1 数据安全治理实践指南 2.0 数据安全治理实践指南 2.0本报告版权属于数据安全推进计划，并受法律保护。转载、摘编或利用其它方式使用 本报告文字或者观点的，应注明“来源：数据安全推进计划”。 违反上述声明者，编者将追究其相关法律责任。版权声明数据安全治理实践指南 2.0特别鸣谢机构 特别鸣谢专家中国信息通信研究院、 中国移动通信集团有限公司、 中国联合网络通信集团有限公司、 中国电信集团有限公司、中移信息技术有限公司、中国联合网络通信有限公司广东省 分公司、联通数字科技有限公司、联通（广东）产业互联网有限公司、天翼电子商务 有限公司、北京百度网讯科技有限公司、深圳市腾讯计算机系统有限公司、中国工商 银行股份有限公司、中国建设银行股份有限公司、中国光大银行股份有限公司、华泰 证券股份有限公司、国信证券股份有限公司、吉利控股集团有限公司、上海汽车集团 股份有限公司、国网四川信通公司、OPPO 广东移动通信有限公司、天道金科股份有 限公司、上海淇毓信息科技有限公司、中国电子科技网络信息安全有限公司、天达共 和律师事务所、北京中银（深圳）律师事务所、奇安信科技集团股份有限公司、北京 天空卫士网络安全技术有限公司、北京天融信网络安全技术有限公司、杭州安恒信息 科技有限公司、杭州美创科技股份有限公司、绿盟科技集团股份有限公司、北京数安 行科技有限公司、IBM、北京奇虎科技有限公司、浪潮云信息技术股份公司、北京旷 视科技有限公司、 上海新炬网络信息技术股份有限公司、 浙江零跑科技股份有限公司、 江苏保旺达软件技术有限公司、上海爱数信息技术股份有限公司、郑州信大捷安信息 技术股份有限公司、数安信（北京）科技有限公司、北京亿赛通科技发展有限公司、 江西省信息中心、安徽辰图大数据科技有限公司 刘雪花、 李雪妮、 魏凯、 姜春宇、 闫树、 龚诗然、 李天阳、 郝志婧、 张越、 张亚兰、 温暖、 赵晨斌、于文良、曹继文、鄂梅、宁相军、何晓倩、刘建国、谷陟军、吴剑锋、陈泽楠、 许琛超、杜悦艺、吴芳琼、李克鹏、袁文生、吴凡、顾晓强、张坤、邵媛、刘巍、江旺、 张炎、 王君、 周思佳、 左银康、 肖雪、 孙雄涛、 王一斌、 刘坤灵、 苏振波、 王同新、 张赣、 崔新炜、 柳伟杰、 薛锋、 申晓雨、 叶鹏、 潘良、 王新华、 杨勇涛、 李洪亮、 梁伟、 杨明非、 张文礼、谢雄、林鹭、王彦翔、金岳阳、刘玉红、孔祥慧、王雨薇、唐会芳、李传忠、 李连伟、赵华涛、程永新、梁铭图、黄国标、陈昺润、刘险峰、卢伟、张震、刘为华、 胡国华、李楷、张艺伟、何黎明、周剑涛、关中华数据安全治理实践指南 2.0数据作为新型生产要素，已成为国家重要资产和我国数字经济发展的基础战略资 源。2021 年以来，国家、行业、地方相继颁布了大量数据安全政策文件。作为数字经 济健康发展的重要基石，数据安全的重要性愈发突出，数据安全治理需求愈加明显。 为了梳理数据安全治理的概念内涵，探讨企业数据安全建设路线，中国信息通信 研究院云计算与大数据研究所于 2021 年 7 月发布 《数据安全治理实践指南 （1.0） 》 （以 下简称 《指南 （1.0） 》 ） ， 围绕数据安全治理目标、 治理框架、 治理实践路径展开论述。 经过一年多的发展， 企业数据安全治理取得了有效进展， 同时也面临新的挑战。 比如， 当前大部分企业的数据安全管理制度聚焦在原则、管理规定等较粗颗粒度的层面，对 数据业务的下沉指导不充分，导致具体业务场景下的技术落地仍然缺乏实践指引，容 易与管理要求脱节等。 本指南依据大量行业调研和企业实践，在《指南（1.0）》的基础上优化了数据安 全治理总体视图，并针对数据分类分级难落地、管理与技术易脱钩等焦点问题的建设 方案进行了初步探索，进一步细化了数据安全治理实践路线。前 言数据安全治理实践指南 2.0 CATALOGUE1 3 12 27 28211 1 4 4 6 11 12 14 17 19 28 32 37 40 4321 22 22 23 25 25 25目 录 一、数据安全治理概述 ( 一 ) 数据安全治理概念内涵 ( 二 ) 数据安全治理要点 二、数据安全治理总体视图 ( 一 ) 数据安全治理目标 ( 二 ) 数据安全治理体系 ( 三 ) 数据安全治理维度 ( 四 ) 数据安全治理实践 三、数据安全治理实践路线 ( 一 ) 数据安全规划 ( 二 ) 数据安全建设 ( 三 ) 数据安全运营 ( 四 ) 数据安全评估优化 四、数据分类分级场景建设思路 ( 一 ) 第一步：建立组织保障 ( 二 ) 第二步：进行数据资源梳理 ( 三 ) 第三步：明确分类分级方法、策略 ( 四 ) 第四步：完成数据分类 ( 五 ) 第五步：逐类完成定级 ( 六 ) 第六步：形成分类分级目录 ( 七 ) 第七步：制定数据安全策略 五、数据安全治理总结与展望 附录：数据安全治理实践案例 ( 一 ) 华泰证券股份有限公司 ( 二 ) 中移信息技术有限公司 ( 三 ) 中国联通广东省分公司 ( 四 ) 吉利汽车集团有限公司 ( 五 ) 360 数科1 数据安全治理实践指南 2.0一、数据安全治理概述 ( 一 ) 数据安全治理概念内涵 ( 二 ) 数据安全治理要点发展数字经济、加快培育发展数据要素市场，必须把保障数据安全放在突出位置。 这就要求我们着力解决数据安全领域的突出问题，有效提升数据安全治理能力。随着 数据安全监管要求逐渐落地，组织数据安全治理动力明显攀升，数据安全技术及服务 供给不断释放。整体来看，数据安全治理进入快速发展阶段。本章将解析数据安全治 理概念内涵，分析数据安全治理要点。 为指导行业数据安全治理能力建设，促进行业数据安全治理能力发展，依据中国 通信标准化协会大数据技术标准推进委员会 BDC 91-2022《数据安全治理能力评估方 法》 ， 梳理数据安全治理概念内涵， 本指南认为应该从广义和狭义两个角度进行理解。 狭义地说，数据安全治理是指在组织数据安全战略的指导下，为确保组织数据处 于有效保护和合法利用的状态，以及具备保障持续安全状态的能力，内外部相关方协 作实施的一系列活动集合。 包括建立数据安全治理组织架构， 制定数据安全制度规范， 构建数据安全技术体系，建设数据安全人才梯队等。 广义地说，数据安全治理是在国家数据安全战略的指导下，为形成全社会共同维 护数据安全、促进开发利用和产业发展的良好环境，国家有关部门、行业组织、科研 机构、企业、个人共同参与和实施的一系列活动集合。包括完善相关政策法规，推动 政策法规落地，建设实施标准体系，研发应用关键技术，培养专业人才等。 （1）以数据为中心 数据的高效开发和利用，涵盖了数据的采集、传输、存储、使用、共享、销毁等 全生命周期的各个环节，不同环节的特性不同，都面临丰富多样的数据安全威胁与风 险。因此，必须构建以数据为中心的数据安全治理体系，根据具体的业务场景和各生 2 数据安全治理实践指南 2.0命周期环节，有针对性地识别并解决其中存在的数据安全问题，防范数据安全风险。 （2）多元化主体共同参与 无论是从广义还是狭义的角度出发，数据安全治理不是仅仅依靠一方力量可以开 展的工作。 对国家和社会而言， 面对数据安全领域的诸多挑战， 政府、 企业、 行业组织、 甚至个人都需要发挥各自优势，紧密配合，承担数据安全治理主体责任，共同营造适 应数字经济时代要求的协同治理模式。这也与《中华人民共和国数据安全法》（以下 简称《数据安全法》）中强调建立各方共同参与的工作机制相一致。对组织机构而言， 数据安全治理需要从组织战略层面出发，协调管理层、执行层等相关方，打通不同部 门之间的沟通障碍，统一内部数据安全共识，实现数据安全防护建设一盘棋。因此， 数据安全治理必然是涉及多元化主体共同参与的工作。 （3）兼顾发展与安全 随着国内数字化建设的快速推进，无论是政府部门，还是其他组织均沉淀了大量 的数据。数字经济时代的应用场景下，数据只有在流动中才能充分发挥其价值，而数 据流动又必须以保障数据安全为前提，因此，必须要辩证看待数据安全治理。正如《数 据安全法》提出的“坚持以数据开发利用和产业发展促进数据安全，以数据安全保障 数据开发利用和产业发展。”数据安全治理不是强调数据的绝对安全，而是需要兼顾 发展与安全的平衡。3 数据安全治理实践指南 2.0二、数据安全治理总体视图 本指南结合前期大量调研和数据安全治理能力评估实践，依据中国通信标准化协 会大数据技术标准推进委员会 BDC 91-2022《数据安全治理能力评估方法》，提炼出 一套行之有效的数据安全治理总体视图，用以描绘数据安全治理的建设蓝图和实践路 线，如图 1 所示。 来源：数据安全推进计划 图 1 数据安全治理总体视图