2021數據安全治理論壇暨《數據安全治理能力評估方法》團體標準發布會5月20日在北京舉行，會議由中國互聯網協會和中國信息通信研究院（以下簡稱“中國信通院”）聯合主辦。為全面、準確、客觀度量企業數據安全治理能力，指導企業落實數據安全治理主體責任，促進全行業數據安全保護水平持續提升。

中國互聯網協會制定了《數據安全治理能力評估方法》團體標準（以下簡稱“標準”）。中國信通院依據該標準開展了對標、貫標工作，在會上介紹首批評估狀況，百度等5家單位通過嚴格規范的數據安全治理能力評估和專家評審后，榮獲優秀級的數據安全治理能力證書。

隨著數據要素市場的培育以及數字經濟的發展，數據安全事關國家安全和經濟社會發展，提升數據安全治理能力是企業在新形勢下需要著力解決的突出問題。工業和信息化部高度重視數據安全工作，2019年工信部率先在行業內部署開展了提升網絡數據安全保護能力專項行動，2020年底工信部印發了《電信和互聯網行業數據安全標準體系建設指南》，為行業數據安全水平提升奠定了堅實基礎。

在此基礎上，網安局指導中國互聯網協會組織編寫了《數據安全治理能力評估方法》標準，為企業數據安全建設提供了具體的操作指南和度量準則。建議全行業要進一步提高政治站位，加快數據安全綜合保障能力建設，在全行業形成提升數據安全治理能力的氛圍。

為此，中國信通院以“準確度量企業的數據安全治理能力現狀，合理規劃數據安全治理能力提升路徑”為目標，推出了國內首個市場化的“數據安全治理能力評估”（以下簡稱“DSG評估”）項目。DSG評估為企業建設、度量、改進自身的數據安全治理體系提供了方法論和操作指南。

DSG評估作為一套方法論體系，可以用于企業的數據安全治理體系建設參考；作為一套度量準則，可以用于考察企業的數據安全治理能力現狀；作為一套改進指南，可以用于指導企業從組織、制度、技術、人員等方面有目標、有路徑、分階段的能力提升。

其評估框架共包括數據安全戰略、數據全生命周期安全、基礎安全三部分，數據安全戰略包括數據安全規劃和機構人員管理兩個能力項，主要考慮從企業的頂層規劃方面提出要求，為數據安全治理能力的建設搭框架、配人手；

數據全生命周期安全包括數據采集安全、數據傳輸安全、存儲安全、數據備份與恢復、使用安全、數據處理環境安全、數據內部共享安全、數據外部共享安全、數據銷毀安全在內的九個能力項，通過對數據全流轉過程進行規范和約束以有效降低數據安全風險；

基礎安全包括數據分類分級、合規管理、合作方管理、監控審計、鑒別與訪問、風險和需求分析、安全事件應急等七個能力項，主要從數據安全的保障措施上進行定義和要求。百度在這次評估中，展現出了全業務流程的安全治理能力及技術實施手段，因而獲得了優秀級的評估。

百度在數據安全上以“軟硬兼施”的數據安全管理理念，在基于MPC、TEE、FL和DP 等技術的多方聯合計算平臺，為跨機構數據流通提供“可用不可見，相逢不相識”的極致安全體驗；在基于密碼學方案實現“數據不出域”的情況下進行聯合計算/建模；

在基于權限訪問控制、數據脫敏/抽樣等技術，實現“數據看得見拿不走”的情況下，使數據擁有方單向開放數據給數據處理方。綜合而言，百度憑借兼容各場景的部署能力，用多種安全計算模式保障客戶數據安全，提供全面豐富的安全建模能力，助力政務、金融、醫療、教育、互聯網、零售、電商等行業實現業務上的數據創新。

此外，DSG評估聚焦數據安全，提供明確的評估方法，實操性強，并且緊跟立法要求和技術趨勢，通過市場化的DSG評估，可以促進行業自下而上的向好發展。從行業的角度，通過DSG評估可以詳細了解行業數據安全治理能力發展現狀，數據安全治理工作需要全行業聯手，從推進標準體系建設、促進企業監管制度確立、明確技術管理方式、推進第三方評估評測等方面進行共同建設，以期實現數據安全迫切需要，才能保障數據業務快速發展。

編輯：jq