2023年1月5日，在第二屆數(shù)據(jù)安全治理峰會上，《數(shù)據(jù)安全風險治理成熟度評價模型》標準正式發(fā)布，由中國信息通信研究院云計算與大數(shù)據(jù)研究所大數(shù)據(jù)與區(qū)塊鏈部高級業(yè)務(wù)主管龔詩然進行介紹。

《數(shù)據(jù)安全風險治理成熟度評價模型》標準立足于數(shù)據(jù)安全風險層出不窮、危害嚴重的現(xiàn)狀，歷經(jīng)4個月的理論研究與多輪專家研討論證，于2022年9月由中國信通院牽頭中國電信、聯(lián)通數(shù)科、百度、安恒、綠盟等十余家單位專家共同編制，現(xiàn)已進入評估單位征集階段。

數(shù)據(jù)安全已成為國家安全戰(zhàn)略、數(shù)字經(jīng)濟發(fā)展的重要議題?！笆濉币詠恚瑖页掷m(xù)強調(diào)數(shù)據(jù)安全保護與數(shù)據(jù)流動安全，強化數(shù)據(jù)全生命周期安全保護與立法，為數(shù)據(jù)成為新型生產(chǎn)要素奠定堅實基礎(chǔ)，至此數(shù)據(jù)安全成為我國數(shù)字化進程重要一環(huán)。然而，企業(yè)數(shù)字化轉(zhuǎn)型大潮來臨，數(shù)據(jù)泄露、破壞與濫用事件高頻發(fā)生，已嚴重威脅國家、社會公眾安全，數(shù)據(jù)安全風險防范刻不容緩：一是數(shù)據(jù)泄露事件持續(xù)增長，全球數(shù)據(jù)泄露記錄近千億條；二是數(shù)據(jù)破壞嚴重影響社會生產(chǎn)，企業(yè)數(shù)據(jù)遭到破壞、勒索的事件同樣屢屢發(fā)生；三是數(shù)據(jù)濫用嚴重威脅個人權(quán)益，“大數(shù)據(jù)殺熟”、“竊聽式營銷”等亂象頻發(fā)，以違約、違規(guī)收集使用數(shù)據(jù)、權(quán)限為主的數(shù)據(jù)濫用行為亟需整治。以上問題均表明數(shù)據(jù)安全風險亟需體系化治理，數(shù)據(jù)安全風險治理將成為業(yè)內(nèi)又一重要議題。

數(shù)據(jù)安全風險治理一方面是企業(yè)數(shù)據(jù)安全治理的重要一環(huán)，另一方面數(shù)據(jù)安全風險治理發(fā)現(xiàn)的問題也是企業(yè)數(shù)據(jù)安全治理的持續(xù)性輸入?！稊?shù)據(jù)安全風險治理成熟度評價模型》將企業(yè)的數(shù)據(jù)安全風險治理按照風險治理的階段分為5大能力域：分別是風險準則確立、風險要素識別、風險評估分析、風險處置解決、風險治理改進，并進一步細分成15個能力項。

• “風險準則確立”能力域主要是指企業(yè)通過分析組織數(shù)據(jù)安全風險需求，識別組織的關(guān)鍵業(yè)務(wù)及數(shù)據(jù)處理活動，制定組織的數(shù)據(jù)安全風險治理準則，明確組織的數(shù)據(jù)安全風險治理的業(yè)務(wù)對象和范圍。

• “風險要素識別”能力域主要是指企業(yè)通過圍繞組織的數(shù)據(jù)安全風險準則，開展數(shù)據(jù)安全風險要素識別活動，識別數(shù)據(jù)資產(chǎn)在組織的業(yè)務(wù)運行、數(shù)據(jù)處理活動過程中面臨的威脅、缺陷、漏洞等。

• “風險評估分析”能力域主要是指企業(yè)通過關(guān)聯(lián)已識別的數(shù)據(jù)安全風險要素，對數(shù)據(jù)安全風險進行定性或定量分析，開展數(shù)據(jù)安全風險評估活動，判斷數(shù)據(jù)安全風險發(fā)生的可能性與影響程度。

• “風險處置解決”能力域主要是指企業(yè)通過建立數(shù)據(jù)安全風險處置原則、策略、流程等，實施數(shù)據(jù)安全風險處置策略，并通過監(jiān)控、提升處置策略有效性、提升處置流程效率等方式，降低數(shù)據(jù)安全風險發(fā)生的可能性或損失的影響程度。

• “風險治理改進”能力域主要是指企業(yè)建立數(shù)據(jù)安全風險治理改進機制，通過加強相關(guān)團隊及人員培訓與考核、規(guī)范風險資源規(guī)劃與項目管理等方式，提升組織的數(shù)據(jù)安全風險治理技能，防范數(shù)據(jù)安全風險治理過程中出現(xiàn)的嚴重偏差，持續(xù)優(yōu)化組織的數(shù)據(jù)安全風險治理能力。

評價模型的等級設(shè)置依據(jù)組織數(shù)據(jù)安全風險治理的覆蓋范圍、支撐力度進行劃分。

第一級“初始級”指組織的數(shù)據(jù)安全風險治理主要依靠突發(fā)事件或臨時需求驅(qū)動，具有明顯的滯后性缺乏數(shù)據(jù)安全風險治理的目標、規(guī)劃、依據(jù)、資源保障。

第二級“基礎(chǔ)級”指組織的數(shù)據(jù)安全風險治理主要體現(xiàn)在個別業(yè)務(wù)活動或項目活動中，能主動識別法律法規(guī)與外部監(jiān)管要求，使個別業(yè)務(wù)活動或項目活動中可以滿足組織的數(shù)據(jù)安全保護與合規(guī)需求。

第三級“已定義級”指組織的數(shù)據(jù)安全風險治理主要體現(xiàn)在組織整體層面，考慮了法律法規(guī)和外部監(jiān)管要求下，兼顧了組織內(nèi)部發(fā)展需求，建立了覆蓋數(shù)據(jù)安全風險識別、評估、處置、監(jiān)控等標準化管理機制、技術(shù)和運營體系，能夠保障組織數(shù)據(jù)安全風險治理工作的有序開展與規(guī)范化落地。

第四級“量化級”指在第三級的基礎(chǔ)上對組織的數(shù)據(jù)安全風險治理效率、效果能量化分析和監(jiān)控。

第五級“卓越級”指組織的數(shù)據(jù)安全風險治理成為行業(yè)標桿并推廣至行業(yè)。