数据安全治理能力评估框架将数据安全治理分为三大层次,即数据安全战略、数据全生命周期安全和基础安全[3]。数据安全战略指组织的数据安全顶层规划,起到为数据安全治理“搭框架”“配人手”的作用;数据全生命周期安全指组织在数据全生命周期的安全管控措施;基础安全指组织在数据基础安全方面的保障能力,起到支撑与保障作用。本文根据2021年参与企业数据安全治理能力评估的33家企业情况,进行企业数据安全治理建设情况的总结与分析,并提供相关建议。1.1 数据安全治理组织架构初具雏形
企业的数据安全治理是企业综合考虑业务当前与未来发展需要,为保障数据安全所开展的一项系统工程。作为这一系统工程的相关方,各部门需要围绕企业的数据安全方针,就如何开展配合与协作、完善制度规范文件、部署安全技术产品、提升人员安全意识与能力。因此,为确保内部对数据安全治理的方针达成共识、合理配置数据安全工作任务与资源,需要建立企业层面的高层级决策、管理机构,使各部门、岗位人员明确其具体职责与分工。此外,该组织应能够对数据安全治理工作进行监督与评价,以保障企业数据安全治理的持续性改进。
根据《大数据白皮书2021》[6],企业的数据安全治理组织架构初具雏形。77.5%的企业已建立有效的数据安全管理机构与运行机制,基本明确了决策者、管理者、执行者的角色与职责。数据安全治理的机构组织形式主要分为数据安全治理委员会与网络与信息安全领导小组。
如图2所示,相较于网络与信息安全领导小组,数据安全治理委员会的组织形式更具先进性:数据安全治理委员会可围绕数据的全生命周期安全,以专项工作组为单位,灵活地响应最新的法律法规、监管要求,协同开展各类专项工作。此外,数据安全治理委员会的成员不局限于安全、运维等部门人员。数据安全治理委员会可根据成员的实体岗位职责,从编制数据安全规范文件、引进数据安全技术产品等方面,建设企业数据安全治理体系。
版权归原作者 艾文-你好 所有, 如有侵权,请联系我们删除。