数据安全怎么搞？监管、运营、产业方共同参与的《主责数据保护与流动安全监管框架》发布！

点击文章左下角阅读原文，查看高清大图

法律法规密集出台，数据二十条重磅发布，国家安全监管逐项落实，各行业陆续开展数据治理及安全治理工作，大量的行业用户急需找到一个可参考可落地的数据安全框架。

本次发布的数字时代：基于行业最佳实践的《主责数据保护与流动安全监管框架》聚焦数据安全本身，面向各行业用户组织，从“数据-数据安全-安全”全局视角出发，总结凝炼数据治理和安全治理的共性问题、共性顽疾，形成以主责数据为核心的数据安全治理共性经验。围绕主责数据保护与流动安全监管主场景开展数据安全保护，理清数据治理、安全治理和数据安全治理之间的目标区别和责任边界，实现数据安全管理、技术、运营、监管一体化，保障数据在主责明确、流动监管过程中的安全使用，不断激活数据价值，持续督导治理过程中的分类分级管理，形成上层监管与从业自律、法治与从业自治协同、上下统筹的数据安全治理结构。

1)平衡数据开放与安全管控，做到用数不违规、不违法

数据安全已然立法，每个数字化组织都需要思考如何用数不违规、不违法。

宏观层面，做好数字化转型是每个组织的使命，在持续开展业务经营、生产和管理的过程中，产生大量的自有数据，即“主责数据”，来自于组织内部其他组织流转过来的数据，使用者需要具有“同等责任”，做好“守责”工作。

2) 三权分立，划清数据管理、安全管理、监管审计责权利边界

做好主责数据的保护，首先要明确数据管理和安全管理的责权利边界。

通过“三环论”构建的三权分立原则，明确数据安全基础分工和边界，推动责权利边界从模糊走向清晰。

首先明确定义和三权匹配的三员，即：系统管理员、安全管理员和安全审计员。

• 数据的系统管理员，一般是指业务部门和数据部门。

• 数据的安全管理员，一般是指主管安全的部门。

• 数据的安全审计员，一般是指数据安全的监管部门，或者称为数据安全治理委员会。大部分的数字化组织缺少监管部门。

其次定义实现数据安全主责明确的三个层次闭环。

• 第一层次是业务闭环，充分定义系统管理员的权责，落实数据相关系统管理权限划分、人员授权、访问授权、API调用授权等工作。这是保障业务及数据安全的基础。

• 第二层次是安全闭环，充分定义安全管理员的权责，制定安全策略、基线，配备数据流动过程中需要的安全设备、手段，形成监控、响应、预测和防御的闭环。这是保障数据安全一体化运营的基础。

• 第三层次是监管闭环，充分定义安全审计员的权责，落实数据安全管理过程中的角色、流程、数据流动前、流动中、流动后的一体化审计。这是保障数字化组织做到数据安全充分合规的基础。

3) 围绕静态数据和动态数据，实现流动安全监管

随着信息化、数字化进程的不断演进，业务系统不断建设，逐步积淀出大量结构化数据、半结构化数据和非结构化数据，它们广泛存在于终端、数据中心、存储设备和数据平台上，同时配备的各类数据安全防护能力也在不断完善。但在具体落实主责数据安全保护的指导、监督、检查，做好主责数据安全保卫、保障、保护的执行过程中，仍会发现数据安全工作存在诸多问题，其根本原因是对数据当前的状态定位不清，现有数据安全防护手段缺乏针对性。

从数据状态上来看，通常分为两大类数据：

第一类为静态数据，即存储状态中的数据，往往会存在盲数据、僵尸数据和死数据的问题，且大多底账不清、权属不清、权责不清，无法清晰定义哪些是数据资源、哪些是数据资产、谁在使用、谁在访问，存在数据泄露的风险。

另一类为动态数据，即流动状态中的数据，存在流动前、流动中和流动后价值属性的区别，无论是数据流动前未取得授权；还是流动中的过程看不见、管不到、非法使用、滥用发现不了；还是流动后数据过程状态不可审查、数据权益不可控，都存在很大的数据泄露和滥用风险。

对于数据所有者来说，静态数据能否做到清晰可见，动态数据能否做到流动管控，已逐渐成为数据安全落地成功的关键因素。

4) 数据全生命周期过程涉及诸多角色

数据角色决定数据流动监管的权限需求。通过对数据流动过程中不同角色的权限与职能进行解析，定义数据流动角色，实现不同数据角色对数据流动安全监管过程中的不同权限与职能的落地提供有效支撑。 

数据所有者：掌握数据所有权的数据产权所有方；

数据使用者：对数据拥有使用和交换需求的数据需求方；

数据提供者：对数据进行获取、处理与提供的数据提供方；

数据运营者：对数据运营过程的计划、组织、实施和控制，是与数据生产和服务创造密切相关的各项管理工作的承担方；

数据安全监管者：在数据不同价值阶段，制定数据流动安全策略.对不同数据角色的操作等进行检查审核。

这些数据角色的充分定义和明晰是保障数据内部流动跨部门、跨应用、跨层级，外部流通跨行业、跨监管单位或跨境等机制制定的基础。

5) 数据在组织内部、跨组织、行业、区域及跨境之间的流动

数据流动主要涉及不同行业领域间的跨行业流动；国家、省、市、县（区）等各级部门间的跨层级流动；同级部门/组织间的跨区域流动；行业内部多个组织间或组织内部多个部门间的跨部门流动；组织内部多个应用系统间的跨应用流动；以及组织内部生产环境和测试环境之间的跨环境流动。

数字时代：基于行业最佳实践的《主责数据保护与流动安全监管框架》的核心思想可总结为“1-3-6-N”架构。

“1”个主要场景

即主责数据保护与流动安全监管场景。要求责任主体，明红线、守底线，做到事前、事中和事后监管。

“3”个方面

即数据治理、数据安全治理、安全治理。以数据安全治理为主体，协同好数据治理和安全治理，明晰边界与责权。

“6”个层次

即治理层、监管层、管理层、运营层、技术层和数据层。统筹六个层次目标的关键场景和关键任务，共同构建数据安全治理体系。

“N”个关联角色

即数据安全治理过程中涉及的多个角色。包括：数据所有者、数据监管者、数据提供者、数据使用者、数据运营者、安全审计员、安全管理员、系统管理员等。

• 监管单位：数据二十条以及数据安全类政策标准等逐步发布
• 运营单位：激活数据落实监管，做到用数不违规、不违法
• 产业单位：产业聚焦日益明确，助力工具能力有序发展

数据作为生产要素，需要在明红线、守底线前提下共享共用，数字化组织需要进一步理清数据治理、安全治理和数据安全治理之间的目标区别和责任边界，聚焦数据安全治理，做到安全管理、安全技术、安全运营、安全监管的一体化落地，多方呼唤出台主责数据保护与流动安全监管框架。

自2019年以来，四年历程持续积淀、持续研究，创新理念：

• 提出：数据治理、数据安全治理、安全治理协同理念
• 提出：主责、同责、守责数据保护理念
• 提出：全程可视、状态可察、权限可审、流动追溯、权益清晰、监审一体流动安全监管理念
• 提出：数据资源、资产、流动、交易四大阶段理念
• 提出：数据所有者、运营者、使用者、监管者、提供者等）
• 提出：治理、监管、管理、技术、运营看管监控一体化理念
•  提出：数据安全治理事前督导、事中监管、事后审计理念
•  形成草案：数据流动强化安全监管标准草案

• 宏观视角：明晰数据治理、安全治理和数据安全治理的主体责任和协同边界
• 中观架构：聚焦共性目标，数逻辑分层，明确不同层级目标的关键场景及关键任务
•  微观要素：围绕关键场景和关键任务，实现主责数据保护和流动安全监管

• 开放共享：安全知识、安全经验、安全智慧，开放共享
• 知识融合：清晰化数据安全治理体系，融合众多网络/数据安全政策、法律法规/标准体系/行业规范

•  2019年8月-2023年6月，4年持续研究持续沉淀
•  2023年6月，框架出台，开展大范围专家意见征求
•  2023年6月17日，正式公开发布
•  后续计划，持续交流研讨

• 产业研究力量：中国信息协会信息安全专业委员会、PCSA安全研究院、PCSA安全能力者联盟成员单位（中孚信息研究院、踏实安全研究院、新华三安全研究院、美创安全研究院、昂楷安全研究院、FreeBuf等）、数世咨询、数说安全、CIO时代/安全学院、安全村

• 行业实践力量：能源、央企、金融、电子政务、地方大数据局等众多行业及安全专家