以“安全護航 合規推動”為主題的 2022 SCIC 網絡安全合規創新峰會已圓滿落幕，受到與會領導、專家及業界同仁的熱切關注與討論。今天與大家分享的是來自中國信息通信研究院云計算與大數據研究所高級業務主管龔詩然《深化數據安全治理，共促數據安全發展》的專題演講！敬請收看！

嘉賓介紹

中國信息通信研究院云計算與大數據研究所高級業務主管 龔詩然

嘉賓簡介：數據安全工程師，中國信息通信研究院云計算與大數據研究所高級業務主管，目前主要從事數據安全及風險治理的理論研究工作，曾牽頭多項數據安全標準編制，負責多家行業頭部企業的數據安全治理咨詢工作。

●核心觀點●

01.數據安全進入法治化時代

數字經濟時代，將數字經濟和實體經濟融合為主線，強調挖掘數據要素的價值，釋放數據要素的價值，推動數據的開發和利用。

我國也相繼頒布多項法律法規，其中《網絡安全法》《數據安全法》以及《個人信息保護法》成為了共建我國網絡信息安全的“三駕馬車”。

數據安全相關法律規范陸續出臺，共同構建了國家數據安全領域法律體系。

02.數據安全推進計劃

隨著數據安全領域監管持續深化，企業數據安全治理面臨全新挑戰。

基于此背景，2021年9月1日，中國信通院發起公益性項目“數據安全推進計劃（Data Security Initiatives，以下簡稱DSI）”，致力于推動法律法規及監管要求的貫徹落實，促進數據安全技術交流，推廣數據安全最佳實踐，提升數據安全治理水平；從而助力開展數據安全建設，攜手共建數據安全生態。

DSI的主要工作包括搭建交流平臺、開展數據安全研究、建設數據安全標準體系、提供咨詢與評估評測服務、培訓與人才認證等。截止目前，DSI成員單位累計開展7批次征集，成員數量已突破300家。

依托于DSI平臺，目前在行業領域方面已成立了金融工作組、金融工作組和電信工作組，吸引了行業內頭部和影響力企業加入，持續賦能行業數據安全技術的應用和普及。

03.“可信數安”工作體系

DSI重點開展了四大方向工作，包括標準建設、評測評估、報告編制、沙龍活動，打造“可信數安”品牌。

在標準建設方面，目前已完成數據安全技術、數據安全服務能力、數據安全治理能力等方向的9項標準建設，另有2項在研標準，成果將于年底正式發布。

在評測評估方面，目前已完成包括產品評測、服務能力評估、治理能力評估等在內的41項，另有22項在評測中。

在報告編制方面，已完成包括實踐指南、行業調研報告、風險分析、圖譜等在內的5項報告，另有3項在研制中。

在沙龍活動方面，已開展8期品牌活動，另有3場活動籌備中。

依托于“可信數安”工作體系，號召了行業技術、咨詢和法律專家110余位加入專家智庫，整合行業專家資源，集中力量于數據安全工作；并廣泛凝聚國內數據安全領域的共識，推動我國數據安全建設工作的高質量發展；研究數據安全的痛點、難點問題，幫助企業找到應對和解決的方法，持續提升DSI各項研究和工作的專業性。

同時，“可信數安”會每月一召開“數安Talks”公開課，交流熱門話題，以線上直播方式，邀請行業企業共同探討。

04.聚焦產業供需雙側，形成“一體雙翼”格局

“可信數安”工作體系聚焦于產業供應側和用戶側，形成了“一體雙翼”格局。

針對于供應側，“可信數安”工作體系聚焦優質供應商的服務解決能力，以及產品在技術方面應用上的技術點，進行數據安全產品評測、數據安全服務能力評估，促進數據安全技術推廣創新，全方位促進數據安全市場有序發展。

針對于使用側，制訂了數據安全治理能力評估框架（DSG），多措并舉深化數據安全治理，建立健全數據安全體系，多方多維加強數據安全治理，切實提升企業數據安全水平。 通過準確度量企業的數據安全治理能力現狀，合理規劃數據安全治理能力提升路徑。

DSG歷經兩輪迭代，廣泛征集業內專家觀點、意見，共包含3層治理體系、4個評估維度、5個評估等級；充分結合了最新法規，助推落實數據安全、個人信息安全保護義務。

同時，針對用戶數據泄露風險和個人信息數據收集、處理不當的安全隱患，“可信數安”工作體系提出了“數據安全風險評估框架”，系統性評估明確風險管理需求，差距分析提供風險整改路徑。以法律遵從性為準則，圍繞數據生命周期安全，關注用戶信息保護合規，兼顧業務數據安全風險。

針對個人信息保護層面，提出“個人信息保護風險評估框架”，系統性評估排查個人信息保護問題，“點對點”提供整改建議。

04.成果與展望

自成立至今，DSI已發布《數據安全治理實踐指南（1.0）》《2021年數據安全行業調研報告》《數據安全風險分析及應對策略研究（2022年）》藍皮書，報告成果豐碩；未來將攜手多方力量，持續深化行業觀察。

同時，DSI推出了《數據安全產品服務圖譜（1.0）》，征集到眾多供應商提供的優質數據安全產品及服務，廣受業內關注和認可。

未來，DSI將在以下五個方面持續發力，深化數據安全治理，共促數據安全發展：

開展數據安全領域技術、應用、產業相關研究，撰寫相關標準、研究報告、白皮書。

深入行業開展數據安全治理研究，促進行業數據安全能力提升。

發掘數據安全治理優秀案例，促進行業應用推廣。

促進人才培養及行業交流，定期舉辦公開課、培訓會等活動。

依托“數安智庫”，推動數據安全難點、重點問題研究。