1、数据安全治理能力评估数据安全治理能力评估（DSGDSG评估）评估）中国信息通信院中国信息通信院2022.04数据安全进入“强监管”时代 2021年，数据安全相关法律法规相继发布实施，数据安全进入“强监管”时代。数据安全法个人信息保护法网络安全法法律行政法规部门规章地方01网络数据安全管理条例（征求意见稿）02工业和信息化领域数据安全管理办法（试行）（征求意见稿）数据出境安全评估方法（征求意见稿）03上海市数据条例深圳经济特区数据条例04落实数据安全保护和个人信息保护义务，需要建设数据安全治理体系 数据安全法明确提出要建立健全数据安全治理体系。通过数据安全治理提升企业数据安全水平已成为行业共识。

2、明确的组织架构作保障体系的制度流程作依据完备的技术工具是能力底座合格的人员能力是有效支撑需要体系化，建立机制，形成闭环国家促进数据安全检测评估、认证等服务的发展第四条维护数据安全，应当坚持总体国家安全观，建立健全数据安全治理体系，提高数据安全保障能力。第十一条国家积极开展数据安全治理、数据开发利用等领域的国际交流与合作，参与数据安全相关国际规则和标准的制定，促进数据跨境安全、自由流动。第十八条国家促进数据安全检测评估、认证等服务的发展，支持数据安全检测评估、认证等专业机构依法开展服务活动。国家支持有关部门、行业组织、企业、教育和科研机构、有关专业机构等在数据安全风险评估、防范、处置等方面开展协

3、作。数据安全法明确提出促进数据安全检测评估、认证等服务的发展。吸收借鉴了CCPA、GDPR等各国法律法规和OECD、APEC等国际组织的隐私保护框架。对企业隐私与数据治理实践进行认证，聚焦数据隐私保护。美国 TRUSTe 安全认证对企业和组织的数据行为进行评估认证。欧盟 GDPR 数据保护机制基于BS10012:2009数据保护个人信息管理系统规范:实施方法。侧重于信息管理过程，并有针对中小企业设置的特别准则。英国个人信息管理系统认证由特定非营利性组织依据美国儿童在线隐私保护法(COPPA)的原则和要求对APP、云解决方案和网络服务等针对儿童个人信息的行为进行评估。美国iKeepSafeCOP

4、PA认证由CNIL依据法国数据保护法案对数据存储的安全性进行评估认证。法国CNIL电子保险箱认证 依托市场化机制，国外已经形成了较为完备的数据安全第三方评估测试体系，在助力法律法规落地、提升企业数据安全管理水平、推动行业健康有序发展方面发挥了重要的作用。国外数据安全治理能力评估现状 我国数据安全标准化工作迈入了新阶段，针对企业数据安全能力和产品数据安全能力的评估评测标准需求较大。中国信息安全认证中心：开展企业信息安全认证工作中国信息安全测评中心：开展信息安全漏洞分析与风险评估、信息技术产品、系统和工程建设的安全性测试与评估等工作 当前我国安全评估工作的重点在于信息安全，而面向数据安全的市场化评

5、测评估尚处于起步阶段。中国信息通信研究院：数据安全治理能力评估国内数据安全治理能力评估现状GB/T 35274-2017信息安全技术 大数据服务安全能力要求GB/T 37973-2019信息安全技术 大数据安全管理指南GB/T 37988-2019信息安全技术 数据安全能力成熟度模型GB/T 35273-2020信息安全技术 个人信息安全规范T/ISC-0011-2021数据安全治理能力评估方法国家高度重视标准化工作偏重信息安全认证通过准确度量企业的数据安全治理能力现状，合理规划数据安全治理能力提升路径。一套构建方法一套度量准则一套改进指南通过以评促建的方式，实现企业数据安全治理在组织、制度、

6、技术、人员方面的闭环、循环提升目标用途效果行业水平参差不齐度量方法缺失与监管要求、公众期待尚有差距，缺乏贴近产业现状的指南。现状如何让监管放心如何使用户满意如何保数据安全数据安全治理能力评估（DSG评估）组织制度技术人员01规划02建设03审查04优化问题推出国内首款数据安全治理能力评估工作2020.092020.102020.102021.42021.012021.032021.06-2021.12深入企业调研数据安全治理痛点和需求，发起数据安全治理能力评估项目。编写标准数据安全治理能力评估方法1.0。由来自百度、联通大数据、奇安信等20余家企业的近30位专家参与。按照评估原则，遵照评估标准

7、，开展首批5家正式评估。2021.042021.072021.082021.122021.122022.06开展第四批评估。开展第二批7家评估。开展第三批21家评估。标准2.0版本的修订，依据数据安全法、个人信息保护法等最新要求进行合规要求对标，细化评估等级等.各项工作按计划顺利推进，成效明显。DSG评估总体推进事项DSG评估框架研制过程 标准1.0于2021年4月27日正式发布。标准2.0于2021年6月初在中国通信标准化协会成功立项，由中国信通院牵头来自移动、联通数科、百度、蚂蚁等20余家电信和互联网企业共同修订。拟参编单位 数据安全治理能力评估方法2.0标准修订工作全面覆盖数据安全法和个

8、人信息保护法中规定的数据安全和个人信息安全保护义务与要求。DSG评估框架对标国家法律法规数据安全法数据安全法标准标准2.0条款覆盖率条款覆盖率总覆盖率总覆盖率第四章第四章数据安全保护义务数据安全保护义务8.x，9.2.x，9.4.x，9.6.x，9.7.x100%100%第五章第五章政务数据安全与开放政务数据安全与开放7.1.x，8.x，9.3.x100%个人信息保护法个人信息保护法标准标准2.0条款覆盖率条款覆盖率总覆盖率总覆盖率第二章第二章 个人信息处理规则个人信息处理规则8.x，9.2.x100%100%第三章第三章 个人信息跨境提供的规个人信息跨境提供的规则则8.2.2.x 8.5.3

9、.x100%第四章第四章 个人在个人信息处理活个人在个人信息处理活动中的权利动中的权利8.1.x100%第五章第五章 个人信息处理者的义务个人信息处理者的义务7.2.x8.1.x8.6.x9.1.x9.3.x9.6.x 9.7.x100%DSG评估框架 评估框架：三层治理体系、四个评估维度、五个评估等级。数据安全治理能力评估框架2.0评估等级评估等级持续优化级量化评估级全面治理级重点执行级初始级评估维度评估维度组织架构制度流程技术工具人员能力DSG评估内容示例能力项数据安全治理领域的最小建设集合。规定每个能力等级应具备的安全能力，从组织架构、制度流程、技术工具、人员能力四个维度定义。明确与各等

10、级要求对应的评估方法，包括查文档、看日志、验平台等方式。对每个能力项的总体要求进行定义。评估等级等级要求 根据数据安全治理能力的覆盖范围、支撑力度等方面明确评估等级要求。DSG评估等级第1级 初始级第2级 重点执行级第3级 全面治理级第4级 量化评估级第5级 持续优化级没有正式的管理流程和体系，被动地执行数据安全工作。在部门中建立了基本的管理流程和初步的体系。拥有完善的数据安全治理能力量化评估体系。在组织层面，具备完善的标准化管理机制，能够促进数据安全的规范化落地。据最新的外部监管要求、内部发展需要以及技术发展，不断改进和优化数据安全治理体系。DSG评估特色更加聚焦专注数据安全容易操作评估方法

11、明确，操作性强与时俱进紧跟立法要求与技术趋势市场机制自下而上推动行业发展通过问卷、访谈等形式对现状进行了解，发现存在的问题及人员能力缺陷，分析和行业水平的差距，并总结提炼关键发现。企业亦可依据标准进行自评估，初步发现企业自身问题。现状总结数据安全法发布实施，强调提升企业数据安全治理能力。通过评估，在应对监管时做到心中有数。优化建议通过评估，实现企业与行业水平的横向对比，找出差距所在，有助于后续水平拉齐。推荐最佳实践参与数据安全治理相关沙龙、论坛、大会等的交流中，了解行业发展情况，借鉴学习，提升治理经验。业内交流对内加强宣讲，提升安全意识，对外加强推广，扩大企业知名度，推动行业发展。宣传推广针对

12、现状总结，结合最佳实践以及企业发展需要，给出针对性的优化建议。资讯获取 发现存在问题，指明发展方向，提升治理能力。DSG评估意义企业收益DSG评估：企业数据安全治理的自运转能力组织建设由谁来做多方协同的团队架构执行者管理者协作者决策者应该怎么做层次化的制度文件制度流程方针总则管理办法操作指南记录模板技术工具实际怎么做体系化的技术能力事前预防事中监控事后审计有没有能力做自建人才培养体系人员能力意识培养能力提升定期考核DSG评估助推企业形成数据安全治理的双闭环 规划、执行、检查、处置4个环节流通的大闭环，以及各环节内的小闭环。规划Plan执行Do检查Check处置Act年度规划规划论证任务派发员工

13、绩效提请需求上报审批策略落实严格执行事前预防事中管理事后审计检查复盘结果推广数据安全规划机构人员管理数据全生命周期能力项合规管理、监控审计、鉴别与访问等基础能力项安全事件应急DSG评估 准确评估行业数据安全治理能力发展现状。DSG评估等级分布共性问题分析发现企业标杆行业内企业数据安全治理能力等级分布情况，逐年的改进和提升效果，以评价行业数据安全治理能力发展情况。准确把握数据安全建设过程中普遍存在的问题，为下一步的数据安全治理能力的提升奠定基础。发现行业内数据安全治理能力建设的标杆企业，总结最佳实践，开展推广，提升行业整体水平。DSG评估意义行业治理抓手 评估实施阶段主要分为前期准备、中期实施、

14、后期审核三个阶段。DSG评估实施流程受理评估申请评估策划资料收集与解读正式评估评估报告编制报告评审证书发放评估准备评估执行评估审核DSG评估实施步骤评估申请商务流程企业自评自评情况提交与评审前期工作评估排期正式评估证明材料提交定级正式评估企业确认及申辩补充材料重新定级专家评审证书颁发后期工作评估人员查阅数据安全相关文件资料，如企业数据安全管理制度、业务技术资料和其他相关文件；用以评估数据安全管理相关制度文件是否符合标准要求；企业需要事先完整准备上述文档以供评估人员查阅。评估人员通过与被评估企业相关人员进行交流、讨论、询问等活动；以评估数据安全保障措施是否有效；企业需要安排熟悉数据流转过程，以及

15、承载数据的应用、系统、规划等情况的人员参加访谈。企业相关人员演示，评估人员查看承载数据的应用、系统；以评估数据安全保障措施是否有效；企业需要安排相关人员进行现场演示，评估人员根据系统演示情况进行查验。主要通过文档查验、人员访谈、系统演示等方式对被评估对象的实际建设情况进行评估。DSG评估实施手段文档查验DSG评估证书及Logo示例DSG评估进展 数据安全治理能力评估（以下简称“DSG评估”）正在持续开展中，2021年共完成3批次33家企业DSG评估工作，参评单位行业涉及电信运营商、互联网、金融、医疗、物联网等。第4批参评企业11家序号参与评估企业能力等级1联通数字科技有限公司（原联通大数据有限

16、公司）优秀级2蚂蚁科技集团股份有限公司优秀级3度小满科技（北京）有限公司优秀级4北京百度网讯科技有限公司优秀级5中国电信股份有限公司云计算分公司优秀级6深圳市和讯华谷信息技术有限公司基础级7联通（广东）产业互联网有限公司优秀级8天道金科股份有限公司优秀级9兴业证券股份有限公司试点10北京爱奇艺科技有限公司试点11北京智者天下科技有限公司（知乎）试点12贵州白山云科技股份有限公司试点序号参与评估企业能力等级13中国建设银行股份有限公司在线评估14中国邮政储蓄银行股份有限公司在线评估15中原银行股份有限公司在线评估16桂林银行股份有限公司在线评估17河北幸福消费金融股份有限公司在线评估18百行征信

17、有限公司在线评估19瓶安用气（杭州）物联网科技有限公司在线评估20杭州宇链科技有限公司在线评估21北京华品博睿网络技术有限公司在线评估22贝壳找房(北京)科技有限公司在线评估23小米通讯技术有限公司在线评估序号参与评估企业能力等级24网易（杭州）网络有限公司在线评估25天翼电子商务有限公司在线评估26天翼数字生活科技有限责任公司在线评估27东方证券股份有限公司在线评估28中移信息技术有限公司在线评估29上海瑞家信息技术有限公司（安居客）在线评估30OPPO广东移动通信有限公司在线评估31云南白药集团股份有限公司在线评估32广东美的制冷设备有限公司在线评估33广州小鹏汽车科技有限公司在线评估法律

18、法规企业落地实践主管部门监管要求？数据安全相关监管应对？数据安全审查制度如何推行？怎样合规？数据分类分级怎么做？数据安全应急处置如何达标？数据安全制度体系如何建？数据安全风险评估怎么开展？数据安全风险监测如何推进？数据安全治理能力如何建设、提升、评估？数据安全技术怎样提升？数据安全整体解决方案如何实现？监管实施 数据安全法的发布实施，为行业主管部门的监管要求提供了法条依据及监管方向，企业侧也将在监管应对上面临新的巨大挑战。数据安全落地面临诸多挑战 数据安全推进计划（Data Security Initiatives，DSI）由中国信息通信研究院发起，致力于推动法律法规及监管要求的贯彻落实，促进

19、数据安全技术交流，推广数据安全最佳实践，提升数据安全治理水平。DSI将依托大数据协同安全技术国家工程实验室、中国通信标准化协会大数据技术标准推进委员会、中国互联网协会数据治理工作委员会开展具体工作，携手共建数据安全生态。建设数据安全标准体系数据安全治理能力评估数据安全风险评估数据安全技术标准数据安全服务标准数据安全人才培养搭建交流平台提供咨询与评估评测服务培训与人才认证 数据安全治理咨询 数据安全治理能力评估 数据安全风险评估 数据安全产品评测 数据安全服务能力评估数据安全培训体系数据安全公开课数据安全人才认证体系法律法规、监管政策解读数据安全实践交流数据安全优质成果推广数据安全治理大会、论坛

20、开展数据安全研究数据安全治理框架数据安全技术工具行业数据安全治理实践中国信通院发起数据安全推进计划27参与单位名单参与单位名单 DSI自发起以来，共征集了4批参与单位，共收到200余家单位的申请，经过审核，共有200家成为DSI参与单位。电信：互联网：金融：汽车：云公司：安全公司：28通信：隐私计算：律所：其他：软件与大数据企业：参与单位名单（续）参与单位名单（续）制造业：数据安全治理能力评估（DSG评估）数据安全风险评估个人信息保护评估 针对数据应用方，推出企业级DSG评估、系统级数据安全风险评估、个人信息保护评估。评估等级评估等级持续优化级量化评估级全面治理级重点执行级初始级工作介绍-面向

21、数据应用方数据安全服务能力评估数据安全产品评测 针对数据安全技术/服务提供方，推出数据安全产品评测、数据安全服务能力评估。工作介绍-面向数据技术/服务提供方数据分类分级数据脱敏数据审计数据防泄漏数据水印溯源数据安全网关数据安全运营管理平台成果展示3317 DSG评估：3批次33家9 数据安全产品评测：9款 标准制定：9项 数据安全服务能力评估：已报名17项5 数据安全公开课系列活动：5场92 2021数据安全行业调研报告 2021数据安全治理能力评估观察 DSI在标准研制、报告产出、培训研讨、评估评测方面取得丰硕成果。成果展示下一步工作计划开展数据安全领域技术、应用、产业相关研究，撰写相关标准、研究报告、白皮书。深入行业开展数据安全治理研究，促进行业数据安全能力提升。发掘数据安全治理优秀案例，促进行业应用推广。促进人才培养及行业交流，定期举办公开课、培训会等活动。成立专家组，推动数据安全难点、重点问题研究。【成立数安智库】【DSI 金融组筹备已完成，DSI汽车组等其他行业组正在筹备中】