盛世集团

历时四年
，聚合行业安全专家智慧
，凝炼行业安全最佳实践
，数字时代：基于行业最佳实践的《主责数据；び肓鞫踩喙芸蚣堋罚ㄒ韵录虺啤翱蚣堋保┯2023年6月17日第三届数字安全大会上正式发布
。

该框架是在中国信息协会信息安全专业委员会指导下
，由PCSA安全研究院、联盟成员
，联合行业用户和产业各方
，深刻总结提炼十三五期间和十四五众多行业数据安全治理、规划、建设、运营的落地实践
，共同提出一个基于行业最佳实践的《主责数据；び肓鞫踩喙芸蚣堋
。

盛世集团科技
，作为数据安全专业企业
，基于多年数据安全防的研究经验
，持续贡献自身力量
，旗下安全研究院以“产业研究力量”深入参与此次框架研究
。

PCSA安全能力者联盟（隶属：中国信息协会信息安全专业委员会）是在公安部等保中心和国家信息中心指导下
，于2016年10月成立
，联盟秉承聚合中国关键安全能力、赋能数字智能时代的理念
，致力于云安全（包括平台、租户、数据、安全管理、移动安全等）关键技术及标准的研究、应用和推广
，目前已完成面向云安全、数据安全、安全管理和运营的平台解决方案
。

数据所有者：掌握数据所有权的数据产权所有方；

数据使用者：对数据拥有使用和交换需求的数据需求方；

数据提供者：对数据进行获取、处理与提供的数据提供方；

数据运营者：对数据运营过程的计划、组织、实施和控制
，是与数据生产和服务创造密切相关的各项管理工作的承担方；

数据安全监管者：在数据不同价值阶段
，制定数据流动安全策略.对不同数据角色的操作等进行检查审核
。

这些数据角色的充分定义和明晰是保障数据内部流动跨部门、跨应用、跨层级
，外部流通跨行业、跨监管单位或跨境等机制制定的基础
。

3、《框架》的核心思想：“1-3-6-N”架构

数字时代：基于行业最佳实践的《主责数据；び肓鞫踩喙芸蚣堋返暮诵乃枷肟勺芙嵛1-3-6-N”架构
。

“1”个主要场景

即主责数据；び肓鞫踩喙艹【
。要求责任主体
，明红线、守底线
，做到事前、事中和事后监管
。

“3”个方面

即数据治理、数据安全治理、安全治理
。以数据安全治理为主体
，协同好数据治理和安全治理
，明晰边界与责权
。

“6”个层次

即治理层、监管层、管理层、运营层、技术层和数据层
。统筹六个层次目标的关键场景和关键任务
，共同构建数据安全治理体系
。

“N”个关联角色

即数据安全治理过程中涉及的多个角色
。包括：数据所有者、数据监管者、数据提供者、数据使用者、数据运营者、安全审计员、安全管理员、系统管理员等
。

4、《框架》“1-3-6-N”架构解析

1）“1”个主场景：主责数据；び肓鞫踩喙艹【

主责数据；び肓鞫踩喙苤鞒【白酆峡悸鞘葜卫怼踩卫砗褪莅踩卫淼哪勘昵鸷椭霸鸨呓
，聚焦数据安全治理领域
，清晰定义数据安全相关角色和流动场景
，重点解决静态数据；ぁ⒍萘鞫喙艿奈侍
，做到明红线、守底线
，实现事前、事中、事后监管
。

• 主体责任明红线、守底线

数据安全法、数据二十条都明确数字化组织在数据处理过程中对数据安全负有主体责任
，需要在明确红线、守住安全底线的前提下
，进行数据开发利用、开放共享
。

• 事前事中事后监管

做好数据流动事前督导、事中监管、事后审计
，帮助数字化组织确认清楚在组织和组织内部数据流动过程中的主体责任
，解决数据治理、安全治理的责权不清、动态监管等影响数据合法有序使用的关键问题
。

2）“3”个方面：数据治理、数据安全治理、安全治理

数据治理、安全治理和数据安全治理三个方面目标不同、边界权责交叉
，本框架主要聚焦数据安全治理
，需要协同好数据治理和安全治理
，明晰边界与责权
。

• 数据治理

参考数据治理自身特点以及国内最新发布的数据二十条相关内容
，发现
，数据治理需要围绕数源可信、权属清晰、激活数据的目标
，开展数据治理基础建设、数据治理能力建设、数据治理运营建设以及数据价值赋能
。

由于数据治理不是本次讨论的重点
，有关该部分的详细内容可查阅国际、国内相关数据管理、数据治理的流程、过程、标准和内容
。

• 安全治理

安全治理围绕合规闭环、实战验证、风险可控的目标
，开展合规基础；そㄉ琛⑹嫡角炕；そㄉ琛⒅富有；そㄉ
，构建网络安全管理体系、安全技术体系、安全运营体系
，实现看管监控一体化、平战结合一体化
。

该部分内容主要来源于PCSA安全能力者联盟2022年发布的《基于行业最佳实践的安全；た蚣堋
，更为详细的解读可查阅2022年研究成果《基于行业最佳实践的安全；た蚣堋
。

• 数据安全治理

数据安全治理围绕主责明确、流动监管、共享共用的目标
，协同数据治理和安全治理
，在做好数源可信、权属清晰、激活数据、合规闭环、实战验证、风险可控的前提下
，聚焦主责数据；ず土鞫踩喙苤鞒【
，充分定义数据安全相关角色和流动场景
，通过自上而下的从数据安全治理层、数据安全监管层、数据安全管理层、数据安全运营层、数据安全技术层、数据层等六个层次
，逐层压实数字化组织在数据共享共用过程中的主体安全责任
，提升数据的可用、可信、可流通、可追溯水平
，加强内部安全自律意识
，帮助数字化组织走好数据安全的“最后一公里”
。

• 三者关系分析

数据治理和安全治理中都有数据安全的部分
，伴随着数据由资源向资产的演进
，一方面数据治理要求实现数据的开放共享使用
，另一方面安全治理又要求严格管控守好安全底线
，那么如何在安全管控的情况下做到数据共享利用、用数不违法的平衡
，这就需要数据安全治理来协同好数据治理和安全治理
，明晰边界与责权
。

数据治理将持续为数据安全治理提供可信的数据底账、动态完整的分类分级结果
，以支撑数据安全治理工作的开展；而安全治理将根据不同数据等级为数据安全治理提供完整、持续的数据安全基线
。同时
，在运营层面
，数据安全治理的运营还需要协同数据治理运营和安全治理运营
，共同实现看管监控一体化的运营目标
，持续双向反馈各自运营成果
。至此
，数据安全治理才从真正意义上打通了数据治理、安全治理各自的鸿沟
，在数字化组织全局视角上达成拉齐数据风险管控和价值激活的双重目的
。

3）“6”个层次

聚焦在数据安全治理领域
，研究现有落地实践
，将数据安全治理划分为数据安全治理层、数据安全监管层、数据安全管理层、数据安全运营层、数据安全技术层和数据层
，不同层次的数据安全场景和重点任务存在差异
，其关注点也存在区别
。

• 数据安全治理层

数据安全治理层从内部刚需和外部监管出发
，围绕数据资源、数据资产、数据流通和数据交易的不同阶段
，根据本行业、本组织特点开展战略制定、现状评估、蓝图规划和实施路径规划等工作
，主要解决数据治理和安全治理目标不统一的共性问题
，与数据治理和安全治理的目标达成统一
。

战略制定：根据数字化组织发展所处的不同阶段、不同需求
，制定数据安全总体战略、数据安全总体目标和数据安全总体策略
。

现状评估：根据数字化组织发展所处的不同阶段、不同需求
，开展数据现状评估、安全现状评估、数据安全能力现状评估
，为数据安全治理体系的规划设计提供基础数据支撑
。

蓝图规划：根据现状评估的结果
，开展差距分析、需求分析及规划设计工作
，明确规划目标
，并提供充足的保障机制
。

实施路径：依托蓝图规划
，制定详细的实施演进路线
，进一步明确行动计划和关键任务
。

• 数据安全监管层

数据安全监管层主要解决事前督导、事中监管、事后审计的监督落实问题
，实现全程可视、状态可察、权限可审、流动追溯、权益清晰、监审一体的目标
。

事前督导：对数据底账梳理、数据分级分类、数据权属定义、数据授权规则制定、数据角色定义、数据安全基线制定、数据交易、数据出境专项等工作
，进行事前监督、指导
。

事中监管：对数据底账状态、数据归类定级、数据权属主体、数据操作行为、数据角色授权、数据流动全程、数据交易专项、数据出境专项等工作
，进行事中监督、管理
。

事后审计：对数据底账变更、数据分级分类、数据权属变更、数据违规操作、数据授权变更、数据流动追溯、数据交易专项、数据出境专项等工作
，进行事后审计
。

• 数据安全管理层

数据安全管理层主要围绕数据安全战略、数据安全目标和数据安全策略
，通过机制定义、组织定义、职责定义等方面为数据安全治理提供充足的机制保障
。

定义机制：围绕数据安全治理层定义的数据安全治理目标
，做好管理定义
，建立数据安全管理机制
，包括管理办法、规范细则、流程表单以及可考核的关键性指标
。

定义组织：配套数据安全管理机制
，建立数据安全管理组织架构
，明确岗位设置、角色定义和人员配备
。

定义职责：基于数据安全管理机制、数据安全管理组织架构
，清晰定义责任边界、权利义务、激励机制
。

• 数据安全运营层

数据安全运营层通过数据安全监测、分层响应、协同研判、联合处置等关键任务的开展
，解决多方协同的问题
，实现数据安全运营的看管监控一体化
。其与网络安全运营同样遵循“检测-响应-预测-防御”的Gartner自适应安全架构
，区别在于数据安全运营是在网络安全运营的基础上
，针对主责数据本身
，实现细粒度、针对性的安全运营
。

数据安全监测：聚焦数据本身
，通过与数据防泄露、数据访问控制、安全登录、数据操作、数据流动、API接口等能力的对接
，实现细化到数据库、表、字段的专而深的细粒度安全监测
。

分层响应：针对数据安全事件
，建立分层响应机制
，落实数据管理员、系统管理员、安全管理员、IT基础设施管理员等不同角色之间的分层响应
。

协同研判：协同业务部门、数据部门和安全部门等多方人员综合分析研判数据安全事件
，深度分析数据服务停止、数据篡改
，误操作/恶意行为、数据泄露、越权访问、数据勒索、数据违规外发等的根本原因
，做好数据风险预测、研判、分析、预警和通报
。

联合处置：基于协同研判分析的结果
，联合业务部门、数据部门、安全部门等开展安全策略核查、数据违规阻断、恢复服务/系统/数据、冗余备份安全加固、最小授权等联合处置工作
，应对暴露面收敛、攻击发现与阻断、日常攻防演练、威胁情报处置等安全应用场景
。

• 数据安全技术层

数据安全技术层主要建立数据安全工具能力资源池
，为数据监管和运营提供可扩展的能力使用及调用
。

数据全生命周期的基础合规：在满足个人信息；ぁ⒌燃侗；ぁ⒐鼗；ぁ⑹莅踩ā⒚苈氡；ぁ级；ぁ⑸堂鼙；ぁ⑿幸倒娣兜确煞ü妗⒈曜脊娣兜幕∩
，做到从数据采集、数据传输、数据存储、数据处理、数据加工、数据共享、数据交换、数据交易、数据销毁的全生命周期合规
。

数据安全工具能力资源池：围绕数据全生命周期建立分类分级、数据标签、密级标识、隔离交换、加密传输、策略矩阵、存储加密、访问控制、隐私；ぁ⑹菔谌ā⑹萃衙簟⒘阈湃巍⑿形谌ā⒉僮魃蠹啤⒋蚩躺蠹啤⑹菟　⑹莘佬孤⒔橹使芸亍⒈阜莼指础⑹萸宄⑹Ｓ嘈畔⒈；さ仁莅踩芰ψ试闯
。

• 数据层

数据层通过对各类数据的标识证明
，使数据成为独立管理对象
，其属性可支撑数据共享、交换及交易流通等场景
。

经过多年的信息化、数字化建设
，已经积累了大量的数据
。从技术上来看
，可以分为结构化数据、半结构化数据、非结构化数据；从敏感程度上来看
，可以分为SM数据、商密数据、个人隐私数据等；从责任归属上来看
，可以分为个人数据、企业数据、公共数据等
。

标识证明通过数源标识、数据标识、权益标识
，标记数据全生命周期各过程
，形成数据资源目录
，使数据所有者明晰其主责数据
，同时通过对具体的数据实体登记形成产权证明、权益证明和交易证明
，形成实体数据底账
，使数据相关方明确各自的数据权益
，最终数据资源目录和实体数据底账通过流通标识比对
，实现对数据共享、交换及交易流通等场景应用支撑
。

4）“N”个关联角色

是指参与到数据安全治理全过程的各个组织定义的角色
。包括：数据所有者、数据监管者、数据提供者、数据使用者、数据运营者、安全审计员、安全管理员、系统管理员等
。

数据所有者：即数据产权所有方；

数据使用者：即数据需求方；

数据提供者：即对数据进行获取与处理数据供给方；

数据运营者：即对数据运营过程的计划、组织、实施和控制各项管理工作的承担方；

数据监管者：即在数据不同价值阶段
，制定数据流动安全策略
，对不同数据角色的操作等进行稽核审查方；

系统管理员：即系统的所有者
，负责系统的管理和授权；

安全管理员：即网络安全管理者；

安全审计员：即网络安全和数据安全的审计者
。

其他角色：即涉及到数据及网络安全支撑的相关人员
，如基础设施保障人员等
。