《数据安全治理能力评估方法》

《数据安全治理能力评估方法》标准编制说明

1、标准范围本标准主要适用于电信网和互联网行业中组织开展的数据采集、数据传输、数据存储、数据使用、数据共享、数据销毁等处理活动及与数据处理活动相关的平台系统的规划、建设和运行等过程本标准规范了各类数据处理活动及其相关平台系统应遵循的安全保护要求，为组织的数据安全治理能力建设提供参考和指引同时给出了具体的量化评估方法，一方面可用于企业的自评估，一方面适用于监管部门、评估机构等组织对数据处理活动和平台系统进行管理和评估

2、工作简况随着大数据技术和产业的不断发展壮大，数据跃升为生产要素，以推动数字经济的高质量发展新形势下的数据安全上升到国家安全层面，事关国家安全与经济社会发展然而，当前行业数据安全认识稍显不足，数据安全治理能力参差不齐，数据安全标准实际落地效果欠佳为指导行业数据安全治理能力建设，帮助企业发现数据安全治理能力不足，促进行业数据安全治理能力发展，需要推出数据安全治理能力评估标准及配套评估方法本标准以数据全生命周期的安全治理能力建设为切入点，关注基础性要点和关键环节的建设情况，梳理企业的治理能力级别并分级制定量化考核指标，以对电信互联网企业的数据安全治理能力进行度量，为企业不断提升数据安全能力提供可操作的实施指南本标准由中国互联网协会数据治理工作委员会提出，主要起草单位和起草人包括中国信息通信研究院李雪妮、闫树、魏凯、姜春宇联通大数据有限公司范东媛、裴超、田涛北京百度网讯科技有限公司钟舒翔、孙硕奇安信科技集团股份有限公司王新华、孙晶蚂蚁科技集团股份有限公司马天羿、王昕京东数字科技集团边立军、李龙北京爱奇艺科技有限公司樊庆君北京小米移动软件有限公司朱玲凤、刘大千恒安嘉新（北京）科技股份公司张振涛、李鹏超、孟娟北京三快在线科技有限公司（美团）叶串、吴斌中国联通集团有限公司孙艺、吴连勇中国联通研究院曹咪中国移动通信集团有限公司娄涛、温暖、李文琦、刘飞龙中国电信股份有限公司云计算分公司蓝宇娜闪捷信息科技有限公司陈广辉北京快手科技有限公司赵皓星、王峰同盾科技有限公司曲远汶北京天融信网络安全技术有限公司陈洪运北京字节跳动科技有限公司安潇羽贝壳找房（北京）科技有限公司刘扬、孙瑶OPPO广东移动通信有限公司李根杭州安恒信息技术股份有限公司高柱启明星辰信息技术有限公司周瑞群本标准于2020年立项，共组织了9次企业交流会，5次标准讨论会，主要情况如下1前期分别与小米科技、爱奇艺、联通大数据、奇安信、浙江移动、美团、京东数科、恒安嘉新、电信云等电信网和互联网企业开展了9次线下/线上有关企业数据安全建设经验及成果的交流会，明确了数据安全治理能力评估工作的市场需求及必要性2分别组织了5次标准讨论会2020年10月16日，召开数据安全治理能力评估工作启动会，会议由中国信息通信研究院云计算与大数据研究所组织来自百度、奇安信、联通大数据、电信云、中国移动、美团、爱奇艺、蚂蚁金服、小米科技、恒安嘉新、闪捷信息、腾讯、字节跳动、快手、贝壳找房、OPPO等电信运营商和互联网企业代表参加会议会上征集了数据安全治理能力评估方法标准编写单位，并邀请企业代表分享了数据安全治理实践经验2020年11月4日，召开评估方法第二次标准讨论会，邀请了数据安全领域的二十余位专家学者，针对数据安全评估治理能力评估方法标准的架构进行了集中讨论和修订，并初步确定了数据安全评估治理能力评估方法标准的三个能力等级2020年11月18日，召开评估方法第三次标准讨论会，与会代表围绕标准的三个能力等级的具体要求进行了深入讨论，并达成初步一致意见，并确定了数据安全评估工作的下一步工作计划2020年12月2日，召开评估方法第四次标准讨论会，针对分级的评估方法内容进行讨论，明确了与各等级能力要求对应的量化评估方法，为数据安全治理能力评估工作的开展提供了实施指南2020年12月29日，召开评估方法第五次标准讨论会，继续针对标准全文内容进行完善修订最终，起草组成员在标准框架、能力要求、评估方法等方面达成初步共识，并形成了征求意见稿

3、标准编制原则和确定标准主要内容的依据本标准的编制本着科学性、规范性、合理性和可操作性原则，按照GB/T

1.1-2020给出的规则编写本标准的主要内容包括数据安全治理能力标准要求及评估实施方法两个维度，涵盖数据全生命周期安全及数据安全治理能力要点编写过程主要参考三方面内容一是国标GB/T37988-2019《信息安全技术数据安全能力成熟度模型》，二是电信网和互联网行业各组织实际数据安全治理能力建设情况，三是电信网和互联网行业主管部门的监管要求

4、主要试验（或验证）的分析、综述报告本标准起草过程中，我们深入多家相关企业展开调研，并进行了多轮专家论证，明确了包括数据安全战略、数据全生命周期安全和基础安全三方面的评估框架其中，数据安全战略包括数据安全规划、机构人员管理两个安全要点，数据全生命周期安全包括数据采集安全（包括数据采集安全管理）、数据传输安全（包括数据传输安全防护）、数据存储安全（包括存储安全、数据备份与恢复）、数据使用安全（包括使用安全、数据处理环境安全）、数据共享安全（包括数据内部共享安全、数据外部共享安全）、数据销毁安全（包括数据销毁处置）六个阶段的九个安全要点，基础安全包括数据分类分级、合规管理、合作方管理、监控审计、鉴别与访问、风险和需求分析、安全事件应急七个安全要点为帮助电信网和互联网企业评估自身数据安全治理能力，并提供有目标、有指导、分阶段的建设路径及方法形成了本标准

5、标准在起草过程中遇到的问题及解决办法重大分歧意见的处理经过和依据有无重要技术问题需要说明在本标准起草修订过程中，无重大意见分歧

6、与国外标准的关系包括采用国际标准和国外先进标准的程度，与国外标准主要技术内容的差异（可引用标准前言的内容）本标准没有完全对应的国际标准或国外先进标准

7、修订标准时，说明与标准前一版本的重大技术变化，并列出所涉及的新、旧版本的有关章条（可引用标准前言的内容）废止/代替现行有关标准的建议本标准为制定标准，非修订标准

8、说明标准与其他标准或文件的关系（可引用标准前言的内容），特别是与有关的现行法律、法规和强制性国家标准的关系本标准按照GB/T

1.1-2020给出的规则起草，主要参考了国标GB/T37988-2019《信息安全技术数据安全能力成熟度模型》国标GB/T37988-2019与本标准的区别在于，一是国标主要关注的是通用的数据安全管理能力，本标准将聚焦电信网和互联网行业情况，围绕行业内数据的使用特点及使用场景进行编写；二是在给出相应等级能力要求的同时制定可操作的评估细则，有助于对企业的实际建设能力进行量化考察，也为企业的数据安全治理能力建设提供参考和实施依据；三是在评估方法中纳入了监管要求，在企业提高自身建设能力的同时能有效应对行业监管目前，本标准与有关的现行法律、法规、强制性国家标准的要求保持一致，没有冲突

9、标准作为强制性标准或推荐性标准的建议建议本标准作为推荐性标准颁布实施

10、贯彻国家标准的要求和措施建议（包括组织措施、技术措施、过渡办法等内容）标准发布后，对国内外业界可能产生的影响建议本标准作为推荐性标准发布实施本标准发布后，应向电信网和互联网行业的组织进行宣传贯彻，向从事数据相关工作的人员推荐执行本标准本标准的贯彻执行，有助于相关组织提高自身的数据安全治理能力，有效应对监管要求，提升行业数据安全治理水平

11、标准是否涉及知识产权的情况说明；如标准中含有自主知识产权,说明产品研发程度、产业化基础及进程本标准未涉及

12、其他应予说明的事项本标准未涉及。