数据安全治理现状研究与分析

近年来，国内外数据泄露事件频发，大量企业的商业利益、声誉受损。数据安全法律法规相继颁布，监管力度不断升级，企业逐渐意识到数据安全治理的重要性与紧迫性。通过对2021年开展的企业数据安全治理能力评估现状进行整理，总结企业数据安全治理工作在组织建设、人才培养、技术工具等方面的现状与趋势，提供能力提升思路，以供业界参考。2021年《中华人民共和国数据安全法》（简称《数据安全法》）颁布[1]，提出建立健全数据安全治理体系，提高数据安全保障能力，倡导全社会共同维护数据安全。企业作为开展数据处理活动的主要组织，应积极履行数据安全保护义务，遵守国家、各行业、各地监管要求，开展数据安全治理工作，提升数据安全治理能力。

有效识别企业的数据安全问题，客观评价其数据安全治理水平离不开检测与评估。2020年，中国信息通信研究院牵头制定团体标准T/ISC-001-2021《数据安全治理能力评估方法》[2]，该标准提出的“数据安全治理能力评估框架”创造性地提出，企业或第三方评估机构可从组织架构、制度流程、技术工具、人员能力四大维度入手，进行数据安全治理能力评估。

如图1所示，数据安全治理能力评估框架将数据安全治理分为三大层次，即数据安全战略、数据全生命周期安全和基础安全[3]。数据安全战略指组织的数据安全顶层规划，起到为数据安全治理“搭框架”“配人手”的作用；数据全生命周期安全指组织在数据全生命周期的安全管控措施；基础安全指组织在数据基础安全方面的保障能力，起到支撑与保障作用。本文根据2021年参与企业数据安全治理能力评估的33家企业情况，进行企业数据安全治理建设情况的总结与分析，并提供相关建议。

1 数据安全治理建设现状

1.1 数据安全治理组织架构初具雏形
企业的数据安全治理是企业综合考虑业务当前与未来发展需要，为保障数据安全所开展的一项系统工程。作为这一系统工程的相关方，各部门需要围绕企业的数据安全方针，就如何开展配合与协作、完善制度规范文件、部署安全技术产品、提升人员安全意识与能力。因此，为确保内部对数据安全治理的方针达成共识、合理配置数据安全工作任务与资源，需要建立企业层面的高层级决策、管理机构，使各部门、岗位人员明确其具体职责与分工。此外，该组织应能够对数据安全治理工作进行监督与评价，以保障企业数据安全治理的持续性改进。

根据《大数据白皮书2021》[6]，企业的数据安全治理组织架构初具雏形。77.5%的企业已建立有效的数据安全管理机构与运行机制，基本明确了决策者、管理者、执行者的角色与职责。数据安全治理的机构组织形式主要分为数据安全治理委员会与网络与信息安全领导小组。

如图2所示，相较于网络与信息安全领导小组，数据安全治理委员会的组织形式更具先进性：数据安全治理委员会可围绕数据的全生命周期安全，以专项工作组为单位，灵活地响应最新的法律法规、监管要求，协同开展各类专项工作。此外，数据安全治理委员会的成员不局限于安全、运维等部门人员。数据安全治理委员会可根据成员的实体岗位职责，从编制数据安全规范文件、引进数据安全技术产品等方面，建设企业数据安全治理体系。

1.2 数据安全人才培训体系逐步建立
企业数据安全治理工作的效果很大程度上取决于相关岗位人员的执行情况。为进一步落实数据安全战略下的具体工作，企业需要通过盘点岗位职责、评估人员能力，将工作任务与具体的岗位、人员进行匹配。也需通过梳理当前的数据安全人才需求，分析当前人员的能力水平差距，不断完善数据安全培训机制。

《数据安全行业调研报告》统计显示[4]，企业逐渐重视数据安全人员的能力培养：58.8%的企业认为数据安全治理面临的最大挑战是专业人才缺失。为落实数据安全战略，企业开始关注数据安全培训体系的建设：68.9%的企业已初步建立内部数据安全人才培训体系，培训内容覆盖了法律法规解读、保密意识教育、数据安全技术培训等多个方向。

如图3所示，虽然数据安全人才培训体系逐步完善，但由于部分课题（如数据安全风险分析、数据安全审计等）仍处于探索阶段，企业对专业培训服务产生一定的采购需求。同时，安全服务供应商紧密布局培训服务业务：安全服务供应商计划完善数据安全培训服务方案，开拓数据安全培训业务。这有望助推企业的数据安全人才培训内容逐步完善。