数据安全治理白皮书
数据标准管理实践白皮书
数据标准管理实践白皮书前言数据标准(Data Standards)是保障数据的内外部使用和交换的一致性和准确性的规范性约束。
数据标准管理是规范数据标准的制定和实施的一系列活动,是数据资产管理的核心活动之一,对于政府和企业提升数据质量、厘清数据构成、打通数据孤岛、加快数据流通、释放数据价值有着至关重要的作用。
但是目前,各行业缺少数据标准管理的理论指导和行业实践案例,企业在标准建立、标准审核、标准落地、标准评估等方面仍存在诸多困难。
本白皮书结合了国内外数据管理相关理论知识的最新成果,以及国内数据标准管理的实践经验,对数据标准管理进行了深入探讨。
重点辨析了数据标准以及相关内涵,梳理了数据标准分类及体系,概括了数据标准管理的组织架构和制度体系,总结了企业开展数据标准管理面临的挑战,并提出了相关实践建议。
相信本白皮书对国内各行业从事数据治理工作的管理者、实践者和研究者都将具有一定参考意义。
目录一、数据标准概述 (1)(一) 数据标准的内涵 (1)(二) 数据标准分类 (2)(三) 数据标准在数据资产管理中的作用 (7)二、数据标准管理主要内容 (10)(一) 标准规划 (10)(二) 标准制定 (11)(三) 标准发布 (13)(四) 标准执行 (14)(五) 标准维护 (16)三、数据标准管理的保障措施 (17)(一) 数据标准管理组织架构 (17)(二) 数据标准管理制度体系 (17)四、数据标准管理挑战与建议 (19)(一) 数据标准管理的挑战 (19)(二) 数据标准管理的实践原则 (19)一、数据标准概述数据标准是进行数据标准化的主要依据,构建一套完整的数据标准体系是开展数据标准管理工作的良好基础,有利于打通数据底层的互通性,提升数据的可用性。
本章从数据标准的概念入手,多角度探讨数据标准的内涵,构建数据标准分类体系,并阐述了数据标准作为数据资产管理核心要素的重要性。
(一) 数据标准的内涵数据标准(Data Standards)是指保障数据的内外部使用和交换的一致性和准确性的规范性约束1。
数据标准管理实践白皮书
数据标准管理实践白皮书“标准是数据要素管理的基础性标准,规范数据要素管理活动。
”近日,在2021数据产业发展大会上,国家信息中心副主任王晓东表示,目前,我国正在制定的数据标准达到140余项,其中多数已纳入国家标准体系。
而数据标准的制定、实施与应用已成为数字经济发展的重要基础保障。
为了更好地促进数据的规范开发利用,推动数据要素的有序流通,推动数据价值的深度挖掘,提高数据利用效率,根据国家发展战略要求以及标准管理实践经验和发展趋势,在国家信息中心指导下,中国标准化研究院依托国家标准化管理委员会信息技术发展司在2020年5月启动了数据标准管理实践白皮书项目。
一、白皮书背景近年来,我国数字经济蓬勃发展,取得了举世瞩目的成就,我国数字经济的占比已达经济总量的55%。
同时,随着经济社会各项事业的快速发展以及数字技术的不断进步和应用,对我国公共服务、生产生活、生态治理等方面产生了重大影响。
数据作为重要的生产要素之一,在国家发展战略中占有重要地位。
《中共中央国务院关于加快推进全国一体化在线政务服务平台建设的指导意见》(以下简称《指导意见》)提出“构建数据有序流通环境”“完善数据要素流通机制”“加强数据安全保护”,并明确提出“开展数据标准制定”,“推进数据标准与业务系统融合”“加强数据安全保护”等具体目标计划,为数据标准化管理实践提供了指引和目标方向。
1、标准体系建设及发展现状近年来,国家数据标准体系不断完善,形成了涵盖通用基础标准、业务规范、数据应用标准、数据交换标准“四大体系”(见图1),形成了较为完备的数据标准化管理体系。
但由于各部门对数据标准体系发展现状了解不充分,标准工作开展力度不大。
目前,针对政务数据标准化工作,主要有立项标准、归口管理模式标准等。
各部门针对业务系统的不同需求开展了相应制度建设、标准研制以及标准化工作。
2、数据标准化现状目前,我国正在积极参与国际标准化活动,我国已发布的数据标准占国际标准数量的近一半,形成了以国家标准为主,行业标准和团体标准相结合的标准化工作体系。
四个白皮书学习笔记
四个白皮书学习笔记在当代社会,技术和人工智能的发展对于各行各业的进步至关重要。
在这个过程中,四个白皮书——《人工智能2018》、《工业互联网白皮书》、《区块链白皮书》和《车联网白皮书》已经成为了学习笔记的关键素材。
在这篇论文中,我们将对这四个白皮书进行详细的分析,以便更好地理解它们的重要性。
《人工智能2018》是由中国科学院的研究人员编写的,它对当前人工智能技术的发展做了深入的研究和预测。
白皮书初步介绍了人工智能技术的演化,从基础的自然语言处理和机器学习到更高级的深度学习和智能系统。
尤其是对于深度学习技术的研究,白皮书提出了不少值得关注的观点。
例如,它认为社交网络分析和语义网络建模将成为深度学习的未来发展方向,同时对于图像和语音的识别能力也将会进一步提高。
对于经济领域而言,白皮书认为人工智能将会产生深远的影响。
人工智能技术将帮助减少无效的人工流程和降低成本,从而进一步提高产业效率。
另外,人工智能无疑将带来新的工作机会和领域,尤其是在智能制造和金融领域。
《工业互联网白皮书》则是一个关于未来制造业的重要文献。
白皮书强调了未来工业的互联互通将会是一项重要的趋势,而工业互联网的技术则将成为这一趋势的重要基础。
白皮书阐述了制造业内的数字化转型将会很有必要,使得数据得以共享和管理,同时也提高了制造过程的可靠性和效率。
特别是,在机器人领域的发展将会加速工业制造的自动化和智能化,从而引领未来的制造业。
另外,白皮书也提出了未来工业领域的未来趋势,如智能制造、服务化、网络化、安全性和可靠性等。
这对于制造业人员、工程师和学生们都将是一个非常重要的参考。
《区块链白皮书》则是一个探讨分布式计算原理和相应技术应用的重要文献。
白皮书详细介绍了区块链技术的基本原理,并提出该技术在金融、保险、电商、医疗和政府等领域应用的前景。
白皮书还深入探讨了在金融和保险领域的应用。
当然,白皮书也并非是万能的,它提出了分布式账本的安全生态问题和挑战。
数据治理白皮书
数据治理白皮书数据治理白皮书1. 引言所谓数据治理,就是管理数据的过程,目的在于确保数据的可靠性、准确性、安全性、及时性。
数据在现代社会中的重要性越来越被人们所认识,越来越多的企业和政府机构开始关注数据治理,从而提高其业务水平和竞争力。
本白皮书旨在探讨数据治理的概念、原则、流程以及重要性。
2. 数据治理的概念数据治理是指对企业或组织内的数据资产进行全面管理和监管的过程。
该过程涉及到数据的存储、使用、更新、共享、传输等各个环节。
数据治理不仅仅是信息技术的问题,更是一个组织管理的问题。
通过合理的数据治理,企业或组织能够达到更好的数据利用效果,提升自身的核心价值。
3. 数据治理的原则3.1 数据的质量原则数据质量是数据治理的核心原则之一,它包括数据的完整性、准确性、一致性、及时性和安全性。
数据治理需要建立完善的数据质量保障机制,确保数据的高质量,提供可靠、准确的信息基础。
3.2 数据的标准化原则数据的标准化也是数据治理的重要原则之一,它是指企业或组织将数据按照一定的规范进行整理和管理,以确保数据的一致性和标准化。
标准化要求企业或组织建立统一的数据规范和标准,保证数据的准确性和一致性,从而提高数据的可用性和可信度。
4. 数据治理的流程数据治理的流程主要包括数据的收集、存储、使用、更新、共享、传输和销毁等各个环节。
在每个环节中,需要有相应的管理和监控机制,以确保数据的质量和安全。
具体而言,数据治理的流程包括以下几个方面:4.1 数据的收集:企业或组织需要收集与其业务相关的数据,并建立数据指标和模型,以确保数据的准确性和完整性。
4.2 数据的存储:企业或组织需要建立数据存储架构,并采用合适的存储技术,以确保数据的安全性和可靠性。
4.3 数据的使用:数据的使用要遵循相应的规定和标准,以确保数据的准确性和合法性。
4.4 数据的更新:企业或组织需要对数据进行定期的更新与维护,并建立相应的数据更新机制,以确保数据的实时性和有效性。
数据治理标准体系及标准化实施框架研究
学术研讨数据治理标准体系及标准化实施框架研究■ 王 华 曹 扬 张婧慧 丁洪鑫(中电科大数据研究院有限公司)摘 要:本文通过收集国际、国内标准化文件中对数据治理的定义,探讨了数据治理的概念,并研究了国际、国内数据治理标准化现状,构建出了数据治理标准体系框架,基于PDCA循环的过程方法,设计了数据治理标准化实施框架。
本研究对于我国数据治理标准化具有一定的理论价值和实践意义,为各种类型组织的数据治理标准化实施提供了基础指导和共性参考,有助于完善数据治理标准体系、推动数据治理相关标准落地实施。
关键词:数据治理,标准体系,标准化实施框架DOI编码:10.3969/j.issn.1002-5944.2023.16.005Research on Data Governance Standards System and StandardizationImplementation FrameworkWANG Hua CAO Yang ZHANG Jing-hui DING Hong-xin(CETC Big Data Research Institute Co., Ltd.)Abstract:This paper discusses the concept of data governance by collecting and analyzing definitions of data governance from international and national standards, studies the development of data governance standardization at home and abroad, and builds the standards system framework. It also designs the implementation framework of data governance standardization based on the PDCA cycle. This study has both theoretical and practical implications for data governance standardization, provides various types of organizations with basic guidance on how to implement data governance standardization, and helps improve the data governance standards system and promote the implementation of related standards.Keywords: data governance, standards system, standardization implementation framework0 引 言近年来,数字经济发展速度之快、辐射范围之广、影响程度之深前所未有,正推动生产方式、生活方式和治理方式深刻变革,成为重组全球要素资源、重塑全球经济结构、改变全球竞争格局的关键力量。
大数据标准化白皮书
202x人工智能AI安全白皮书(完整版)
的
重心。 XX 全球产业愿景预测:到 2025 年,全球将实现 1000 亿联接,覆盖 77% 的人口; 85% 的企业应用将部署到云
上;智能家庭机器人将进入 12% 的家庭,形成千亿美元的市场。
人工智能技术的发展和广泛的商业应用充分预示着一个万物智能的社会正在快速到来。
1956 年,构安全,在部署 AI 的业务中设计不 同的安
全机制保证业务安全。
未来, XX 的AI 安全任重而道远。在技术上,需要持续研究 AI 可
解释性,增强对机器学习工作机理的理解,并构建机制性防
御
措施搭建 AI 安全平台;在业务上,需要详细剖析 AI在产品线 的
应用案例,落地经过测试和验证的 AI 安全关键技术。以“万物
攻防安全
防闪避攻击、 防药饵攻击、 防后门攻击、 防模型窃取
感知、万物互联、万物智能”为特征的智能社会即将到来,
XX
愿与全球的客户和伙伴们共同努力携手并进,共同面对 AI 安全挑
战。
目录
1. 迈向智能社会
2. AI安全面临五大挑战
3. AI安全典型攻击方式
3.1 闪避攻击 3.2 药饵攻击 3.3 后门攻击 3.4 模型窃取攻击
4. AI安全防御手段
4.1 AI 安全攻防 4.2 AI 模型安全 4.3 AI 业务的安全架构
空出世;它不再需要人类棋谱数据,而是进行自我博弈,经过短短
3 天的自我训练就强势打败了 AlphaGo 。 AlphaGo
Zero 能够发现新知识并发展出打破常规的新策略,让我们看到了利用人工智能技术改变人类命运的巨大潜能。
我们现在看到的只是一个开始;未来,将会是一个全联接、超智能的世界。人工智能将为人们带来极致的体验,将 积极影响人们的工作和生活,带来经济的繁荣与发展。
中国信通院全球数字治理白皮书(2020年)
中国信通院全球数字治理白皮书(2020年)在经济全球化遭遇逆流,保护主义、单边主义上升的背景下,数字化驱动的新一轮全球化仍蓬勃发展,已成为助力全球经济增长、促进全球交流与合作的重要动能。
数字全球化既是新一轮全球化的重要标志,也带来重大挑战,呼唤构建新的全球数字治理体系。
随着数字全球化的纵深发展,如何更好兼具效率与公平,协调不同治理主体间分歧,更好推进全球数字合作,既是未来全球数字治理的重要方向,也对我国参与数字领域国际规则和标准制定提出了新的挑战。
第一章:数字全球化及全球治理新挑战当前,经济全球化遭遇逆流,保护主义、单边主义上升,世界经济低迷,国际贸易和投资大幅萎缩,国际经济、科技、文化、安全、政治等格局都在发生深刻调整。
随着新一轮科技革命和产业变革的深入发展,数字化驱动的新一轮全球化席卷而来,正在成为促进全球互联互通、推动全球商贸合作、增进全球文化交流、破解当前全球化困境的重要突破口。
(一)数字化驱动的新一轮全球化席卷而来自2018年中美贸易摩擦以来,国际形势日趋复杂多变,全球化进程徘徊不前。
国际贸易呈现出疲软态势,2019年,全球商品贸易出口额为18.9万亿美元,相对2018年下降了2.8%;服务贸易出口额为6.1万亿美元,与2018年基本持平。
跨境资本流动大幅下降,全球外国直接投资从2018年的1.41万亿美元降至2019年的1.39万亿美元;全球跨国并购活动锐减,2019年全球跨国并购规模总计4900亿美元,同比大幅下跌近40%。
要素的全球流动强度大大削弱,商品、服务、资本等传统要素的全球流动总量占全球GDP的比重从金融危机前54%的高峰降至30%左右。
2020年初新冠肺炎疫情全球蔓延,世界经济面临深度衰退,国际贸易和资本流动严重萎缩。
据世界贸易组织预测,2020年世界商品贸易总额预计将下降13-32%,几乎所有地区的贸易额都会出现两位数下降,世界贸易将陷入历史性低谷。
联合国贸发会议预测,全球外国直接投资将在2019年的基础上下降近40%,滑落到近20年以来的最低水平。
数据治理白皮书范文
数据治理白皮书范文一、概述随着信息技术的迅猛发展和数据爆炸式增长,数据在现代社会中扮演着愈发重要的角色。
然而,随之而来的问题是数据的管理和使用呈现出一定的复杂性和挑战性。
数据治理作为解决数据管理和使用问题的一种方法,已经成为企业和组织的重要议程之一、本白皮书旨在介绍数据治理的概念、原则和实施步骤,为企业和组织提供指导和建议。
二、数据治理的定义数据治理是一种系统化的方法,其目的是确保数据的质量、可靠性、安全性和合法性,并为数据的有效使用提供支持。
数据治理需要跨部门合作,包括定义数据所有权、责任和权限,制定数据标准和规范,建立数据管理流程和机制,确保数据的一致性和准确性。
三、数据治理的原则1.数据所有权原则:明确数据的所有者,确保数据的使用权和权限合法合规。
2.数据质量原则:确保数据的准确性、完整性、一致性和时效性。
3.数据安全原则:保护数据免受未授权访问、篡改、泄露和丢失的风险。
5.数据效用原则:确保数据的有效使用,提供决策支持和业务洞察。
四、数据治理的步骤1.确定数据治理的目标和范围:明确数据治理的目标是为了什么,需要涵盖哪些数据。
2.识别数据治理的利益相关方:确定数据治理的相关部门和利益相关方,建立合作与沟通机制。
3.制定数据治理策略和规范:制定数据治理的政策、流程和规范,包括数据分类、定义和标准。
4.建立数据管理团队和角色:组建数据管理团队,明确团队成员的职责和权限。
5.实施数据质量管理措施:建立数据质量评估和监控机制,修复和改进数据质量问题。
6.建立数据安全保障体系:制定数据安全政策和措施,包括数据备份、访问控制和灾备计划。
7.建立数据治理培训和沟通机制:提供数据治理培训,加强数据意识和数据共享文化。
五、数据治理的挑战和解决方案1.机构和文化挑战:数据治理需要跨部门合作,并改变组织对数据的管理和使用方式。
解决方案是制定明确的数据治理政策和流程,并加强培训和沟通。
2.技术和工具挑战:数据治理需要支持的技术和工具,包括数据质量评估工具、数据安全工具和数据管理平台。
《新时代的中国网络法治建设》白皮书
二
——坚持开放法律是治国重器,良法是善治前提。
中国把握互联网发展规律,坚持科学立法、民主立法、依法立法,大力推 进网络法律制度建设,网络立法的系统性、整体性、协同性、时效性不断增强。
中国网络立法随着互联网发展经历了从无到有、从少到多、由点到面、由 面到体的发展过程。第一阶段从1994年至1999年,是接入互联网阶段。上网用 户和设备数量稳步增加。这一阶段网络立法主要聚焦于网络基础设施安全,即 计算机系统安全和联网安全。第二阶段从2000年至2011年,是PC互联网阶段。 随着计算机数量逐步增加、上网资费逐步降低,用户上网日益普遍,网络信息 服务迅猛发展。这一阶段网络立法转向侧重网络服务管理和内容管理。第三阶 段从2012年至今,是移动互联网阶段。这一阶段网络立法逐步趋向全面涵盖网 络信息服务、信息化发展、网络安全保护等在内的网络综合治理。在这一进程 中,中国制定出台网络领域立法140余部,基本形成了以宪法为根本,以法律、 行政法规、部门规章和地方性法规、地方政府规章为依托,以传统立法为基础, 以网络内容建设与管理、网络安全和信息化等网络专门立法为主干的网络法律 体系,为网络强国建设提供了坚实的制度保障。
一、坚定不移走依法治网之路
坚持开放合作。中国的网络法治建设既坚持网络主权,同时广泛借鉴世界各国网络法治先进经验,吸收国外成熟做法,把中国互联网发展置于国际互联网发展的大背景下谋划,形成了既 有中国特色又符合国际通行做法的互联网治理模式。积极参与网络空间国际规则制定,开展网络法治领域国际交流合作,与世界各国共同致力于建立多边、民主、透明的全球互联网治理体系。
(一)建立网络权益保障法律制度
科学构建网络权益保障法律制度,为实现人民群众合法权益的线上、线下全方位保护提供了充分法律依据。 保障公民通信自由和通信秘密。通信自由和通信秘密的保护是确保公民能够自主地在网络空间表达诉求和思想的前提。早在1997年就制定《计算机信息网 络国际联网安全保护管理办法》,落实宪法对通信自由和通信秘密基本权利的保护。2000年制定《电信条例》,规定电信用户依法使用电信的自由和通信秘密 受法律保护。2016年修订《无线电管理条例》,进一步强化无线电领域对通信秘密的保护,实现对这一基本权利在网络空间的全方位保障。 保护个人信息权益。通过民法、刑法和专门立法,构建个人信息权益全链条保护的法律屏障。2020年十三届全国人大三次会议审议通过民法典,在前期法 律规定的基础上,对民事领域的个人信息保护问题作了系统规定。2009年、2015年通过刑法修正案,设立侵犯公民个人信息罪,强化个人信息的刑法保护。 在网络专门立法中,2012年通过《全国人民代表大会常务委员会关于加强网络信息保护的决定》,明确保护能够识别公民个人身份和涉及公民个人隐私的电子 信息。2016年制定网络安全法,进一步完善个人信息保护规则。2021年制定个人信息保护法,细化完善个人信息保护原则和个人信息处理规则,依法规范国 家机关处理个人信息的活动,赋予个人信息主体多项权利,强化个人信息处理者义务,健全个人信息保护工作机制,设置严格的法律责任,个人信息保护水平 得到全面提升。 守护公民财产安全。持续加大立法保护力度,遏制利用网络侵犯财产权益的行为。2018年出台电子商务法,规定电子商务经营者销售的商品或者提供的服 务应当符合保障人身、财产安全的要求。民法典明确利用网络侵害他人财产权益的行为应当承担相应法律责任。2022年出台反电信网络诈骗法,为打击电信网 络诈骗活动提供有力法律支撑,切实维护人民群众的财产权益。 保障特殊群体数字权利。通过多层次、多维度立法,弥合未成年人、老年人、残疾人等特殊群体的数字鸿沟,使其能够更加平等广泛地融入数字社会,享 受数字时代红利。网络安全法规定,国家支持研究开发有利于未成年人健康成长的网络产品和服务,依法惩治利用网络从事危害未成年人身心健康的活动。 2019年制定《儿童个人信息网络保护规定》,对儿童个人信息权益予以重点保护。2020年修订未成年人保护法,对加强未成年人网络素养教育、强化未成年 人网络内容监管、加强未成年人个人信息保护和网络沉迷防治等做出专门规定,保护未成年人的网络合法权益。2021年出台数据安全法,要求提供智能化公共 服务应当充分考虑老年人、残疾人的需求,避免对老年人、残疾人的日常生活造成障碍。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
数据安全治理白皮书目录前言 (1)一、概述 (3)1.1数据治理概念 (3)1.2数据安全治理 (3)1.3XX数据安全治理 (4)二、全球数据安全标准化情况 (5)2.1数据安全标准化总体情况 (5)2.2国内数据安全标准化概述 (5)2.3国际数据安全标准化概述 (7)三、XX数据安全治理组织框架 (10)3.1数据安全治理组织框架概述 (10)3.2数据安全治理需求 (11)3.3数据安全组织机构 (14)3.4数据安全治理规划 (15)3.5数据安全治理工具 (19)四、XX数据安全治理建设流程 (22)4.1数据安全治理建设流程概述 (22)4.2价值数据分析 (23)4.3数据分类分级 (24)4.4数据发现分布 (24)4.5数据安全风险评估 (25)4.6数据安全策略 (25)4.7数据安全防护 (26)4.8数据安全运维 (26)五、XX数据安全治理建议 (27)5.1数据安全分类分级为起点 (28)5.2数据生命周期安全为主线 (28)5.3合规性评估数据安全为支撑 (29)5.4数据场景安全治理应用 (30)六、XX数据安全技术框架 (31)七、结束语 (32)前言随着信息化技术的快速发展,互联网应用增长迅猛,与之相伴的信息安全风险飚升,特别是“棱镜门”事件,引起全球大部分国家对信息泄漏的关注,进而激发对信息安全风险的进一步重视;无论是欧盟、美国,还是日本、俄罗斯、韩国等许多国家都从国家安全、社会稳定、企业和个人信息安全层面出台相应的法律、法规和管理要求,加强对信息安全,特别是数据安全的风险防范,如:欧盟的GDPR 和《Regulation “on a framework for the free flow of non-personal data in the European Union(非个人数据在欧盟境内自由流动框架条例)》。
我国在大数据、云计算、AI、IoT、5G 等新技术带动下的数字经济发展过程中,数据已经成为国家和企业的重要资产和战略资源,多来源多类型的数据集中整合与综合应用带来了爆发式增长,与此相伴的是数据过度采集和使用、数据泄漏等安全风险日益凸显;在严峻的国际信息安全和国内泄漏风险两方面同样面临明显挑战,无论从国家层面,还是行业监管层面都陆续出台法律、法规和管理要求,进一步引导和加强信息安全,特别是数据安全的风险防范。
本白皮书旨在系统性描述数据安全治理的通用性方法论,为业界提供数据安全治理需要考虑哪些方面、涉及哪些主要事项、工作开展逻辑和流程、XX信息在数据安全治理方面能够提供哪些服务等,寄希在数据安全治理落地时提供方法论指导;白皮书共分七个部分:第一部分是概述,主要对数据治理和数据安全治理间的关系进行阐述;第二部分是全球数据安全标准化情况,分别阐述国内和国外在数据安全方面的标准化情况,为阅读者提供对比和深入阅读的线索;第三部分是XX数据安全治理框架,分别从治理策略、组织机构、治理流程和治理工具四个方面对框架进行阐述;第四部分是XX数据安全治理建设,是在治理框架下具体说明数据安全治理的建设内容和步骤;第五部分是XX数据安全治理建议,是从XX实践的角度提出数据安全治理如何开展的建议;第六部分是XX数据安全技术防护体系,给出XX在数据安全方面能够提供什么样的服务和技术防护措施;第七部分是结束语。
浙江XX信息安全技术股份有限公司(简称“XX信息”),成立于2007 年,是国家规划布局内的重点软件企业,是新一代数据安全治理解决方案及服务提供商。
总部位于杭州和北京,在上海、广州、深圳、南京、成都、济南等十多个区域设有分支机构,保障全国6 小时响应支撑服务。
历经十多年的攻克研究与创新,XX信息以人工智能(AI)、先进密码算法和大数据技术为核心,率先在国内发布“Vamtoo-DSGF 数据安全治理框架体系”,围绕个人信息隐私保护、云办公趋势下的数据安全、新型DLP 及数据安全治理,从终端、网络、数据库、云实现了数据发现(分类分级)、数据防泄漏、数据安全审计和态势感知,并支持国产操作系统。
已为政府、金融、运营商、能源、军工、央企等多领域客户提供数据安全服务,并助力国家“一带一路”数据跨境安全保护建设。
XX信息积极参与中央网信办、国家互联网应急中心(CERT)、全国信息安全标准化委员会等监管单位的数据安全标准、管理办法与测评认证建设。
已参与完成多项国家数据安全标准建设,数十项国家重大数据安全课题研究,获得100 多项国家专利和软件著作权。
已连续两届成功举办国内规模最大的“数据安全峰会”,发表数据安全宣言、发布首个中国数据安全险,连续多年被行业权威机构评为全国网络安全企业50 强,多次获得中国信息安全领军企业等多项荣誉,得到行业和客户的广泛认可;现担任“中国网络空间安全协会会员”“中国保密协会理事”“中国保密协会商业秘密保护专业委员会副主任”“中国计算机学会安全专业委员会常务委员”“浙江省网络空间安全协会常务理事”等社会职务。
新时代、新XX,XX信息全面迈入战略2.0 时代,以“护航数字中国助力数字经济” 为使命,坚持以客户为中心、开放创新、协作共赢;以奋斗者为本、勇于挑战、共享成就的理念,成为全球领先的数据安全企业。
为建设网络强国,为国家和民族的网信事业发展,提供XX方案、贡献XX力量。
参编主要人员:任柯,吴进波,叶俊卫,于佳辉,张鹤林一、概述1.1 数据治理概念信息技术、人工智能、大数据以及5G 技术的发展,数据的重要性越来越得到业界广泛认可和重视。
随着数字化转型的深入发展,业务细分和数据粒度细化日益明显。
随之而来的是业务系统逐渐增加,不同业务系统产生的数据也与日俱增,数据重复、数据冗余、数据孤岛等现象开始显现,这不仅消耗大量的IT 资源,而且影响节能环保,更不利于数据的高效合理使用和挖掘数据的价值。
为满足所面临的实际需求,数据中心等专职从事数据相关工作的部门在不同属性的单位中相应而生,IDC 租用、数据仓库、大数据平台、数据湖等与数据高效处理和价值挖掘相关的规划建设逐步普遍。
随着对数据的处理和数据价值的需求增加,需要先做好数据治理,才有可能更好地高效处理数据、充分挖掘数据价值、保护数据安全等;对于什么是数据治理,ISO/SC40、DAMA、DGI、Gartner、IBM,以及国内的ITSS、GB/T 25295-2017 和金融等各行业相应机构分别给出侧重性定义和说明;经过这些年的理论和实践的互相促进,业界逐步对什么是数据治理形成比较一致的共识。
XX信息认为数据治理是数据高效安全利用持续改进的一套管理机制和技术辅助工具有机结合的体系,其中包含数据管理的组织架构、数据管理模型、政策和体系,涉及数据标准要求、数据质量要求、数据影响度分析、工作流程、监督考核和辅助的技术工具等一系列体系性内容;数据治理涉及的技术主题包括元数据的定义和管理、数据质量的标准和检验、数据集成约定、主数据定义与管理、数据资产的明确与管理、数据交换范围和规则、数据生命周期和数据安全的关联性配套等多种技术和产品组成的体系化技术措施。
通过数据治理,能够规范化业务系统中的数据,有利于充分利用和挖掘数据的价值,进一步促进业务的发展和精细化管理,实现和保障数字化转型,体现经济价值和社会价值。
1.2 数据安全治理严格来说,数据治理包含数据安全治理,数据安全属于数据治理的一项重要内容,数据安全治理是数据治理的一个过程;随着全球数字化迅速发展,以及国内外信息安全事件频发和数据泄漏事件的影响,数据安全的重要性逐渐被认识和接受,数据安全治理得到进一步的认可和重视,进而出现重点开展数据安全治理的业务形态;如果说数据治理是为了更好地发挥数据的“价值”,那么数据安全治理是为更好发挥数据价值提供“保密、完整、可用”的保障。
Gartner 认为,数据安全治理不仅仅是一套用工具组合的产品级解决方案,而是从决策层到技术层,从制度到工具支撑,自上而下贯穿整个组织架构的完整链条;组织内的各个层级之间需要对数据安全治理的目标和宗旨取得共识,确定合理和适当的措施,以最有效的方式保护数据资源。
Gartner 关于数据安全治理的描述理论程度较高,概括性较强,XX信息认为,在切实解决需求单位的数据安全治理时,需要考虑客户所关注数据范围,这些数据从产生到销毁过程可能涉及的应用系统场景和节点,每个节点对应用数据的访问角色和权限,以及期间可能产生泄漏风险点等,通过对数据应用的实际情况了解,结合数据生命周期的流动环境和节点,评估数据类型的重要性和节点基本的角色和权限,以及可能的泄漏风险点,分别从组织保障、技术工具、管理制度等方面开展立体化规划与分步骤有侧重实施,按照PDCA 的逻辑实现可持续性动态开展数据安全治理,这样可能更有利于帮助单位实现数据安全。
1.3 XX数据安全治理数据安全不纯粹是一个技术问题,它是一个集国家政策、法律法规、组织政策和技术要素相结合的系统工程,需要多方协同,将管理和技术充分结合;XX数据安全治理,就是把组织管理和数据安全相关技术进行结合,对数据安全进行系统化建设,确保数据全方位、无死角安全管理,以减轻由数据安全威胁、数据驻留和合规问题引起的业务风险。
传统IT 采购方式都是大包大揽,从硬件,网络到中间件,软件都需要采购或者采购一套解决方案,同时需要招人或外包进行后续的运维,这对于非IT 企业来说投入太大;XX数据安全治理,共包括“四个层面和七个步骤”,是以“业务数据安全和合规数据安全”为目标的数据安全建设体系方法论,以相对独立又有一定逻辑关系的步骤进行划分,可以独立建设,减少投资,又可以从整体上进行系统性综合性治理,做到在安全与效率、投资和收益中保持平衡演进,核心内容如下:四个层面的数据安全管理组织框架,包括数据安全治理需求,数据安全组织机构,数据安全治理规划和数据安全治理工具;七个步骤的数据安全治理建设流程,包括价值数据分析,数据分类分级,数据发现分布,数据安全风险评估,数据安全策略,数据安全防护以及数据安全运维。
四个层面和七个步骤分别在第三章和第四章进行详细介绍。
二、全球数据安全标准化情况2.1 数据安全标准化总体情况2013 年“棱镜门”事件,促使世界各国对信息安全的危害更加重视,大部分国家都进一步加强信息安全的要求,进一步保护网络安全,突出数据安全。
我国从国家到行业监管部门陆续加快信息安全建设,特别是数据安全的标准化工作,从法律、法规、行业监管、产业等多方面开展信息安全的深化和细化工作。
随着各国对数据安全重要性认识的不断加深,包括美国、英国、澳大利亚、欧盟和我国在内的很多国家和组织都出台了数据安全相关的法律法规和政策来推动数据利用和安全保护,重点强调政府数据开放、数据跨境流通和个人信息保护等方向的安全防护标准化。