《国家数据基础设施建设指引》中的数据安全

2024年12月31日，国家发展改革委、国家数据局、工业和信息化部联合印发《国家数据基础设施建设指引》（以下简称《指引》），响应二十届三中全会关于建设和运营国家数据基础设施，促进数据共享的部署要求。

内容解读

落实建议

《指引》指出，企业数据基础设施是国家数据基础设施的重要组成部分。作为数据基础设施的载体，企业应重视数据安全工作：

第一，企业需建立健全数据安全治理体系，构建多层次、全方位、立体化的数据安全防护框架；

• 中国信息通信研究院云大所数据安全团队（简称：云大所数据安全团队）深入研究数据安全治理体系方法论，发布行标《数据安全治理能力通用评估方法》（YD/T 4558-2023），编制《数据安全治理能力实践指南》系列报告。同时，依据标准开展数据安全治理能力评估服务（简称：DSG评估）和数据安全能力成熟度评估服务（简称：DSMM评估），帮助企业以评促建，完善企业数据安全治理体系建设。

第二，企业应深入开展数据分类分级工作，加强数据分类管理和分级保护，为数据流通奠定良好基础；

• 在分类分级方面，云大所数据安全团队编写标准《企业数据分类分级成熟度评价模型》、《企业数据分类分级解决方案能力要求》，产出研究报告《汽车数据安全若干问题合规实践指南（2022年）》，在《数据安全治理实践指南（4.0）》中提出数据分类分级实践思路，为企业开展数据分类分级工作提供参考。同时，依据标准开展企业数据分类分级成熟度评价和企业数据分类分级解决方案能力评估工作。

第三，企业应建立数据安全风险管控机制，提升对数据安全风险的动态发现、实时告警、全面分析、协同处置、跨域追溯和态势掌控能力，加强对数据安全风险的应急响应能力；

• 在数据安全风险应对方面，云大所数据安全团队编写标准《电信互联网数据风险治理成熟度评估模型》，产出报告《数据安全风险评估实务：问题剖析与解决思路》，同时依据标准开展数据安全风险评估和数据安全风险治理成熟度评估工作。

第四，企业应加强合作方数据安全管理，提升对合作伙伴、运维人员等数据安全内部风险的防范应对能力；

• 在合作方数据安全管理方面，云大所数据安全团队编写标准《合作方数据保护能力评估要求》，填补国内在此领域的空白，并基于此标准开展合作方数据保护能力评估服务。

第五，企业应提升数据安全运营能力，确保数据安全治理体系稳定、有效运转，并能将管理数据反哺治理体系，不断提升企业的数据安全保护能力；

• 在数据安全运营方面，云大所数据安全团队在《数据安全治理实践指南（4.0）》中给出数据安全运营持续加强的实践路线，指导企业提升数据安全运营能力。同时，团队会在今年启动智能化数据安全运营研究工作，将牵头开展相关标准研制。

第六，企业应强化数据安全研究工作，积极参与数据安全标准、报告编写，善于利用新兴技术提升数据安全技术能力，提前布局大模型数据安全工作等。

• 在数据安全研究方面，云大所数据安全团队持续输出数据安全政策解读，深耕数据安全行业产出研究报告，联合供需双侧企业制定数据安全标准，目前共产出研究报告16份：《数据安全治理实践指南》系列、《数据安全行业调研报告》系列、《数据安全产品与服务》系列、《银行保险机构数据安全实践指南（2024）》、《数据安全风险评估实务：问题剖析与解决思路》等。共编写数据安全相关标准15个：《电信互联网数据风险治理成熟度评估模型》、《合作方数据保护能力评估要求》、《企业数据分类分级解决方案能力要求》等。同时，积极布局大模型数据安全，在2024年编写标准《大模型数据安全风险评估规范》并基于此推出配套的评估服务。

同时，数据安全供应侧应加强数据安全技术创新探索，提高数据安全服务能力，为数据基础设置安全防护提供支撑。

声明：本文来自数据安全推进计划，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。