2023年1月5日，在第二屆數(shù)據(jù)安全治理峰會上，《數(shù)據(jù)安全風(fēng)險(xiǎn)治理成熟度評價(jià)模型》標(biāo)準(zhǔn)正式發(fā)布，由中國信息通信研究院云計(jì)算與大數(shù)據(jù)研究所大數(shù)據(jù)與區(qū)塊鏈部高級業(yè)務(wù)主管龔詩然進(jìn)行介紹。

《數(shù)據(jù)安全風(fēng)險(xiǎn)治理成熟度評價(jià)模型》標(biāo)準(zhǔn)立足于數(shù)據(jù)安全風(fēng)險(xiǎn)層出不窮、危害嚴(yán)重的現(xiàn)狀，歷經(jīng)4個(gè)月的理論研究與多輪專家研討論證，于2022年9月由中國信通院牽頭中國電信、聯(lián)通數(shù)科、百度、安恒、綠盟等十余家單位專家共同編制，現(xiàn)已進(jìn)入評估單位征集階段。

數(shù)據(jù)安全已成為國家安全戰(zhàn)略、數(shù)字經(jīng)濟(jì)發(fā)展的重要議題。“十三五”以來，國家持續(xù)強(qiáng)調(diào)數(shù)據(jù)安全保護(hù)與數(shù)據(jù)流動(dòng)安全，強(qiáng)化數(shù)據(jù)全生命周期安全保護(hù)與立法，為數(shù)據(jù)成為新型生產(chǎn)要素奠定堅(jiān)實(shí)基礎(chǔ)，至此數(shù)據(jù)安全成為我國數(shù)字化進(jìn)程重要一環(huán)。然而，企業(yè)數(shù)字化轉(zhuǎn)型大潮來臨，數(shù)據(jù)泄露、破壞與濫用事件高頻發(fā)生，已嚴(yán)重威脅國家、社會公眾安全，數(shù)據(jù)安全風(fēng)險(xiǎn)防范刻不容緩：一是數(shù)據(jù)泄露事件持續(xù)增長，全球數(shù)據(jù)泄露記錄近千億條；二是數(shù)據(jù)破壞嚴(yán)重影響社會生產(chǎn)，企業(yè)數(shù)據(jù)遭到破壞、勒索的事件同樣屢屢發(fā)生；三是數(shù)據(jù)濫用嚴(yán)重威脅個(gè)人權(quán)益，“大數(shù)據(jù)殺熟”、“竊聽式營銷”等亂象頻發(fā)，以違約、違規(guī)收集使用數(shù)據(jù)、權(quán)限為主的數(shù)據(jù)濫用行為亟需整治。以上問題均表明數(shù)據(jù)安全風(fēng)險(xiǎn)亟需體系化治理，數(shù)據(jù)安全風(fēng)險(xiǎn)治理將成為業(yè)內(nèi)又一重要議題。

數(shù)據(jù)安全風(fēng)險(xiǎn)治理一方面是企業(yè)數(shù)據(jù)安全治理的重要一環(huán)，另一方面數(shù)據(jù)安全風(fēng)險(xiǎn)治理發(fā)現(xiàn)的問題也是企業(yè)數(shù)據(jù)安全治理的持續(xù)性輸入?！稊?shù)據(jù)安全風(fēng)險(xiǎn)治理成熟度評價(jià)模型》將企業(yè)的數(shù)據(jù)安全風(fēng)險(xiǎn)治理按照風(fēng)險(xiǎn)治理的階段分為5大能力域：分別是風(fēng)險(xiǎn)準(zhǔn)則確立、風(fēng)險(xiǎn)要素識別、風(fēng)險(xiǎn)評估分析、風(fēng)險(xiǎn)處置解決、風(fēng)險(xiǎn)治理改進(jìn)，并進(jìn)一步細(xì)分成15個(gè)能力項(xiàng)。

• “風(fēng)險(xiǎn)準(zhǔn)則確立”能力域主要是指企業(yè)通過分析組織數(shù)據(jù)安全風(fēng)險(xiǎn)需求，識別組織的關(guān)鍵業(yè)務(wù)及數(shù)據(jù)處理活動(dòng)，制定組織的數(shù)據(jù)安全風(fēng)險(xiǎn)治理準(zhǔn)則，明確組織的數(shù)據(jù)安全風(fēng)險(xiǎn)治理的業(yè)務(wù)對象和范圍。

• “風(fēng)險(xiǎn)要素識別”能力域主要是指企業(yè)通過圍繞組織的數(shù)據(jù)安全風(fēng)險(xiǎn)準(zhǔn)則，開展數(shù)據(jù)安全風(fēng)險(xiǎn)要素識別活動(dòng)，識別數(shù)據(jù)資產(chǎn)在組織的業(yè)務(wù)運(yùn)行、數(shù)據(jù)處理活動(dòng)過程中面臨的威脅、缺陷、漏洞等。

• “風(fēng)險(xiǎn)評估分析”能力域主要是指企業(yè)通過關(guān)聯(lián)已識別的數(shù)據(jù)安全風(fēng)險(xiǎn)要素，對數(shù)據(jù)安全風(fēng)險(xiǎn)進(jìn)行定性或定量分析，開展數(shù)據(jù)安全風(fēng)險(xiǎn)評估活動(dòng)，判斷數(shù)據(jù)安全風(fēng)險(xiǎn)發(fā)生的可能性與影響程度。

• “風(fēng)險(xiǎn)處置解決”能力域主要是指企業(yè)通過建立數(shù)據(jù)安全風(fēng)險(xiǎn)處置原則、策略、流程等，實(shí)施數(shù)據(jù)安全風(fēng)險(xiǎn)處置策略，并通過監(jiān)控、提升處置策略有效性、提升處置流程效率等方式，降低數(shù)據(jù)安全風(fēng)險(xiǎn)發(fā)生的可能性或損失的影響程度。

• “風(fēng)險(xiǎn)治理改進(jìn)”能力域主要是指企業(yè)建立數(shù)據(jù)安全風(fēng)險(xiǎn)治理改進(jìn)機(jī)制，通過加強(qiáng)相關(guān)團(tuán)隊(duì)及人員培訓(xùn)與考核、規(guī)范風(fēng)險(xiǎn)資源規(guī)劃與項(xiàng)目管理等方式，提升組織的數(shù)據(jù)安全風(fēng)險(xiǎn)治理技能，防范數(shù)據(jù)安全風(fēng)險(xiǎn)治理過程中出現(xiàn)的嚴(yán)重偏差，持續(xù)優(yōu)化組織的數(shù)據(jù)安全風(fēng)險(xiǎn)治理能力。

評價(jià)模型的等級設(shè)置依據(jù)組織數(shù)據(jù)安全風(fēng)險(xiǎn)治理的覆蓋范圍、支撐力度進(jìn)行劃分。

第一級“初始級”指組織的數(shù)據(jù)安全風(fēng)險(xiǎn)治理主要依靠突發(fā)事件或臨時(shí)需求驅(qū)動(dòng)，具有明顯的滯后性缺乏數(shù)據(jù)安全風(fēng)險(xiǎn)治理的目標(biāo)、規(guī)劃、依據(jù)、資源保障。

第二級“基礎(chǔ)級”指組織的數(shù)據(jù)安全風(fēng)險(xiǎn)治理主要體現(xiàn)在個(gè)別業(yè)務(wù)活動(dòng)或項(xiàng)目活動(dòng)中，能主動(dòng)識別法律法規(guī)與外部監(jiān)管要求，使個(gè)別業(yè)務(wù)活動(dòng)或項(xiàng)目活動(dòng)中可以滿足組織的數(shù)據(jù)安全保護(hù)與合規(guī)需求。

第三級“已定義級”指組織的數(shù)據(jù)安全風(fēng)險(xiǎn)治理主要體現(xiàn)在組織整體層面，考慮了法律法規(guī)和外部監(jiān)管要求下，兼顧了組織內(nèi)部發(fā)展需求，建立了覆蓋數(shù)據(jù)安全風(fēng)險(xiǎn)識別、評估、處置、監(jiān)控等標(biāo)準(zhǔn)化管理機(jī)制、技術(shù)和運(yùn)營體系，能夠保障組織數(shù)據(jù)安全風(fēng)險(xiǎn)治理工作的有序開展與規(guī)范化落地。

第四級“量化級”指在第三級的基礎(chǔ)上對組織的數(shù)據(jù)安全風(fēng)險(xiǎn)治理效率、效果能量化分析和監(jiān)控。

第五級“卓越級”指組織的數(shù)據(jù)安全風(fēng)險(xiǎn)治理成為行業(yè)標(biāo)桿并推廣至行業(yè)。