12月19日,中共中央、国务院对外发布了《关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称《意见》)。
数据作为新型生产要素,是数字化、网络化、智能化的基础,已快速融入生产、分配、流通、消费和社会服务管理等各环节,深刻改变着生产方式、生活方式和社会治理方式。数据基础制度建设事关国家发展和安全大局。为加快构建数据基础制度,充分发挥我国海量数据规模和丰富应用场景优势,激活数据要素潜能,做强做优做大数字经济,增强经济发展新动能,构筑国家竞争新优势,《意见》顺势发布。《意见》提出20条政策举措,从数据产品、流通交易、收益分配、安全治理四方面初步搭建我国数据基础制度体系。其主要内容是把握一条主线,构建四个制度和推进四项措施。
○ 把握一条主线
坚持促进数据合规高效流通使用、赋能实体经济这一主线,以充分实现数据要素价值、促进全体人民共享数字经济发展红利为目标。
○ 构建四个制度
建立数据产权制度,探索数据产权结构性分配制度,推进数据分类分级确权授权机制;建立数据要素流通和交易制度,完善数据全流程合规与监管规则体系,构建规范高效的数据交易场所,培育数据要素流通和交易服务生态,构建数据安全合规有序跨境流通机制;建立数据要素收益分配制度,给出了在初次分配、二次、三次分配的指导纲要;建立数据要素治理制度,创新政府治理机制,守住安全底线,明确监管红线。压实企业责任意识和自律意识,充分发挥行业协会等社会力量,规范市场发展秩序。
○ 推进四项措施
加强党对构建数据基础制度工作的全面领导;加大政策支持力度,做大做强数据要素型企业;积极鼓励试验探索,支持浙江等地区和有条件的行业、企业先行先试;稳步推进制度建设,逐步完善数据产权界定、数据流通和交易等主要领域关键环节的政策及标准。
把握一条主线,构建四个制度和推进四项措施,也明确了数据要合规高效地流通,同时积极构建、完善制度与推进措施,保障数据的流通并更好发挥数据要素作用。但这个过程中面临数据产权“三权分置”后,在数据处理活动过程中,对数据保护的要求也相应提高。
在国家数据分类分级保护制度下,推进数据分类分级确权授权使用和市场化流通交易,健全数据要素权益保护制度,逐步形成具有中国特色的数据产权制度体系。要探索数据产权结构性分置制度,推进实施公共数据确权授权机制,推动建立企业数据确权授权机制,建立健全个人信息数据确权授权机制,建立健全数据要素各参与方合法权益保护制度;对于数据跨境流通和交易,要建立数据来源可确认、使用范围可界定、流通过程可追溯、安全风险可防范的数据可信流通体系。要完善数据全流程合规与监管规则体系,统筹构建规范高效的数据交易场所,培育数据要素流通和交易服务生态,构建数据安全合规有序跨境流通机制。
《意见》指出:统筹发展和安全,贯彻总体国家安全观,强化数据安全保障体系建设,把安全贯穿数据供给、流通、使用全过程,划定监管底线和红线。在数据安全领域,天融信以国家法律法规、标准为指引,从数据安全治理的角度,围绕数据的分类分级、风险评估、技术保护、安全运营、安全监管等方面,已为政府、金融、运营商、能源等行业客户提供了良好实践。
强化数据安全治理体系建设 | 助力数字经济做强做优做大
天融信数据安全治理体系的建设遵循“三同步”原则,即同步规划、同步建设、同步使用。数据安全体系规划以组织业务战略及it战略为基础,从需求管理、执行机制、对象识别及策略设计四个维度出发进行评估设计。
数据安全治理体系框架总体设计
在需求管理中将根据自身实际需求进行分析评估,如合规性需求、风控需求及业务需求三个方面,输出数据安全需求清单;在执行机制中从组织建设、指导方针、制度设计、流程设计及标准规范方面进行分析制定,输出数据安全制度体系清单;在对象识别中分别在业务、场景、数据资产、数据分类分级、数据风险等方面进行识别分析,输出数据及其风险清单;在策略设计中从自身的能力目标、措施选择、实施管理、运营保障及审计监督等方面进行分析设计,输出数据安全策略清单。规划数据安全体系建设总体架构,打好坚实的基础为后续建设工作提供依据。
以网络安全等级保护为基础,以风险及策略清单为依据建立健全数据安全能力,主要从基础安全措施、数据安全措施、数据生命周期场景保护三个维度出发。其中基础安全措施包括身份管理、认证管理、授权管理等,加强基础能力建设;在数据安全措施中包含对数据的发现识别、分类分级、脱敏、防泄漏检测等多种安全措施,全面防护数据各个生命周期阶段,同时将考虑到多种数据生命周期场景,如采集、存储、传输、使用、处理、共享交换、擦除销毁及备份等,最终输出数据安全技术实施方案。多维度地、全方面地、切实地建立健全数据安全技术能力。
以数据安全制度、流程及策略清单为基础建立健全数据安全运营管理能力,主要包括运维管理、风险防控、持续监测、应急响应、恢复溯源。在运维管理中能够对资产、配置、行为、事件等进行管理;风险防控中对威胁、漏洞、暴露面、风险预警等方面进行管理;通过对资产、访问、行为及时间等方面的持续监测,及时发现数据风险情况并做出处置动作,建立健全应急响应能力,如应急预案、应急演练、指挥研判等,当发生数据安全情况时能够快速响应且做出补救措施;当安全事件发生后应具备恢复溯源的能力,如业务恢复、调查取证、溯源分析等并输出数据安全运营记录,从运维到溯源,建立起全面的数据安全运营管理能力。
以数据安全制度流程为基础,以数据安全策略及运营记录为依据建立健全数据安全监督整改能力,主要包括数据安全评估、数据安全监管、数据安全审计、数据安全改进四个维度。将根据自身需求、策略、运营等方面进行安全评估;对上线、采集、交换、运营、风险等进行全方面监管;从开发、事件、运营等方面建立健全数据全流程的安全审计能力,且能够输出数据安全监管审计记录。应对体系、策略、能力、运营、监管方面进行及时改进并输出数据安全治理指标体系。
◆ 天融信数据安全智能管理平台首批通过中国信通院数据安全类产品能力验证的基础级认证和数据分类分级能力进阶级认证。
◆ 天融信数据安全平台、数据分类分级等8项产品/技术入选gartner发布首份中国区安全技术成熟度曲线报告——hype cycle for security in china, 2022。
◆ 天融信全程深度参与《信息安全技术—数据交易服务安全要求》(gb/t37932-2019)国家标准编制工作,深刻理解其安全要点,可为数据交易活动提供体系化的安全保障。
◆ 天融信是中国信通院“数据安全共同体计划”联合发起单位,并获评“数据安全共同体计划优秀参与单位”。
topsec
构建数据基础制度体系,是新时代我国改革开放事业持续向纵深推进的标志性、全局性、战略性举措。“数据二十条”的发布既指明了未来数据要素市场改革的方向与任务,同时也给出了具体的技术路径。天融信将严守安全合规合法红线,充分发挥数据要素市场价值,更好地助力数字经济和实体经济的发展,促进数实融合,为数字中国建设保驾护航。
- 关键词标签:
- 天融信 数据安全建设 网络安全防御 数据全生命周期安全防护