2021-05-28 15:20:3411727人阅读
2021数据安全治理论坛暨《数据安全治理能力评估方法》团体标准发布会5月20日在北京举行,会议由中国互联网协会和中国信息通信研究院(以下简称“中国信通院”)联合主办。为全面、准确、客观度量企业数据安全治理能力,指导企业落实数据安全治理主体责任,促进全行业数据安全保护水平持续提升,中国互联网协会制定了《数据安全治理能力评估方法》团体标准(以下简称“标准”)。中国信通院依据该标准开展了对标、贯标工作,在会上介绍首批评估状况,百度等5家单位通过严格规范的数据安全治理能力评估和专家评审后,荣获优秀级的数据安全治理能力证书。
随着数据要素市场的培育以及数字经济的发展,数据安全事关国家安全和经济社会发展,提升数据安全治理能力是企业在新形势下需要着力解决的突出问题。工业和信息化部高度重视数据安全工作,2019年工信部率先在行业内部署开展了提升网络数据安全保护能力专项行动,2020年底工信部印发了《电信和互联网行业数据安全标准体系建设指南》,为行业数据安全水平提升奠定了坚实基础。在此基础上,网安局指导中国互联网协会组织编写了《数据安全治理能力评估方法》标准,为企业数据安全建设提供了具体的操作指南和度量准则。建议全行业要进一步提高政治站位,加快数据安全综合保障能力建设,在全行业形成提升数据安全治理能力的氛围。为此,中国信通院以“准确度量企业的数据安全治理能力现状,合理规划数据安全治理能力提升路径”为目标,推出了国内首个市场化的“数据安全治理能力评估”(以下简称“DSG评估”)项目。DSG评估为企业建设、度量、改进自身的数据安全治理体系提供了方法论和操作指南。
DSG评估作为一套方法论体系,可以用于企业的数据安全治理体系建设参考;作为一套度量准则,可以用于考察企业的数据安全治理能力现状;作为一套改进指南,可以用于指导企业从组织、制度、技术、人员等方面有目标、有路径、分阶段的能力提升。其评估框架共包括数据安全战略、数据全生命周期安全、基础安全三部分,数据安全战略包括数据安全规划和机构人员管理两个能力项,主要考虑从企业的顶层规划方面提出要求,为数据安全治理能力的建设搭框架、配人手;数据全生命周期安全包括数据采集安全、数据传输安全、存储安全、数据备份与恢复、使用安全、数据处理环境安全、数据内部共享安全、数据外部共享安全、数据销毁安全在内的九个能力项,通过对数据全流转过程进行规范和约束以有效降低数据安全风险;基础安全包括数据分类分级、合规管理、合作方管理、监控审计、鉴别与访问、风险和需求分析、安全事件应急等七个能力项,主要从数据安全的保障措施上进行定义和要求。百度在这次评估中,展现出了全业务流程的安全治理能力及技术实施手段,因而获得了优秀级的评估。
百度在数据安全上以“软硬兼施”的数据安全管理理念,在基于MPC、TEE、FL和DP 等技术的多方联合计算平台,为跨机构数据流通提供“可用不可见,相逢不相识”的极致安全体验;在基于密码学方案实现“数据不出域”的情况下进行联合计算/建模;在基于权限访问控制、数据脱敏/抽样等技术,实现“数据看得见拿不走”的情况下,使数据拥有方单向开放数据给数据处理方。综合而言,百度凭借兼容各场景的部署能力,用多种安全计算模式保障客户数据安全,提供全面丰富的安全建模能力,助力政务、金融、医疗、教育、互联网、零售、电商等行业实现业务上的数据创新。
此外,DSG评估聚焦数据安全,提供明确的评估方法,实操性强,并且紧跟立法要求和技术趋势,通过市场化的DSG评估,可以促进行业自下而上的向好发展。从行业的角度,通过DSG评估可以详细了解行业数据安全治理能力发展现状,数据安全治理工作需要全行业联手,从推进标准体系建设、促进企业监管制度确立、明确技术管理方式、推进第三方评估评测等方面进行共同建设,以期实现数据安全迫切需要,才能保障数据业务快速发展。