作为我国首部有关数据安全的专门法律,《数据安全法》获审议通过并将于2021年9月1日起施行。《数据安全法》明确指出,国家支持数据安全检测评估、认证等专业机构依法开展服务活动。在数据安全评估方面,工信部直属单位中国信息通信研究院(以下简称“中国信通院”)推出了国内首个市场化的“数据安全治理能力评估”服务,并联合dbaplus社群共同推动其在全行业的普及,以及在各大企业内部落地。
一、企业数据安全治理能力水平参差不齐
随着大数据技术和产业的不断发展壮大,党中央国务院首次提出将数据作为新型生产要素,以推动数字经济的高质量发展。近期《中华人民共和国数据安全法》的发布,一方面标志着数据安全上升到国家安全层面,事关国家安全与经济社会发展,另一方面也表明我国对数据安全的监管要求日益严格。
当前我国各企业数据安全治理能力水平参差不齐,由于缺少以标准为基础的度量方法以及贴近产业现状的实施指南,企业无法准确衡量自身的数据安全治理能力建设情况与监管要求及公众期待的差距,进而无法明确自身的提升需求和目标。
二、关于数据安全治理能力评估(DSG)
针对这些问题,中国信通院以“准确度量企业的数据安全治理能力现状,合理规划数据安全治理能力提升路径”为目标,推出了国内首个市场化的“数据安全治理能力评估”(以下简称“DSG评估”)服务。DSG评估作为一套方法论体系,实现数据安全战略、数据全生命周期安全、基础安全三大内容18个能力项的全面覆盖,可用于指导企业数据安全治理体系的整体建设;作为一套度量准则,可用于考察企业的数据安全治理能力现状;作为一套改进指南,可用于指导企业从组织、制度、技术、人员等方面有目标、有路径、分阶段的能力提升。
1、DSG评估能力项
DSG评估框架共包括数据安全战略、数据全生命周期安全、基础安全三部分。
1) 数据安全战略:包括数据安全规划和机构人员管理两个能力项,主要考虑从企业的顶层规划方面提出要求,为数据安全治理能力的建设搭框架、配人手。
2) 数据全生命周期安全:包括数据采集安全、数据传输安全、存储安全、数据备份与恢复、使用安全、数据处理环境安全、数据内部共享安全、数据外部共享安全、数据销毁安全在内的九个能力项,通过对数据全流转过程进行规范和约束以有效降低数据安全风险。
3) 基础安全:包括数据分类分级、合规管理、合作方管理、监控审计、鉴别与访问、风险和需求分析、安全事件应急等七个能力项,主要从数据安全的保障措施上进行定义和要求。
2、DSG评估等级
DSG评估等级包括基础级、优秀级、先进级三个级别。
基础级关注核心业务的安全治理能力及技术支撑情况,优秀级关注全业务流程的安全治理能力及技术手段的实施,先进级要求具备量化评估及优化改进机制。
3、企业切实的收益
4、DSG评估步骤
1) 评估申请确认:意向企业提交评估申请表,确认申请评估。
2) 商务合同确认:根据评估标准中的能力项,确认评估意向并进行商务合同确认。合同签订后正式安排后续评估流程。
3) 评估对接交流:商务合同确认期间,评估方与参评企业就评估工作进行持续沟通。
4) 企业自评反馈:商务合同确认后,参评企业根据自身情况,对应自评表各项要求,准备相应的证明材料并反馈。
5) 评估计划安排:评估方与参评企业持续沟通中,评估方与参评企业协商合适的评估时间,制定评估计划。参评企业应组建完善的评估团队,并提前准备详尽的证明材料,以确保现场评估的顺利进行。
6) 正式评估:评估方与参评企业评估团队共同进行现场评估工作,完成数据安全治理各能力项的现场打分以及问题意见反馈。现场评估后,参评企业需提供完整的、用于评估的证明材料(可脱敏处理),由评估方备案,并供后续专家评审使用。
7) 评估后续工作:正式评估后,评估方根据现场评估情况和参评企业提供的材料预估参评企业所属的能力等级,参评企业可进一步根据评估方现场评估反馈意见补交材料,同时参评企业与评估方共同完成评估报告内容。
8) 组织专家评审:评估周期结束后,将召开专家评审组会议,对参评企业提供的证明材料及评估报告进行评审,对评估的情况进行审核确认并在评审会后统一完成最终定级,通过专家组评审的参评企业方可获得对应等级的“数据安全治理能力评估”证书。
9) 证书颁发:
数据安全治理能力(DSG)评估证书
获得首批数据安全治理能力(DSG)评估证书的企业包括蚂蚁、百度、联通大数据、度小满、电信云5家电信互联网头部企业
目前第二批DSG评估试点单位已启动征集,本次征集工作围绕数据安全治理,征集并挑选一批DSG评估单位,相关详情以及更多关于DSG评估的信息,可在dbaplus社群官网进一步了解。
声明:家电新闻网http://www.jdnews.cc 刊载此文仅作传播之目的,不代表本站观点。