数据安全治理白皮书

数据安全治理白皮书

目录

前言 (1)

一、概述 (3)

1.1数据治理概念 (3)

1.2数据安全治理 (3)

1.3XX数据安全治理 (4)

二、全球数据安全标准化情况 (5)

2.1数据安全标准化总体情况 (5)

2.2国内数据安全标准化概述 (5)

2.3国际数据安全标准化概述 (7)

三、XX数据安全治理组织框架 (10)

3.1数据安全治理组织框架概述 (10)

3.2数据安全治理需求 (11)

3.3数据安全组织机构 (14)

3.4数据安全治理规划 (15)

3.5数据安全治理工具 (19)

四、XX数据安全治理建设流程 (22)

4.1数据安全治理建设流程概述 (22)

4.2价值数据分析 (23)

4.3数据分类分级 (24)

4.4数据发现分布 (24)

4.5数据安全风险评估 (25)

4.6数据安全策略 (25)

4.7数据安全防护 (26)

4.8数据安全运维 (26)

五、XX数据安全治理建议 (27)

5.1数据安全分类分级为起点 (28)

5.2数据生命周期安全为主线 (28)

5.3合规性评估数据安全为支撑 (29)

5.4数据场景安全治理应用 (30)

六、XX数据安全技术框架 (31)

七、结束语 (32)

前言

随着信息化技术的快速发展，互联网应用增长迅猛，与之相伴的信息安全风险飚升，特别是“棱镜门”事件，引起全球大部分国家对信息泄漏的关注，进而激发对信息安全风险的进一步重视；无论是欧盟、美国，还是日本、俄罗斯、韩国等许多国家都从国家安全、社会稳定、企业和个人信息安全层面出台相应的法律、法规和管理要求，加强对信息安全，特别是数据安全的风险防范，如：欧盟的GDPR 和《Regulation “on a framework for the free flow of non-personal data in the European Union（非个人数据在欧盟境内自由流动框架条例）》。

我国在大数据、云计算、AI、IoT、5G 等新技术带动下的数字经济发展过程中，数据已经成为国家和企业的重要资产和战略资源，多来源多类型的数据集中整合与综合应用带来了爆发式增长，与此相伴的是数据过度采集和使用、数据泄漏等安全风险日益凸显；在严峻的国际信息安全和国内泄漏风险两方面同样面临明显挑战，无论从国家层面，还是行业监管层面都陆续出台法律、法规和管理要求，进一步引导和加强信息安全，特别是数据安全的风险防范。

本白皮书旨在系统性描述数据安全治理的通用性方法论，为业界提供数据安全治理需要考虑哪些方面、涉及哪些主要事项、工作开展逻辑和流程、XX信息在数据安全治理方面能够提供哪些服务等，寄希在数据安全治理落地时提供方法论指导；白皮书共分七个部分：第一部分是概述，主要对数据治理和数据安全治理间的关系进行阐述；第二部分是全球数据安全标准化情况，分别阐述国内和国外在数据安全方面的标准化情况，为阅读者提供对比和深入阅读的线索；第三部分是XX数据安全治理框架，分别从治理策略、组织机构、治理流程和治理工具四个方面对框架进行阐述；第四部分是XX数据安全治理建设，是在治理框架下具体说明数据安全治理的建设内容和步骤；第五部分是XX数据安全治理建议，是从XX实践的角度提出数据安全治理如何开展的建议；第六部分是XX数据安全技术防护体系，给出XX在数据安全方面能够提供什么样的服务和技术防护措施；第七部分是结束语。

浙江XX信息安全技术股份有限公司（简称“XX信息”），成立于2007 年，是国家规划布局内的重点软件企业，是新一代数据安全治理解决方案及服务提供商。总部位于杭州和北京，在上海、广州、深圳、南京、成都、济南等十多个区域设有分支机构，保障全国6 小时响应支撑服务。

历经十多年的攻克研究与创新，XX信息以人工智能（AI）、先进密码算法和大数据技术

为核心，率先在国内发布“Vamtoo-DSGF 数据安全治理框架体系”，围绕个人信息隐私保护、云办公趋势下的数据安全、新型DLP 及数据安全治理，从终端、网络、数据库、云实现了数据

发现（分类分级）、数据防泄漏、数据安全审计和态势感知，并支持国产操作系统。已为政府、金融、运营商、能源、军工、央企等多领域客户提供数据安全服务，并助力国家

“一带一路”数据跨境安全保护建设。

XX信息积极参与中央网信办、国家互联网应急中心（CERT）、全国信息安全标准化委员

会等监管单位的数据安全标准、管理办法与测评认证建设。已参与完成多项国家数据安全标准

建设，数十项国家重大数据安全课题研究，获得100 多项国家专利和软件著作权。已连续两

届成功举办国内规模最大的“数据安全峰会”，发表数据安全宣言、发布首个中国数据安全险，连续多年被行业权威机构评为全国网络安全企业50 强，多次获得中国信息安全领军企业等多

项荣誉，得到行业和客户的广泛认可；现担任“中国网络空间安全协会会员”“中国保密协会理事”“中国保密协会商业秘密保护专业委员会副主任”“中国计算机学会安全专业委员会常务委员”“浙江省网络空间安全协会常务理事”等社会职务。

新时代、新XX，XX信息全面迈入战略2.0 时代，以“护航数字中国助力数字经济” 为使命，坚持以客户为中心、开放创新、协作共赢；以奋斗者为本、勇于挑战、共享成就的理念，

成为全球领先的数据安全企业。为建设网络强国，为国家和民族的网信事业发展，提供XX方案、

贡献XX力量。

参编主要人员：任柯，吴进波，叶俊卫，于佳辉，张鹤林

一、概述

1.1 数据治理概念

信息技术、人工智能、大数据以及5G 技术的发展，数据的重要性越来越得到业界广泛

认可和重视。随着数字化转型的深入发展，业务细分和数据粒度细化日益明显。随之而来的是

业务系统逐渐增加，不同业务系统产生的数据也与日俱增，数据重复、数据冗余、数据孤岛等现

象开始显现，这不仅消耗大量的IT 资源，而且影响节能环保，更不利于数据的高效合理使

用和挖掘数据的价值。为满足所面临的实际需求，数据中心等专职从事数据相关工作的部门

在不同属性的单位中相应而生，IDC 租用、数据仓库、大数据平台、数据湖等与数据高效处

理和价值挖掘相关的规划建设逐步普遍。

随着对数据的处理和数据价值的需求增加，需要先做好数据治理，才有可能更好地高效处理数据、充分挖掘数据价值、保护数据安全等；对于什么是数据治理，ISO/SC40、DAMA、

DGI、Gartner、IBM，以及国内的ITSS、GB/T 25295-2017 和金融等各行业相应机构分别给出

侧重性定义和说明；经过这些年的理论和实践的互相促进，业界逐步对什么是数据治理形成比

较一致的共识。

XX信息认为数据治理是数据高效安全利用持续改进的一套管理机制和技术辅助工具有机结合的体系，其中包含数据管理的组织架构、数据管理模型、政策和体系，涉及数据标准要求、数据质量要求、数据影响度分析、工作流程、监督考核和辅助的技术工具等一系列体系性内容；数据治理涉及的技术主题包括元数据的定义和管理、数据质量的标准和检验、数据集成约定、主数据定义与管理、数据资产的明确与管理、数据交换范围和规则、数据生命周期和数据安全的

关联性配套等多种技术和产品组成的体系化技术措施。

通过数据治理，能够规范化业务系统中的数据，有利于充分利用和挖掘数据的价值，进一

步促进业务的发展和精细化管理，实现和保障数字化转型，体现经济价值和社会价值。

1.2 数据安全治理

严格来说，数据治理包含数据安全治理，数据安全属于数据治理的一项重要内容，数据

安全治理是数据治理的一个过程；随着全球数字化迅速发展，以及国内外信息安全事件频发和数据泄漏事件的影响，数据安全的重要性逐渐被认识和接受，数据安全治理得到进一步的认可和重视，进而出现重点开展数据安全治理的业务形态；如果说数据治理是为了更好地发挥数据的“价值”，那么数据安全治理是为更好发挥数据价值提供“保密、完整、可用”的保障。

Gartner 认为，数据安全治理不仅仅是一套用工具组合的产品级解决方案，而是从决策层到技术层，从制度到工具支撑，自上而下贯穿整个组织架构的完整链条；组织内的各个层级之间需要对数据安全治理的目标和宗旨取得共识，确定合理和适当的措施，以最有效的方式保护数据资源。

Gartner 关于数据安全治理的描述理论程度较高，概括性较强，XX信息认为，在切实解决需求单位的数据安全治理时，需要考虑客户所关注数据范围，这些数据从产生到销毁过程可能涉及的应用系统场景和节点，每个节点对应用数据的访问角色和权限，以及期间可能产生泄漏风险点等，通过对数据应用的实际情况了解，结合数据生命周期的流动环境和节点，评估数据类型的重要性和节点基本的角色和权限，以及可能的泄漏风险点，分别从组织保障、技术工具、管理制度等方面开展立体化规划与分步骤有侧重实施，按照PDCA 的逻辑实现可持续性动态开展数据安全治理，这样可能更有利于帮助单位实现数据安全。

1.3 XX数据安全治理

数据安全不纯粹是一个技术问题，它是一个集国家政策、法律法规、组织政策和技术要素相结合的系统工程，需要多方协同，将管理和技术充分结合；XX数据安全治理，就是把组织管理和数据安全相关技术进行结合，对数据安全进行系统化建设，确保数据全方位、无死角安全管理，以减轻由数据安全威胁、数据驻留和合规问题引起的业务风险。

传统IT 采购方式都是大包大揽，从硬件，网络到中间件，软件都需要采购或者采购一套解决方案，同时需要招人或外包进行后续的运维，这对于非IT 企业来说投入太大；XX数据安全治理，共包括“四个层面和七个步骤”，是以“业务数据安全和合规数据安全”为目标的数据安全建设体系方法论，以相对独立又有一定逻辑关系的步骤进行划分，可以独立建设，减少投资，又可以从整体上进行系统性综合性治理，做到在安全与效率、投资和收益中保持平衡演进，核心内容如下：

四个层面的数据安全管理组织框架，包括数据安全治理需求，数据安全组织机构，

数据安全治理规划和数据安全治理工具；

七个步骤的数据安全治理建设流程，包括价值数据分析，数据分类分级，数据发现分布，数据安全风险评估，数据安全策略，数据安全防护以及数据安全运维。

四个层面和七个步骤分别在第三章和第四章进行详细介绍。

二、全球数据安全标准化情况

2.1 数据安全标准化总体情况

2013 年“棱镜门”事件，促使世界各国对信息安全的危害更加重视，大部分国家都进一步加强信息安全的要求，进一步保护网络安全，突出数据安全。我国从国家到行业监管部门陆续加快信息安全建设，特别是数据安全的标准化工作，从法律、法规、行业监管、产业等多方面开展信息安全的深化和细化工作。

随着各国对数据安全重要性认识的不断加深，包括美国、英国、澳大利亚、欧盟和我国在内的很多国家和组织都出台了数据安全相关的法律法规和政策来推动数据利用和安全保护，重点强调政府数据开放、数据跨境流通和个人信息保护等方向的安全防护标准化。

2.2 国内数据安全标准化概述

我国在积极推动数字化转型过程中，非常关注数据安全问题，近几年发布了一系列数据产业发展和安全保护相关的法律法规和政策。

2012 年 12 月，针对数据应用过程中的个人信息保护问题，第十一届全国人民代表大会常

务委员会通过了《全国人大常委会关于加强网络信息保护的决定》，该决定要求，国家保护能够

识别公民个人身份和涉及公民个人隐私的电子信息，网络服务提供者和其它企事业单位应当

采取技术措施和其它必要措施，确保信息安全，防止在业务活动中收集的公民个人电子信息泄露、损毁、丢失；在发生或者可能发生信息泄露、损毁、丢失的情况时，应当立即采取补救措施。

2013 年7 月，工业和信息化部公布了《电信和互联网用户个人信息保护规定》，该规定是对全国人大常委会《关于加强网络信息保护的决定》的贯彻落实，进一步明确了电信业务经营者、互联网信息服务提供者收集、使用用户个人信息的规则和信息安全保障措施要求。

2014 年3 月，我国新的《消费者权益保护法》正式实施，该法明确了消费者享有个人信息依

法得到保护的权利，同时要求经营者采取技术措施和其他必要措施，确保个人信息安全，防止

消费者个人信息泄露、丢失。

2015 年 8 月，国务院印发《促进大数据发展行动纲要》（以下简称“行动纲要”），

提出加快建设数据强国和释放数据红利，并加快政府数据开放共享，以提升治理能力。

2016 年 3 月，第十二届全国人大四次会议表决通过了《关于国民经济和社会发展第十三个五年规划纲要》（以下简称“十三五规划纲要”），十三五规划纲要提出实施国家大数据战略，全面实施促进大数据发展行动，同时要强化信息安全保障。

2016 年11 月，全国人民代表大会常务委员会发布了《中华人民共和国网络安全法》（以下简称“网络安全法”），网络安全法定义网络数据为通过网络收集、存储、传输、处理和产生的各种电子数据，并鼓励开发网络数据安全保护和利用技术，促进公共数据资源开放，推动技术创新和经济社会发展。

2016 年 12 月，国家互联网信息办公室发布《国家网络空间安全战略》，提出要实施国家大数据战略，建立大数据安全管理制度，支持大数据、云计算等新一代信息技术创新和应用，为保障国家网络安全夯实产业基础。

2019 年5 月28 日零时，国家互联网信息办公室发布《数据安全管理办法（征求意见稿）》（下称“征求意见稿”），由于数据监管触及多方利益，《征求意见稿》一经发布，立即引起了广泛关注，《数据安全管理办法》可能作为部门规章发布,效力和层级都会更高,能够进一步实现网络安全法保障网络安全,维护网络空间主权和国家安全的宗旨。

2020 年 7 月 3 日，《中华人民共和国数据安全法（草案）》全文在中国人大网公开征求意见。草案内容共 7 章51 条，提出国家将对数据实行分级分类保护、开展数据活动必须履行数据安全保护义务承担社会责任等。

《数据安全法（草案）》将数据定义为任何以电子或者非电子形式对信息的记录；数据安全是指通过采取必要措施，保障数据得到有效保护和合法利用，并持续处于安全状态的能力。国家坚持维护数据安全和促进数据开发利用并重，以数据开发利用和产业发展促进数据安全，以数据安全保障数据开发利用和产业发展。

2.3 国际数据安全标准化概述

（一）政府数据开放相关法规和政策

政府数据开放是指在确保国家安全条件下，政府向公众开放财政、资源、人口等公共数据信息，以增强公众参与社会管理的意愿和能力，进而提升政府治理水平；美国将信息技术、数字战略、信息管理与开放政府治理有机结合，以数据开放作为新时期政府治理改革的突破口。美国为推动政府数据开放，发布的法规政策主要包括：

1）美国于 1966 年通过《信息自由法》，规定民众在获得行政信息方面的权利和行政机关

在向民众提供行政信息方面的义务，该法秉持“以公开为原则、不公开为例外”的原则，规定政府有义务对公众的信息公开请求作出回应；

2）《开放政府指令》是美国政府 2009 年在数据开放方面的最新行动，确立了透明、参

与和协作的开放政府三原则，要求政府通过网站发布数据等方式，使公众了解更多的政府信息，促进公共对话，提升公众对政府的信任感；

3）美国在 2012 年 5 月出台了《数字政府战略》，将政府开放数据作为电子政府发展

的重要支撑，它要求政府数据在默认状态处于“开放和机器可读”，从而使得公众可随时随地

访问高质量的政府数据信息和服务；

欧盟通信委员会在 2010 年11 月向欧洲议会提交了《开放数据:创新、增长和透明治理

的引擎》报告，该报告以开放数据为核心，制定了应对大数据安全挑战的战略；2011 年12

月12 日，欧盟数字议程正式推进数据开放战略，将其作为实现欧盟“2020 目标”的新路径与

新动力。

（二）数据跨境流动相关法规和政策

当前，部分国家和地区在规范跨境转移个人数据的法律法规，以便对跨境数据接收地的法

律环境提出要求，要求接收地法律能够提供与本国、本地个人数据保护法律相当的保护。规范个人数据跨境转移的根本目的，不是禁止个人数据跨境转移，而是要根据实际情况，确保本国、本地区公民数据在境外受到合理保护。总体上，基本立场是鼓励数据跨境自由流动。具体与数据跨境

流动相关的政策及法规包括:

欧盟在 1995 年《数据保护指令》中确立了数据跨境传输的基本原则，对世界其他国家和

地区的信息保护、信息流动产生了深远的影响。2015 年通过的欧盟《通用数据保护条例》（GDPR）提出了更为苛刻的数据保护规定。GDPR 的适用范围相比《数据保护指令》有所扩展，对于那些即使成立地在欧盟以外的机构来说，只要其在提供产品或者服务的过程中涉及欧盟境内个体的个人数据，将同样适用。在跨境数据流动方面，GDPR 增加了新的制度安排，包括认证机制和行为准则等。

澳大利亚《隐私保护原则》第 8 条规定，数据主体获得明确告知后同意的，可以将个人数

据传输至境外数据接收者。告知必须解释跨境传输带来的数据主体应当知道的后果或风险，包括:1)海外接收者可能不承担类似澳大利亚《隐私保护原则》规定的隐私保护义务；2) 数据主体可能无法在海外司法管辖区获得救济；3)海外数据接收者可能会根据法律将个人信息披露给第三方，比如外国政府机构。

巴西司法部于 2015 年公布的《个人数据保护法》（草案）也借鉴了欧盟有关充分性数

据保护的规定，要求跨境数据传输时，数据接收国的个人数据保护必须达到充分性保护的水平。

韩国 2011 年发布的《个人信息保护法》规定，如果个人信息的国际数据传输涉及第三方，那么必须取得用户的明确同意；2012 年发布的《促进信息技术网络利用和信息保护法》要求则

更为明确：如果用户的个人信息被转移到境外实体，在线服务提供商必须告知并获得用户的明

示同意。

日本 2015 年修订的《个人信息保护法》规定，个人信息可以“传输到为日本个人信息保

护委员会（PIPC）所认可的、与日本国内个人信息保护水平相当的国家或地区”。

亚太经合组织（APEC）于 2003 年发布了《APEC 隐私保护框架》，它采取使用企业自律

性隐私政策来保护跨境数据流动中数据（隐私）权利的做法，在《APEC 隐私保护框架》下建

立跨境隐私保护规则体系。

（三）个人数据保护相关法规和政策

1）欧盟《通用数据保护条例》

欧盟颁布的《通用数据保护条例》（GDPR）为一个数据隐私权标准法规，它旨在取代1995 年发布的《数据保护指令》；GDPR 主要为了保护欧盟公民个人数据的隐私权，并对数据

保护规则进行了改革和更新，如 GDPR 引入了新型的数据主体权利，包括“数据可携带权” 和“被遗忘权”，为个人有效行使权利提供了坚实的法律保障；GDPR 要点包括个人拥有管理自己个人数据的权利、数据泄露获得通知的权利以及“被遗忘权”，GDPR 由两部分组成：通用

数据保护条例，这“将让人们更好地控制其个人数据”；数据保护指令，对于警察和刑事司法

领域，这“可确保数据受害人、证人和犯罪嫌疑人在刑事调查或执法行动中受到应有的保护”；

这些明确的法规特别适合数字时代，能提供强有力的保护，同时在欧洲数字单一市场创造机会和

鼓励创新，将让公民和企业都受益。

2）美国健康保险携带和责任法案

1996 年，美国总统签署适用于提供健康保健的医疗组织和其它符合健康计划组织的健康

保险携带和责任法案（HIPAA），HIPAA 目标是确保健康信息的安全性和隐私性，其主要内容

包括隐私条例和安全条例，隐私条例保护所有由适用实体保存的可识别个体的受保护健康信息（PHI）；根据美国卫生和福利部的规定，PHI 包括以下数据信息：与个人以往、目前或将

来的身体（或精神）健康或状况有关的数据；个人接受健康保健服务的相关数据；个人以往、目前或将来接受健康保健服务的费用支付相关的数据。

3）美国家庭教育权和隐私权法案

1974 年，美国联邦法案家庭教育权和隐私权法案（FERPA）出台，用以保护学生的个人可识别信息（PII）的安全，适用于教育行业；FERPA 规定，未满 18 岁的学生或符合条件的学生家长可以查看并申请修正学生的教育记录；该法案还规定，学校必须取得学生家长或符合条件的学生的书面许可才能披露学生的个人信息。

三、XX数据安全治理组织框架

3.1 数据安全治理组织框架概述

数据安全治理的目的是根据国家法律法规要求，结合行业数据管理要求，实现数据全生命周期的保密性、完整性、可用性、可控性和不可否认性的安全保障。

XX数据安全治理从实际需求或问题出发，围绕客户业务数据安全和合规数据安全，建立健全数据安全管理体系，提高数据安全保障能力；

XX数据安全治理组织框架主要从组织管理的角度，以业务目标，资源配置和进度计划三大核心要素为中心，提供数据安全相关的策略，人员，流程以及安全工具的组织和选定的方式和方法，或判断标准和建议，明确三大要素，进而建立完整的数据安全管理保障体系；

XX数据安全治理组织框架包括四个层面，用于指导客户实施数据安全管理体系，这四个层面包括：数据安全治理需求，数据安全组织机构，数据安全治理规划以及数据安全治理工具；这四个层面不是孤立的，上一环节是下一环节的重要输入，同时下一环节又会对上一环节的进一步明确和细化，达到可管理可实施可量化的数据安全治理框架。

XX数据安全治理组织框架整体如下：

3.2 数据安全治理需求

数据安全治理需求是从宏观上进行规划和定义企业组织实施数据安全治理的需求，包括数据安全治理任务目标、可能风险以及相关的内外部的数据安全需求，最后形成整体的治理策略；治理需求主要从三个维度进行分析和总结，包括战略规划，业务风险和业务需求，最后形成可执行的治理决策流程，管理策略，治理执行需求，以及执行监控及优化；

3.2.1数据安全战略规划

数据安全战略规划，是定义和规划数据安全相关的基本政策和方针，对数据安全治理统筹规划，需要定义数据安全治理三大核心要素：目标业务，资源配置和进度计划；本阶段三大核心要素定义可以不用太准确，可以是经验值，也可以是预估值，在后续的治理框架的规划过程中渐进明晰额，逐步明确，形成数据安全治理任务基线；

1）目标业务，主要包括数据安全治理业务系统对象，涉及的人员和组织，以及相关的数据类型和数据业务安全要求等；业务目标的设置必须来源于企业组织的权威需求，并需要获得组织机构的最高授权；权威需求可以是同类型或自身企业组织的数据安全威胁的事实，上级单位要求或法律法规，行规要求等；

2）资源配置，也可以定义为成本需求，包括要完成业务目标所需要的内外部人力需求，采购产品或设备需求，以及与企业现有的组织相关性，对企业现有系统的改动需求等等；

3）进度计划，分为两个步骤：安全治理计划和治理执行计划；XX数据安全治理把整

体工作分为两个阶段，安全治理和治理执行，前者主要工作包括任务目标，组织框架定义，数据的摸底以及数据相关的安全属性等数据安全管理工作，后者主要是基于第一步发现的数据安全相关的薄弱环节进行安全建设和实施，该进度计划针对这两阶段工作进行编制，并指导后续工作。

3.2.2数据安全业务风险

数据安全业务风险，针对业务目标定义的系统对象和数据类型及数据业务，从安全角度进行风险管理，包括四个步骤：识别业务数据风险，业务数据风险定义，评估数据风险影响，应对数据风险的措施；

数据安全业务风险管理，重点就是识别业务数据风险，从数据全生命周期和业务场景进行全面分析，理清业务数据价值和特征，梳理出核心数据资产，并给出分类分级方式方法，理清核心数据资产使用的状况，识别出核心数据资产面临的威胁和使用风险；

风险定义，风险影响评估及应对措施，根据风险识别进行定义和处理，并进行文档化，供下一步输入。

3.2.3数据安全治理需求

数据安全治理需求，从四个方面挖掘需求：法律法规，行业监管，数据防护现状，业务安全需求；

首先从需要遵循的法律法规，行业监管等要求，分析梳理出与数据安全管理相关的内容，作为外部需求；随着《数据安全法（草案）》立法，数据安全从合规性要求会越来越多，对企业组织和数据安全从业者的要求也会越来越高，对数据安全治理的需求分析和理解需要依赖的知识也越来越广；

再次，结合选择业务对象，风险识别信息分析组织内数据防护现状，进一步进行业务安全需求分析，汇总为数据安全治理需求；XX推荐的数据防护现状分析主要从数据生命周期分析业务对象的生态现状，以及基于各生命周期活动进行数据安全防护的界定，提炼出业务对象在数据安全防护薄弱点，并提出防护需求。

最后，从内部业务需求开始，对法律法规要求进行结合，提炼出符合企业组织自身的数据安全需求，达到内部安全需求与监管需求同时满足，避免需求疏漏或需求扩大，这是数据安全投资与收益保持平衡的基础。

数据安全相关的法律法规和行业监管要求参考：

3.2.4数据安全治理策略

数据安全治理策略包括治理决策规划，治理管理策略，治理执行策略，以及治理策略优化；

治理决策规划主要是指数据安全治理过程中涉及的决策链及决策流程的设计策略，决策

策略规划内容包括但不限于投资决策，治理范围决策，进度计划决策，业务与安全冲突决策等；

治理管理策略，主要包括在执行数据安全治理过程中涉及的管理组织和管理流程的策略，管理策略包括但不限于管理组织的设计策略，管理流程的设计策略，业务数据安全治理方案的

审批流程设计等；

治理执行策略，主要指数据安全治理执行过程中处理和平衡各种问题所参考的通用准则，包括治理执行优先级范围，分类分级规则的制定策略，数据保护审核流程制定策略等；

治理策略优化，主要包括数据安全治理监管方案及优化流程，为数据安全治理执行策略提

供监控管理。

3.3 数据安全组织机构

数据安全组织机构内容是定义数据安全治理所需要的企业内部的组织结构的组建与运行

方式及流程，机构的建设需要参考数据安全治理战略规划中设立的资源配置范围；数据安全组

织机构主要包括组织机构的建设，组织人员能力，数据安全意识，安全知识转移；

组织机构的建设，至少包括治理机构、领导以及相关岗位和流程设定，机构人员不限于组

织内部人员，可以采纳外部专家，以增强组织机构的专业性；

组织人员能力需要包括治理管理能力，技术能力，应急响应及运维检测能力，在组织能

力建设，重点需要治理管理能力和组织能力，技术能力，运维检测能力等，可以采纳相应的专

家或外聘团队，以降低前期投资，减少学习周期；

数据安全意识与安全知识转移，首先把遵循的法律法规，行业监管等要求，以及日常数据

操作和数据安全的保密意识、数据安全的制度，形成规范的材料和手册，然后再进行宣贯，培训，保障数据安全治理组织建设达到组织机构涉及的每个人员和组织。

下图是某大型客户的数据安全治理的组织机构设置图：

3.4 数据安全治理规划

数据安全治理规划是规划数据安全治理原则及策略，目的是指导数据安全治理精准、有理、有序开展；数据安全治理规划包括治理规划，权限管控策略，数据资产发现梳理，数据生命周期管理，以及稽查审计。

3.4.1数据安全治理规划

治理规划是数据安全治理规划的宏观指导规则定义，需要再次审视数据安全治理任务目标，结合治理需求，形成数据治理流程的指导规则；

首先要进行数据安全治理经营战略分析，结合企业组织的整体经营战略，分析数据安全管理在整体战略中的战略价值，进度规划的适配度等，发现冲突和风险，并及时进行进行调整；

接着，需要进行合规性条款分析，针对需求梳理的法律法规或行规与数据安全相关的内容，结合数据安全现状进行分析，形成数据安全合规性分析报告；

再次，对现有IT 策略进行分析，数据安全需求，发现IT 策略在数据安全管理上的不匹配地方，并提出IT 策略数据安全风险及整改意见；

最后，结合以上三种结论以及组织机构要求，对数据安全治理任务，风险，以及不匹配度进行汇总，设置优先级及风险值，明确不可容忍和可容忍的条款，并形成综合评价和风险

容忍度，为数据安全治理提供方向和界限；

3.4.2数据安全权限管控

数据安全权限管控策略是对数据安全管理制度实施和落实进行设计和规划，包括数据安

全相关的审批管控机制、身份权限管理定义、分级保护策略和风险管理策略；

数据安全权限管控的范畴，包括统一安全管理平台解决方案（4A）,从系统账号统一管理，杜绝数据越权访问、误操作、滥用、恶意破坏等情况的发生，也包括数据访问权限管控，数据归

属责任管理，数据审批的流程管理等；

数据安全权限管控的规划和设计，需要依赖具体的业务场景需求或法律法规要求，不能单独定义；比如“中央企业商业秘密安全保护”里面对组织保障有明确规定，定密审批规定：谁生

产谁定密；在“个人信息和重要数据出境安全评估办法（征求意见稿）”中，要求“个人信息出境需经个人信息主体同意，满足一定条件的数据出境，还需要请行业主管或监管部门组织安全评估”，这些规定是作为实施和落实数据安全管理制度的指导基本原则和准则。

3.4.3数据资产发现梳理

数据资产发现梳理主要是对数据业务涉及的数据资产发现分析的范围、策略进行范围界

定和需求定义，包括业务数据分析、数据分类分级、数据识别发现和数据分布定位；数据资产

发现梳理是数据安全治理的非常重要的环节，为后续的数据安全策略规划，数据安全工具的

选择以及生命周期过程的安全管理等都提供很重要的数据识别的基础；

业务数据分析主要是根据界定的数据安全治理业务对象，根据数据生命周期界定需要进

行数据资产识别，发现和定位的具体数据管理系统对象，可以是静态存储的数据库系统，文档

存储系统，也可以动态数据处理系统，包括数据接口API，传输数据的网络系统等等；

数据分类分级是数据识别发现与数据分布定位的技术基础，数据分类分级策略主要是根

据数据安全治理需求，结合业务安全，定义数据有哪些类型，哪些敏感等级，以及区别这些类

型和等级的一些经验方法，数学方法，样本数据等，为进一步形成数据分类分级工具提供策略

制定的输入。

数据识别发现策略，核心内容界定各业务数据系统的初步信息和数据识别发现的一些方式方法，包括系统的存储数据以及业务涉及数据的重要程度，对数据处理、访问及分析的方式方法，网络架构拓扑，是否可以对外进行提供，以及对这些数据访问的基本安全原则等；

数据分布定位策略，是制定识别发现数据的显示方式，显示策略以及隐藏策略等，比如从数据生命周期的角度，对每个环节的数据进行展示分布统计图；比如针对不同的权限，所能查阅的分布定权限是不一样的。

3.4.4数据生命周期管理

数据的生命周期管理，是对企业组织系统化和全面化的数据活动的定义和管理，在数据安全治理每个环节都能以数据生命周期的视角进行分析并提出应对数据安全策略和安全管理；XX 基于数据安全自身实践经验，对数据生命周期管理定义了六个方面的数据活动管理：数据产生/采集管理，数据存储管理，数据使用管理，数据传输管理，数据应用管理，数据归档/销毁管理；基于每个业务类型，都可以定义数据活动，基于这些数据活动开展数据安全治理规划，权限管控，资产发现和定位，数据安全管理，以及相关的活动审计等，入下图：

数据产生/采集管理，数据形态包括生产系统产生的业务数据，采集系统的输入产生数据，个人终端办公设计等产生数据，数据产生管理是数据源头，数据安全管理可以根据业务的

敏感等级实施，包括采集合规性检查，数据分类，数据标注，数据集中存储，加密管理等，从源

头确保数据来源合法，存储安全，可跟踪管理等；

数据存储管理，主要是指存储系统的数据业务，包括大数据中心，云存储，数据库，终端，移动介质等，数据存储的安全管理，在数据安全管理上可以实施包括数据分类管理，数据存储分布管理，存储加密管理，存储的访问管理，存储备份管理，存储容灾管理等；

数据使用管理，指数据与人直接涉及面的使用活动，数据使用形态包括数据直接使用，数据上传下载，数据分析处理等；涉及人的安全管理比较复杂，包括人员权限，组织流程，以及相关的安全技术；安全技术主要包括数据库数据安全使用，终端数据的安全使用，数据

数据脱敏管理，数据加密管理，业务系统数据安全管理，数据分析安全管理，数据使用环境的

安全管理等；

数据传输管理，主要指网络传输，实施安全管理包括网络通道加密，传输数据统计，传输

数据合规分析，传输数据加密，传输数据阻断；

数据应用管理，指把数据以一定安全方式提供给内外部组织使用，提供形态包括数据共享，数据公开，数据提供等；安全技术管理包括应用协议安全管理，数据应用分类管理，数据应用

权限管理，数据API 接口安全，数据脱敏和数据加密管理等；

数据归档/销毁管理，主要活动是对数据的存储在从逻辑上和物理上收尾处理，包括数

据归档，数据删除和介质销毁，安全技术管理包括数据归档/销毁分类，数据归档管理，数

据删除管理，介质销毁处置等。

数据生命周期管理不局限于XX的实践定义，也可以根据客户所处行业，数据安全治理场景需要，参考其他法律法规或公开的标准定义，比如“数据安全能力成熟度模型DSMM” 里面

定义的过程域PA：数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换

安全、数据销毁安全、数据通用安全；比如《数据安全法(草案)》中定义的数据活动：收集、

存储、加工、使用、提供、交易、公开。

3.4.5数据安全稽查审计

数据安全稽查审计主要是定义在实施数据安全治理过程的行为管理的策略和以及数据安

全的日志审计内容，确保数据安全治理过程按照既定的策略和内容执行，并确保数据活动被完

整记录，不遗漏；

数据安全稽查是对数据安全治理的行为监管，即数据安全任务书的基线管控，首先要定

义稽查人员，流程和方式；然后定义稽查审核的内容，一般以任务列表方式进行检查；最后定

义变化跟踪管理办法，包括业务对象变更，需求变化管理，以及进度计划调整等；

在数据活动中，各种安全管理工具，会产生大量的数据活动的日志，数据安全审计内容，主

要是从数据生命周期的角度，提出数据安全日志审计和日志分析需求和审计日志格式等；

审计日志格式一般都是按照五元或七元信息进行规划和设计，包括但不限于访问时间、地点，

访问人，数据活动，动作，数据对象，命中策略；通过基本信息，进一步分析提炼和统计，形成具有一定价值的结果展示和态势感知，比如存储分布展示，传输统计展示，访问数量统计，非法访问告警展示，异常传输展示，数据访问行为安全态势分析等等。

信息安全-深信服云盾产品技术白皮书

1背景 随着互联网技术的不断发展，网站系统成为了政务公开的门户和企事业单位互联网业务的窗口，在“政务公开”、“互联网+”等变革发展中承担重要角色，具备较高的资产价值。但是另一方面，由于黑客攻击行为变得自动化和高级化，也导致了网站系统极易成为黑客攻击目标，造成篡改网页、业务瘫痪、网页钓鱼等一系列问题。其安全问题受到了国家的高度关注。近年来国家相关部门针对网站尤其是政府网站组织了多次安全检查，并推出了一系列政策文件。 据权威调研机构数据显示，近年来，中国网站遭受篡改攻击呈增长态势。其中2018 年，我国境内被篡改的网站数量达到13.7万次，15.6万个网站曾遭到CC攻击。2018年共有6116个境外IP地址承载了93136个针对我国境内网站的仿冒页面。中国反钓鱼网站联盟共处理钓鱼网站51198个，平均每月处理钓鱼网站4266个。同时，随着贸易战形势的不断严峻，境外机构针对我国政府网站的攻击力度也不断的加强，尤其是在重要活动期间，政府网站的安全防护成为了重中之重。 为了帮助企业级客户及政府机构保障网站的安全，解决网站被攻陷、网页被篡改、加强重要活动期间的网站安全防护能力，深信服云盾提供持续性的安全防护保障，同时由云端专家进行7*24小时的值守服务，帮助客户识别安全风险，提供高级攻防对抗的能力，有效应对各种攻击行为。

2产品体系架构 深信服利用云计算技术融合评估、防护、监测和响应四个模块，打造由安全专家驱动，围绕业务生命周期，深入黑客攻击过程的自适应安全防护平台，帮助用户代管业务安全问题，交付全程可视的安全服务。 客户端无需硬件部署或软件安装，只需将DNS映射至云盾的CNAME别名地址即可。全程专家参与和值守，为用户提供托管式安全防护。安全防护设施部署在深信服安全云平台上，安全策略的配置和调优由深信服安全专家进行，用户仅需要将用户访问的流量牵引至深信服安全云。所有的部署和运维工作全部由深信服安全专家在云上完成，更简单，更安全，更省心。 3用户价值 深信服将网站评估、防护、监测、处置，以及7*24在线的安全专家团队等安全能力整

数据安全治理——发挥主导作用的组织与受众

数据安全治理——发挥主导作用的组 织与受众 引言：数据安全治理是由组织中分工明确的人来主导实施的一项系统性工程。该项工作得以良好运作有赖于三大要素：人员组织、策略流程和技术工具。 一. 数据安全治理机构 数据安全治理工作的展开首先要成立专门的数据安全治理机构，以明确数据安全治理的政策、落实和监督由谁长期负责，以确保数据安全治理的有效落实。 通常，我们可以将成立的机构称之为“数据安全治理委员会”或“数据安全治理小组”，该机构并非传统意义上的实体机构，属于一个虚拟的机构，机构成员由数据的利益相关者和专家构成，这里之所以称之为利益相关者，是因为这些人可能不仅仅是数据的使用者，也是数据本身的代表者（比如用户），数据的所有者，数据的责任人。 数据安全治理委员会或数据安全治理小组这个机构本身既是安全策略、安全规范和安全流程的制定者，也是安全策略、规范和流程的受众。 在DGPC 框架中这个机构一般称之为DGPC 团队，或者叫Data Stewards，这个团队的职责是：This is a virtual organization whose members are collectively responsible for defining principles, policies and procedures that govern key aspects of data classification, protection, use and management. ①制定数据分类、保护、使用、管理的原则 ②制定数据分类、保护、使用、管理的策略 ③制定数据分类、保护、使用、管理的流程 这个团队的构成是：IT, human resources, legal and finance departments as well as business groups and the marketing department—in short, any group with a stake in collecting, processing, using and managing personally identifiable information (PII), intellectual property, trade secrets and other types of confidential information.（IT、人资、法务、财务、业务和市场部门等所有与人、知识产权、私密信息相关的部门）

白皮书-移动应用(App)数据安全与个人信息保护白皮书

移动应用（App） 数据安全与个人信息保护 白皮书 （2019年） 中国信息通信研究院 安全研究所 2019年12月

版权声明 本白皮书版权属于中国信息通信研究院（工业和信息化部电信研究院）安全研究所，并受法律保护。转载、摘编或利用其它方式使用本白皮书文字或者观点的，应注明“来源：中国信息通信研究院安全研究所”。违反上述声明者，本单位将追究其相关法律责任。

前言 移动应用（以下简称“App”）是数字经济下的重要产品。随着移动网络和智能手机全面覆盖，App种类和数量增长迅猛。从社交到出行、从网购到外卖，从办公到娱乐，App已全面渗透用户生活，成为大众生活必需品，并因此汇集大量衣食住行、社交关系等用户个人信息。App逐渐成为承载网络应用和信息数据的核心载体。 App在满足用户美好数字生活需要，助力消费升级和经济转型发展方面发挥了不可替代的作用，但也暴露出违法违规收集使用个人信息、用户个人信息泄露与滥用等数据安全问题。App数据安全关乎个体层面的隐私权利保护，产业层面的健康发展，以及国家层面的全球数字竞争力。欧美等移动互联网发展较早的国家，在移动互联网安全制度构建方面已较为领先。近年来，我国也高度重视App数据安全与个人信息保护工作，从法规标准、专项治理、企业自律等方面多管齐下，加大治理力度。 本白皮书在研判App发展趋势及社会经济影响的基础上，重点分析目前主流App存在的数据安全隐患，系统梳理总结国内外App数据安全治理现状，最后从政府、企业、行业三个维度研究提出了我国App 数据安全与个人信息保护综合治理建议，并从用户视角总结提出了用户安全使用技巧。

数据安全治理三步走之三：数据安全稽核与风险预警

数据安全治理三步走之二： 数据安全稽核与风险预警在有效的数据梳理及严格的数据管控基础上，我们还需要有效地对数据的访问行为进行日志记录，对收集的日志记录进行定期地合规性分析和风险分析。本文对数据安全稽核的策略、风险与挑战以及技术支撑三个方面进行详细说明。 一. 定期的稽核策略 定期的稽核是保证数据安全治理规范落地的关键，也是信息安全管理部门的重要职责，包括： A、合规性检查：确保数据安全使用政策被真实执行； B、操作监管与稽核：主要针对数据访问账号和权限的监管与稽核；要具有账号和权限的报告；要具有账号和权限的变化报告；业务单位和运维部门数据访问过程的合法性监管与稽核；要定义异常访问行为特征；要对数据的访问行为具有完全的记录和分析； C、风险分析与发现：对日志进行大数据分析，发现潜在异常行为；对数据使用过程进行尝试攻击，进行数据安全性测试。 二. 数据安全的稽核和风险发现挑战 2.1 如何实现对账号和权限变化的追踪 定期地对账号和权限变化状况进行稽核，是保证对敏感数据的访问在既定策略和规范内的关键；但如何对成百上千个业务系统和数据库中的账号与权限的变化状况进行追踪是关键。

2.2 如何实现全面的日志审计 在新的网络安全法出台后全面的数据访问审计要求，日志存储最少保留6个月；在新的等保中要求，云的提供商和用户都必须实现全面的日志记录。全面审计工作对各种通讯协议、云平台的支撑，1000 亿数据以上的存储、检索与分析能力上，均形成挑战。全面的审计是检验数据安全治理中的策略是否在日常的执行中切实落地的关键。 2.3 如何快速实现对异常行为和潜在风险的发现与告警 数据治理中，有一个关键要素就是发现非正常的访问行为和系统中存在的潜在漏洞问题。如何对日常行为进行建模，是海量数据中快速发现异常行为和攻击行为避免系统面临大规模失控的关键。 三. 数据安全稽核的技术支撑 3.1 数据审计技术 数据审计的目标是对所有的数据访问行为进行记录，对危险行为进行告警，提供数据访问报表，提供对数据的检索和分析能力；数据审计技术是对工作人员行为是否合规进行判定的关键；数据审计技术主要是基于网络流量分析技术、高性能入库技术、大数据分析技术和可视化展现技术： 图14 数据审计技术

ISO27005信息安全技术风险管理白皮书

ISO/IEC 27005:2008 信息技术–安全技术–信息安全风险管理 Information Technology – Security techniques - Information security risk management

目录 前言 (4) 介绍 (5) 1. 范围 (6) 2. 规范性引用文件 (6) 3. 术语和定义 (6) 4. 本国际标准的结构 (8) 5. 背景 (9) 6. 信息安全风险管理过程概述 (10) 7. 确定范畴 (13) 7.1. 总则 (13) 7.2. 基本准则 (13) 7.3. 范围和边界 (16) 7.4. 信息安全的组织架构 (17) 信息安全风险评估 (17) 8.1. 信息安全风险评估综述 (17) 8.2. 风险分析 (18) 8.2.1. 风险识别 (18) 8.2.2. 风险估算 (23) 8.3. 风险评价 (27) 信息安全风险处置 (28) 9.1. 风险处置综述 (28) 9.2. 风险降低 (31) 9.3. 风险保持 (32) 9.4. 风险回避 (32) 9.5. 风险转移 (33) 10. 信息安全风险的接受 (33)

11. 信息安全风险的沟通 (34) 12. 信息安全监视和评审 (35) 12.1. 监视和评审风险因子 (35) 12.2. 风险管理监视、评审和改进 (37) 附录A （资料性）界定信息安全风险管理过程的范围和边界 (38) A.1 对组织进行研究 (38) A.2 影响组织的约束清单 (39) A.3 适用于组织的法律法规的参考清单 (42) A.4 影响范围的约束清单 (42) 附录B （资料性）资产的识别和赋值以及影响评估 (44) B.1 资产识别的例子 (44) B.1.1 基本资产的识别 (44) B.1.2 支持性资产的清单和描述 (45) B.2 资产赋值 (52) B.3 影响评估 (56) 附录C （资料性）典型威胁示例 (57) 附录D （资料性）脆弱点和脆弱性评估方法 (61) D.1 脆弱点示例 (61) D.2 评估技术性脆弱点的方法 (65) 附录E （资料性）信息安全风险评估方法 (66) 1 纲领性信息安全风险评估 (66) E.2 详细的信息安全风险评估 (68) E.2.1 示例1：预定值矩阵 (68) E.2.2 示例2：通过风险值进行威胁评级 (71) E.2.3 示例3：为风险的可能性和可能的后果赋值 (71) 附录F （资料性）降低风险的约束 (73)

数据安全治理——数据安全的必由之路

数据安全的必由之路：数据安全治理引言：企业转型，对中国大量成长型企业而言，其转型的过程就是完成从创业到成长，从成熟到规范成熟的企业生命体的进化。其本质就是企业从单一产品和简单环节的低级或初级的价值创造状态，向组合产品以及多环节整合的高级的价值创造状态的转变和进化。这是面对市场经济的迅速发展及行业成熟规律下企业的自然行为与必然选择。2017年，安华金和加快从数据库安全厂商向数据安全治理产品和服务提供商转型的步伐，致力于在数据安全治理领域大刀阔斧，开创全新领地。 数据治理或者数据安全在大多数安全从业者的印象中是比较熟悉的概念，但数据安全治理却似乎是个新名词。实际上，对于拥有重要数据资产的企业或政府部门，在数据安全治理方面或多或少都有实践，只是尚未系统化的实行。比如运营商行业的客户数据安全管理规范及其落地的配套管控措施，一些政府部门的数据分级分类管理规范；在国外由Microsoft 提出的DGPC（Data Governance for Privacy Confidentiality and Compliance）框架也是专门的面向数据安全治理的管理和技术框架。接下来我们将把数据安全理念分成四篇系列文章，有侧重的，相对系统化地加以阐述。 1. 数据安全治理概论 2. 数据安全治理的组织和受众 3. 数据安全治理的策略与流程 4. 数据安全治理的技术支撑框架 5. 数据安全治理小结 今天这篇文章，我们对“数据安全治理”概论做个认知。 一. 愿景 数据安全治理的愿景。在这里，笔者首先要强调的是数据安全治理的目标是——数据安全使用。我们不谈脱离了“使用”的安全，数据存在的目的就是为了使用，如果不是基于这个前提去谈安全，最终有可能产生无法落地的情况，或者即使落地，效果也会差强人意。 1.1 数据安全治理概论 数据安全治理的概念——数据安全治理是以数据的安全使用为目的的综合管理理念。 三个需求目标：

大数据在安全应急管理中的应用思路

大数据在安全应急管理 中的应用思路 Document serial number【NL89WT-NY98YT-NC8CB-NNUUT-NUT108】

大数据在安全生产应急管理中的应用思路 比尔·盖茨曾经说过：“个人用户的内存只需640K足矣”，托马斯·沃森的言论则更是惊人：“全世界只需要5台电脑就足够了”。而这些话仅仅只过去了几十年，就已经沦为最大的笑话。同时，数据相关技术的发展也已经走过了3个重要的时代： 从上图中，我们看到了一个有意思的现象，在具体的数据模式上，环境和需求驱动技术，没有绝对的先进和落后，就仿佛经历了一个轮回之后，再回到原点。 个人计算和集中式计算 个人计算：在网络不发达环境，个人计算机迅猛发展；直到CPU主频难以提高，摩尔定律正走向终结。 集中式计算：在网络发达的环境，通过集中的云计算中心为客户端提供计算能力。 分布式数据管理和集中式数据管理 分布式管理：在网络不发达环境，采用分布式数据管理，数据同步和一致性问题导致业务系统非常复杂，业务互通困难，且数据非常分散。 集中式管理：在网络发达的环境，通过集中的数据中心提供统一存储，形成数据的全局视图，简化业务系统的实现。 云计算改变了IT,而大数据则改变了业务，支撑大数据以及云计算的底层原则是一样的，即规模化、自动化、资源配置、自愈性。云计算是大数据的IT基础，大数据有云计算作为基础，才能高效运行。通过大数据的业务需求，为云计算的落地找到了实际应用。 而现在安全生产应急管理中最大的问题在于： 数据量较大：各类应用系统繁多，数据量庞大。 类型少：数据类型单一，绝大部分为关系型数据。 价值密度低：累计上报的结构化数据大都是间接性数据、可利用价值低。 时效性差：数据主要依赖企业按月、按季度报送。 技术屏障：安监部门获取重点监控高危（行业）企业实时动态数据的接入还存在着机制、技术等方面的问题。 无法快速处理：实时动态数据的实时处理和分析缺少平台支撑。 数据源单一：互联网、社交网络中安全生产相关信息（数据）的抓取机制欠缺。 难以共享：整个“大安全”框架下，安监部门与气象、国土、地震、交通、公安、工商、质监、消防、城管等诸多部门的信息（数据）共享机制有待建立。 难以互联：各级安监部门的内部以及上下级之间的互联互通还未建立。 针对以上问题，最关键的词其实就是一个：“统一”。而且要从基础、技术、业务全方位地进行统一。 实现基础设施的统一管理，集约化整合利用已有资源。构建统一的运维体系和标准，建立一支高效的运维队伍。 实现信息集成和数据交换共享，整合异构数据、结构化数据、非结构化数据、实时数据、空间数据等，构建公共的数据共享中心。实现业务集成，集成已有应用系统、其它部委系统、第三方系统，形成跨系统的业务流、产品流、数据流，构建互联互通的信息通道，形成公共的服务中心。 构建系统研发平台，提供一体化系统技术框架，基于组件和服务可快速构建应用，加速研发过程。构建系统支撑平台，提供应用系统运行所需的业务要素、基础代码、控制数据、流程、规则、权限控制等。 可在国家、省级和市级，形成多个集中云服务中心，实现多级信息集中和共享。既减少了系统复杂性，也提高系统的可用性。多服务中心间基础数据同步由应用支撑平台处理，应用不需要关

注册数据安全治理专业人员(CISPDSG)白皮书.doc

注册数据安全治理专业人员（CISP-DSG） 白皮书 发布日期2019年8月 版本：1.0 中国信息安全测评中心 北京天融信网络安全技术有限公司

CISP-DSG白皮书 咨询及索取 关于中国信息安全测评中心CISP-DSG培训考试相关的更多信息，请与CISP-DSG运营中心联系。 CISP-DSG运营中心联系方式： 【联系地址】北京市海淀区上地东路1号华控大厦4层 【电话】 【电子邮件】 【官方网站】 北京天融信网络安全技术有限公司（简称天融信）创始于1995年，是中国领先的网络安全、大数据与安全云服务提供商。是中国信息安全测评中心授权的注册数据安全治理专业人员（CISP-DSG）运营机构，负责注册数据安全治理专业人员（CISP-DSG）专项证书的知识体系研发和维护、考题研发、考试服务、授权培训机构管理及市场推广等内容。 CISP-DSG证书专注于考核、培养从事数据安全治理相关工作的安全人才，是业界首个数据安全治理方向的注册考试。

目录 引言 4 一、CISP-DSG考试要求4 二、CISP-DSG考试方向5 三、CISP-DSG注册流程7 四、CISP-DSG职业准则7 五、CISP-DSG考生申请资料要求 8 六、CISP-DSG收费标准9 七、注册数据安全治理专业人员运营中心联系方式10

引言 当前，政府与企业的信息化程度不断加深，IT系统的复杂度与开放度随之提升，伴随云计算、大数据、人工智能等新兴技术的飞速发展，数据作为支撑这些前沿技术存在与发展的生产资料，已经成为组织的核心资产，受到前所未有的重视与保护。数据的安全问题将引发企业和社会决策的安全问题。数据的安全问题，已成为企业资产安全性、个人隐私安全性、国家和社会安全的核心问题。 数据安全是一个复杂的问题，单靠技术手段无法完整解决，需要用数据安全治理的理念进行体系化建设。通过数据安全治理，能使信息系统安全建设更加突出重点、统一规范、科学合理。通过数据安全技术措施的实施，为各类组织机构提供先进的、科学的技术手段和管理依据，大大降低重要数据及公民个人信息的泄漏风险，更好地遵循技术防范和管理并重的原则，提高整体管理水平。 数据安全治理过程的推广和应用，专业人才是关键。加快培养符合各类组织机构信息安全建设需求的专业人才是应用数据安全治理理念系统化解决数据安全问题的重点。 中国信息安全测评中心主导的“CISP-DSG”（Certified Information Security Professional - Data Security Governance）注册数据安全治理专业人员技能水平注册考试，锻炼考生通过数据安全治理过程，帮助各类组织机构解决数据安全顶层设计及管理体系建设的问题，从而促进国家企事业单位信息安全管理能力提升，提高我国信息安全产业的整体实力和在国际市场的竞争力。 一、CISP-DSG考试要求 成为注册数据安全治理专业人员（CISP-DSG）必须同时满足以下基本要求： 1.申请成为注册数据安全治理专业人员（CISP-DSG），具备一定数据安全治理基础，或有意向从事数据安全治理的人员； 2.申请成为注册数据安全治理专业人员（CISP-DSG）无学历与工作经验的报考要求； 3.通过注册数据安全治理专业人员运营中心组织的CISP-DSG考试； 4.同意并遵守CISP职业道德准则；

学习《中国数字经济发展白皮书》心得体会

学习《中国数字经济发展白皮书》心得体会 中国信息通信研究院发布的《中国数字经济发展白皮书》显示，2019年我国数字经济增加值规模达到35.8万亿元，占GDP比重达到36.2%。专家指出，近年来数字经济在国民经济中的地位进一步凸显，规模不断扩张、贡献不断增强。 在国际经济环境复杂严峻的背景下，2019年我国数字经济继续保持了较快增长，按照可比口径计算名义增幅达15.6%，北京、上海数字经济GDP占比已超过50%，数字经济在地区经济中占据主导地位。数字经济疾步快跑，看点显然更在“数字”之外，反映出不断增强的中国创新能力和创新实力，表明了中国经济活力充沛、增长动能澎湃。 数字经济疾步快跑是践行创新发展理念的重大成果。惟创新者进，惟创新者强，惟创新者胜。党的十八大以来，党和政府以新发展理念为引领，大力实施创新驱动发展战略，加快推进以科技创新为核心的全面创新，在关键领域的创新不断取得新的成果、实现新的突破、走向世界前沿。数字经济风起云涌，逐渐形成较为完整的数据供应链，有力促进数字技术与实体经济集成融合，显著提升国家治理能力现代化水平，正是顺应新一轮科技革命和产业变革席卷

全球态势，持续推进信息化、大数据领域创新发展取得的积极成果。 数字经济蓬勃发展为经济转型升级持续注入强动能。数字经济的魅力在于数字产业化、产业数字化、数字化治理和数据价值化。研究显示，2019年数字产业化增加值达7.1万亿元，同比增长11.1%。数字经济减少信息流动障碍，加速资源要素跨产业、跨区域合理流动，给产业转型、经济转型提供支持。疫情防控期间，网络购物、视频会议、远程医疗、云课堂等新模式层出不穷，数字经济在支撑复工复产、保障就业、提振经济等方面的作用充分凸显，也进一步说明了其应用广泛、潜能巨大、前景广阔的优势特点。 数字经济奋楫逐浪，中国巨轮风劲帆满。信息技术、大数据、智慧治理加速向工业、服务业、社会事业等各个领域渗透。助推新产业、新业态、新模式不断推陈出新，激发了社会创新活力和发展动能，数字经济站上了新的风口、迎来了新的发展机遇，有预测认为到2025年规模可达到60万亿元。国家和地方提速、加码布局“新基建”，推动云计算、5G、物联网等技术的发展与落地，进一步夯实数字经济发展基础，从短期看有望拉动投资、内需，助力“六稳”“六保”政策落实，加快经济复苏步伐，从长远看可望有

信息安全保障体系服务白皮书

信息安全保障体系咨询服务 技术白皮书 杭州安恒信息技术有限公司 二〇二〇年八月

目录 1.公司简介 (2) 2.信息安全保障体系咨询服务 (3) 2.1.概述 (3) 2.2.参考标准 (4) 2.3.信息安全保障体系建设的指导思想 (4) 2.4.信息安全保障体系建设的基本原则 (5) 3.信息安全保障体系的内容 (6) 3.1.信息安全的四个领域 (6) 3.2.信息安全策略体系 (6) 3.2.1.信息安全战略 (7) 3.2.2.信息安全政策标准体系框架 (7) 3.3.信息安全管理体系 (8) 3.4.信息安全技术体系框架 (9) 3.5.信息安全运营体系 (11) 4.信息安全保障体系的建设过程 (13) 4.1.信息安全保障体系的总体建设方法 (13) 4.2.信息安全策略的定义 (13) 4.2.1.信息安全策略的通用性特征 (14) 4.2.2.信息安全策略的建立过程 (15) 4.3.企业信息安全管理体系的建设 (17) 4.3.1.安全管理体系总体框架 (17) 4.3.2.信息安全环境和标准体系框架 (18) 4.3.3.信息安全意识培养 (18) 4.3.4.信息安全组织 (21) 4.3.5.信息安全审计监督 (21) 4.4.企业信息安全运营体系的建设 (25) 4.5.企业信息安全技术体系的建设 (27) 4.5.1.安全技术设计目标 (27) 4.5.2.安全技术体系的建设 (27) 5.为什么选择安恒信息 (28) 5.1.特性 (28) 5.2.优点 (28) 5.3.效益 (28) 1.公司简介 杭州安恒信息技术有限公司(DBAPPSecurity)，简称“安恒信息”，是业界领先的应用安全及数据库安全整体解决方案提供商，专注于应用安全前沿趋势的研究和分析，核心团队拥有多年应用安全和数据库安全的深厚技术背景以及最佳安全攻防实践经验，以全球领先具有完全自主知识产权的专利技术，致力于为客户提供应用安全、数据库安全、不良网站监测、安全管理平台等整体解决方案。

大数据安全保障措施

（一）数据产生／采集环节的安全技术措施 从数据安全角度考虑，在数据产生／采集环节需要实现的技术能力主要是元数据安全管理、数据类型和安全等级打标，相应功能需要内嵌入后台运维管理系统，或与其无缝对接，从而实现安全责任制、数据分级分类管理等管理制度在实际业务流程中的落地实施 1、元数据安全管理 以结构化数据为例，元数据安全管理需要实现的功能，包括数据表级的所属部门、开发人、安全责任人的设置和查询，表字段的资产等级、安全等级查询，表与上下游表的血缘关系查询，表访问操作权限申请入口。完整的元数据安全管理功能应可以显示一个数据表基本情况，包括每个字段的类型、具体描述、数据类型、安全等级等，同时显示这个数据表的开发人、负责人、安全接口人、所属部门等信息，并且可以通过这个界面申请对该表访问操作权限。 2、数据类型、安全等级打标 建议使用自动化的数据类型、安全等级打标工具帮助组织内部实现数据分级分类管理，特别是在组织内部拥有大量数据的情况下，能够保证管理效率。打标工具根据数据分级分类管理制度中定义的数据类型、安全等级进行标识化，通过预设判定规则实现数据表字段级别的自动化识别和打标。下图是一个打标工具的功能示例，显示了一个数据表每个字段的数据类型和安全等级，在这个示例中，“C”表示该字段的数据类型，“C”后面的数字表示该字段的安全等级。

数据类型、安全等级标识示例 （二）数据传输存储环节的安全技术措施 数据传输和存储环节主要通过密码技术保障数据机密性、完整性。在数据传输环节，可以通过HTTPS、VPN 等技术建立不同安全域间的加密传输链路，也可以直接对数据进行加密，以密文形式传输，保障数据传输过程安全。在数据存储环节，可以采取数据加密、硬盘加密等多种技术方式保障数据存储安全。 （三）数据使用环节的安全技术措施 数据使用环节安全防护的目标是保障数据在授权范围内被访问、处理，防止数据遭窃取、泄漏、损毁。为实现这一目标，除了防火墙、入侵检测、防病毒、防DDoS、漏洞检测等网络安全防护技术措施外，数据使用环节还需实现的安全技术能力包括： 1、账号权限管理 建立统一账号权限管理系统，对各类业务系统、数据库等账号实现统一管理，是保障数据在授权范围内被使用的有效方式，也是落实账号权限管理及审批制度必需的技术支撑手段。账号权限管理系统具体实现功能与组织自身需求有关，除基本的创建或删除账号、权限管理和审批功能外，建议实现的功能还包括：一是权限控制的颗粒度尽可能小，最好做到对数据表列级的访问和操作权限控制。二是对权限的授予设置有效期，到期自动回收权限。三是记录账号管理操作日志、权限审批日志，并实现自动化审计；日志和审计功能也可以由独立的系统完成。 2、数据安全域 数据安全域的概念是运用虚拟化技术搭建一个能够访问、操作数据的安全环境，组织内部的用户在不需要将原始数据提取或下载到本地的情况下，即可以完成必要的查看和数据分析。原始数据不离开数据安全域，能够有效防范内部人员盗取数据的风险。图7 是数据安全域的拓扑结构示例，数据安全域由一个虚拟机集群组成，与数据库服务器通过网关连接，组织内部用户安装相应的终端软件，可以通过中转机实现对原始数据的访问和操作。

人工智能数据白皮书-CAICT

人工智能数据安全 白皮书 中国信息通信研究院 安全研究所 2019年8月

版权声明 本白皮书版权属于中国信息通信研究院安全研究所，并受法律保护。转载、摘编或利用其它方式使用本白皮书文字或者观点的，应注明“来源：中国信息通信研究院安全研究所”。违反上述声明者，本单位将追究其相关法律责任。

前言 人工智能作为引领新一轮科技革命和产业变革的战略性技术，已成为世界主要国家谋求新一轮国家科技竞争主导权的关键领域。随着政府人工智能战略布局的落地实施，全球人工智能发展正进入技术创新迭代持续加速和融合应用拓展深化的新阶段，深刻改变着国家政治、经济、社会、国防等领域的运行模式，对人类生产生活带来翻天覆地的变化。 数据作为驱动本轮人工智能浪潮全面兴起的三大基础要素之一，数据安全风险已成为影响人工智能安全发展的关键因素。与此同时，人工智能应用也给数据安全带来严峻挑战,如何应对人工智能场景下的数据安全风险日渐成为国际人工智能治理的重要议题。部分国家已率先探索人工智能数据安全风险的前瞻研究和主动预防，并积极推动人工智能在数据安全领域应用，力求实现人工智能与数据安全的良性互动发展。 本白皮书从人工智能数据安全的内涵出发，首次提出人工智能数据安全的体系架构，在系统梳理人工智能数据安全风险和安全应用情况的基础上，总结了国内外人工智能数据安全治理现状，研究提出了我国人工智能数据安全治理建议。

目录 一、人工智能数据安全概述 (1) （一）人工智能安全 (1) （二）人工智能数据安全内涵 (2) （三）人工智能数据安全体系架构 (3) 二、人工智能数据安全风险 (5) （一）人工智能自身面临的数据安全风险 (5) （二）人工智能应用导致的数据安全风险 (7) （三）人工智能应用加剧的数据治理挑战 (11) 三、人工智能数据安全应用 (13) （一）人工智能与数据安全治理 (13) （二）人工智能在数据安全治理中的应用 (15) 四、国内外人工智能数据安全治理动态 (23) （一）国内外人工智能数据安全战略规划情况 (24) （二）国内外人工智能数据安全伦理规范情况 (28) （三）国内外人工智能数据安全法律制定情况 (30) （四）国内外人工智能数据安全技术发展情况 (32) （五）国内外人工智能数据安全标准规范情况 (34) 五、人工智能数据安全治理建议 (36) （一）明晰发展与安全并举的治理思路 (36) （二）引导社会遵循人工智能伦理规范 (37) （三）建立人工智能数据安全法律法规 (37) （四）完善人工智能数据安全监管措施 (38) （五）健全人工智能数据安全标准体系 (39) （六）创新人工智能数据安全技术手段 (39) （七）培养复合人工智能数据安全人才 (40)

数据安全设计处理方案

数据安全处理设计方案 一、说明： 为保证税务数据的存储安全，保障数据的访问安全，对数据库的用户采取监控机制，分布式处理各种应用类型的数据，特采取三层式数据库连接机制。 二、作用机理： 1、对于整个系统而言，均采用统一的用户名称、用户密码进行登陆。 这个阶段的登陆主要用于获取数据库的对应访问用户、密码及其对应访问 权限。 2、登陆成功后，读取用户本地机的注册信息、密码校验信息，然后 到通用用户对应的数据表中去读取对应的记录。该记录主要为新的用户名 和密码。 3、获取对应权限、用户和密码后，断开数据库连接，然后按新的数 据库用户和密码进行连接。 4、连接成功后，开始个人用户的登陆。 三、核心内容： 该安全方案的核心内容为：三层式数据访问机制、数据加密处理机制。 三层式数据访问机制的内容： 第一层：通用用户方式登陆。对于通用用户而言，所有用户均只有一个表的访问权限，并且对该表只能读取和修改。 第二层：本地注册（或安装）信息的读取和专用数据库用户密码的对应获取。根据安装类型，获取对应的（数据库）用户和密码，此用户一般有多个表的操作权限。 第三层：断开通用连接，以新的用户和密码进行登陆。登陆成功后，再用个人用户帐号和密码进行登陆处理。 数据加密处理机制主要对数据库的访问密码和个人密码进行加密处理。采用当

前较为流行的基数数据加密机制，主要方式为：采用数据基数数组方式进行加密与解密。变动加解密机制时，只需修改对应的基数位置或基数值即可。实现方式简单方便，而解密则极为困难。 四、 数据库设计： 系统主要涉及到的数据库为用户登陆数据库表。这张表与数据库的使用用户表数据内容类似，主要保存类用户信息。 其主要结构为： 五、 程序流程设计： Y

睿治数据治理管理平台白皮书-数据标准

1.1数据标准建设 睿治数据治理平台提供了一套完整的数据标准管理流程及办法，通过一系列的活动，统一的数据标准制定和发布，结合制度约束、系统控制等手段，实现企业大数据平台数据的完整性、有效性、一致性、规范性、开放性和共享性管理，为后续数据质量检查、数据安全管理等提供标准依据。 1.1.1灵活配置数据标准属性 定义不同的数据标准可能存在需要录入不同的属性，为了满足不同项目对数据标准的设计，睿治数据治理平台提供了数据标准集管理，内置了业务属性、技术属性、管理属性、质量属性、主数据属性、生命周期属性供用户选择使用，并支持自定义属性。 1.1.2方式丰富的数据标准录入 平台提供灵活方便的操作界面，根据用户选择合适的方式，快速创建数据标准，支持用户手动创建数据标准，同时支持拾取元数据生成数据标准，简化数据标准创建的步骤，同时支持修改、删除等操作。

除了手动创建外，还支持通过导入的方式进行批量创建。通过导出标准集，让用户在线下对数据标准进行整理，将整理完成的数据标准导入到平台后，成为一条可映射、评估的数据标准。

1.1.3完备的数据标准审批 数据标准创建保存后，确认无误后，支持整集发起审批。审批支持通过、退回操作，可采用邮件或任务提醒的方式通知参与审批的用户。同时支持审批列表的搜索，快速定位数据标准。 1.1.4先进的数据标准落地映射 数据标准被设计出来，主要目的是为了规范各业务系统的数据建设。平台支持对数据标准设置落地映射，一条标准可根据实际业务需求进行多个映射，映射设置细化到实际业务系统对应的元数据上，为后续的落地评估提供依据，设置好的落地映射支持修改、删除。

中国企业数字化转型白皮书

中国企业 数字化转型白皮书
CHINESE ENTERPRISES DIGITAL TRANSFORMATION WHITE PAPER

什么是数字化转型
什么是 数字化转型
从2015年G20大会将数字化转型作为大会议题以来， 数字化转型已经成为新经济时代即数字经济时代政府及 产业界关注的重大课题。数字经济意味着数字化已经成 为经济发展的新动能，数字化转型则是各类社会经济实 体进入数字经济的主要途径。

01｜02
1.什么是数字化转型
中国数字经济的发展已经可以帮助我们认识到数字化转型的基本路径。2010年以来，物联网、云计算、 大数据、人工智能、移动互联网在各个行业带来了一道又一道的风口，但是这些技术究竟是如何影响着 我们的客户、企业的运营、企业的商业模式的？如何抓住这些新的机会趁势而上，打造数字经济时代的 新优势？ 我们认为，企业数字化转型就是企业借助数字化解决方案，将物联网、云计算、大数据、移动化、智能 化技术应用于企业，通过规划及实施商业模式转型、管理运营转型，为客户、企业和员工带来全新的数 字化价值提升，不断提升企业数字经济环境下的新型核心竞争能力。 今天的数字化转型是从昨天的互联网转型走来。互联网转型的基本出点是“连接”，数字化转型的基本 出发点是“虚实融合”、物理世界与信息世界的数字化融合正在改变制造、零售、金融、建筑和房地产 等行业，新制造、新零售、新金融、新服务等数字化的新产业生态正在加速形成。
数字化转型在企业的推行有五种基本类型，根据企业的数字化战略，企业可能选取其中一种或 多种数字化转型战略：
数字化营销转型：“两微一商”（微信、微博和电商）让数字化营销在中国企业中快速普及， 移动互联网和大数据成为数字化营销的重要创新利器； 数字化运营转型：以ERP为核心，包括CRM及SRM的数字化运营平台成为企业完善管理流 程、实现业务协作、提升决策透明度的重要基础； 数字化产品转型：数字化成为产品的新内核，远程连接、云体验和场景化体验给用户带来全新 的产品体验价值。数字化产品需要以产品全生命周期管理为理念，以数字化设计、数字化制造 为手段，加快产品创新速度，快速满足产品个性化定制需求； 数字化服务转型：基于物联网、大数据、云平台，实现产品远程连接、场景感知、需求预测、 远程诊断、主动服务，传统的响应型、低响应的服务需要加快向主动的、可预知的、实时感 知、快速适应的数字化服务转型。 数字化人才转型：数字化时代，需要实现流程、资产、设备与人员的数字化连接，亟需通过人 员赋能加快人员的数字化连接、协同、分析、决策能力，提升数字化时代人员的自治管理、自 主决策、自主经营、自我提升的能力。

注册个人信息保护专业人员白皮书.doc

谢谢观赏 注册个人信息保护专业人员 白皮书 发布日期：2019年 4 月 中国信息安全测评中心 中电数据服务有限公司

注册个人信息保护专业人员（CISP-PIP） 白皮书 咨询及索取 关于中国信息安全测评中心CISP-PIP考试相关信息，请与个人信息保护专业人员考试中心联系。 个人信息保护专业人员考试中心联系方式 【邮箱】xx 【地址】北京市海淀区知春路7号致真大厦C座14层 【邮编】100191 中电数据服务有限公司是中国电子信息产业集团有限公司旗下专注网络安全和人工智能，为国家重点行业、部门提供数据互联互通、数据安全管理及数据智能开放等服务的专业公司，以保障国家重要数据安全、推动行业大数据应用为己任。 2019年初，经中国信息安全测评中心授权，中电数据成立个人信息保护专业人员考试中心，开展注册个人信息保护专业人员（CISP-PIP）知识体系研发与维护、培训体系建立、考试中心组织管理、专项证书推广等工作。CISP-PIP是我国目前唯一的国家级个人信息保护专业人员资质评定。持证人员掌握国家网络安全顶层设计、网络安全体系结构、安全管理与工程、数据安全基础、个人信息安全规范、个人信息保护技术、个人信息保护实践、行业个人信息保护等知识，具备个人信息保护理论基础和实践能力，可在数据保护、信息审计、组织合规与风险管理等领域发挥专长，有效提升相关企业数据安全意识和保护能力，强化我国公民个人信息和国家重要数据安全保护水平。

目录 引言1 一、CISP-PIP知识体系结构2 二、CISP-PIP认证要求 3 三、CISP-PIP注册流程 3 四、CISP-PIP职业准则 4 五、CISP-PIP考生申请资料要求5 六、CISP-PIP收费标准 5 七、个人信息保护专业人员考试中心联系方式6

数据资产管理技术白皮书

数据资产管理技术白皮书

前言 党的十九大报告提出要“推动互联网、大数据、人工智能和实体 经济深度融合”，进一步突出了大数据作为国家基础性战略性资源的 重要地位，掌握丰富的高价值数据资源日益成为抢占未来发展主动权 的前提和保障。 数据是资产的概念已经成为行业共识。然而现实中，对数据资产的管理和应用往往还处于摸索阶段，数据资产管理面临诸多挑战。首先， 大部分企业和政府部门的数据基础还很薄弱，存在数据标准混乱、数据质 量层次不齐、各条块之间数据孤岛化严重等现象，阻碍了数据的共享应用。其次，受限于数据规模和数据源种类的丰富程度，多数企业的数据 应用刚刚起步，主要集中在精准营销，舆情感知和风险控制等有限场景，应用深度不够，应用空间亟待开拓。再次，由于数据的价值很难评估， 企业难以对数据的成本以及其对业务的贡献进行评估，从而难以像运营 有形资产一样管理数据资产。 国际上，1990 年以来，以国际数据管理协会（DAMA，Data Management Association International）、能力成熟度模型集成（CMMI，Capability Maturity Model Integration）为代表的组织机构长期从事数 据管理的研究，形成了一定的理论成果。在这些理论的指导下，我国金融、电信、能源、互联网等信息化较为先进的行业，已经积累了丰富的 数据资产管理经验。这些经验的总结对于补充完善数据管理理论体系、 推进数据资产管理在各个行业的普及和发展有着重要意义。 为了促进数据资产管理的研究，我们组织编写了《数据资产管理

实践白皮书》。本白皮书分为四大部分：第一部分介绍了数据资产管理 的概述及变革中的数据资产管理呈现出来的特征趋势；第二部分从实践 角度出发阐述了数据资产管理的主要内容；第三部分重点介绍了数据资 产管理的实施步骤、实践模式、技术工具和成功要素；最后结合实践经验，介绍了电信、金融、政务、医疗和工业等相关领域的数据资产管理 案例。本白皮书在《数据资产管理实践白皮书3.0》的基础上，以全面 盘点数据资产、不断提升数据质量、实现数据互联互通、提高数据获取效率、保障数据安全合规、数据价值持续释放等角度，通过权威数据和典型事件，生动剖析了数据资产管理的重点内容和目标。在原有管理职能的 介绍下，尝试说明数据资产化管理的关键活动步骤，并在实施步骤方面，增加了各实施阶段的具体输出物，并增加了“数据价值管理工具”和“数 据服务管理工具”，更好的指导企业搭建数据资产管理平台，开展数据 资产管理相关工作。 本白皮书可以为政府和企业开展数据资产管理工作提供参考，也 可以作为相关产品和服务提供商的参考依据。由于时间仓促，水平所 限，我们的工作还有很多不足。下一步，我们还将广泛采纳各方面意见 建议，进一步深化相关研究，持续完善白皮书内容，在已有版本的基础上，适时修订发布新版。我们诚邀各界专家学者参与我们的研究工作， 积极献言献策，共同完善国内数据资产管理理论和方法论体系，为促 进大数据与实体经济深度融合做出积极贡献。

《数字政府白皮书——AI时代的数字政府发展指引》(PPT全文详解)

《数字政府白皮书——AI时代的数字政府发展指引》（PPT 全文详解） 数据观获悉，近日，在“2017互联网+智慧中国年会”——数字政府与互联网+政务服务论坛上，国脉研究院副院长金婧发表了在数字政府领域的研究成果《数字政府白皮书——AI时代的数字政府发展指引》报告，以下为详情（实录系根据现场速记和录音整理，未经本人审核）。金婧：今天我的主题是《AI时代的数字政府发展指引》。最近大家一直在谈论数字政府，那么数字化概念对大家来说已经不陌生了。从1998年美国前副总统艾伯特·戈尔提出“数字地球”的概念之后，数字国家、数字城市、数字社区等概念都出来了，世界各国将数字治理提升为国家治理，乃至全球治理的战略层面。通过这样一组数据，我们也可以看到近几年在人工智能、共享经济、公益方面出现了很多值得关注的变化。生产关系和社会关系实际上也在经历着数字化洗礼、网络化重塑和分权化再造，这种情况下我们政府治理模式也进入了新的历史阶段。国脉对于数字政府相关研究主要是从基本内涵与表现特征、发展模式与实践案例、评价体系和未来展望这三方面展开的。今天时间有限我就其中观点和要点与大家分享。 一、基本内涵与表现特征

▊信息社会具有一体化、社会联动性高、复杂不确定性的特征，这种背景下需要从三个维度来理解数字政府：○数字政府是一种不断演进的政府形态 在不同的技术条件、需求阶段、社会响应趋势下，其所表现出来的特色、价值和影响等均不一样，本质上，数字政府是在web2.0技术、移动互联网和人工智能不同技术的作用下，不同服务模式的驱动与用户需求的倒逼下，逐渐生成的政府新形态。 ○数字政府是一种数据驱动的组织范式 本质是数据驱动，无论是治理精细化、服务个性化，其背后是对数据价值的挖掘与运营，作为数据驱动的组织，数据作为一种资产、能源和组织灵魂与依归，电子政府、网络政府、智能政府等都是不同的数据价值爆发阶段对数字政府的再 定义。 ○数字政府是一种社会创新的开源平台 数字政府的终极模式是公民社会的成熟与自组织，主动参与政府事务并分担责任贡献力量解决问题，类似于Appstore的应用市场模式将出现，政府以开源平台模式呈现自身能力与资源，为社会创新力量提供二次创新与开发的基础资源。通过数字政府演进路线图可以直观看到以2013年大数据为基点，所有应用、设备、需求都出现爆发式增长和转变，数字化形态也从信息数字化到业务数字化再到组织数字化转变，