用。绝大多数企业结合国家法律法规与自身业务特点制定了数据分类分级管理办法，并通过技术平台等工具对策略进行具体落实。数据分类分级工作配套制度、技术的落地程度高于其他基础安全建设工作，为不同类别、级别数据在全生命周期流转过程的精细化防控打下坚实的基础。