电信和互联网行业数据安全治理白皮书

技术白皮书 电信和互联网行业 数据安全治理白皮书 （2020 年） 中国软件评测中心·网络空间安全测评工程技术中心 2020 年 7 月 版权声明 本白皮书版权属于中国软件评测中心，并受法律保护，转载、摘编或利用其他方式使用本白皮书文字或观点的，应注明“来源：中国软件评测中心”，违反上述说明的，本单位将追究其相关法律责任。 编写指导：安 晖 唐 刚 编写小组：白利芳 朱信铭 王 涛 王翔宇 张嘉欢 张德馨 黄 峥 宁黄江 李杺恬 目 录 前 言 ................................................... 1 一、概述 ................................................. 3 1.1.概念及内涵 ....................................... 3 1.1.1.数据治理概念分析 ........................... 3 1.1.2.数据安全治理理念 ........................... 5 1.2.行业数据主要分类 ................................. 6 1.2.1.基于行业特点划分 ........................... 6 1.2.2.基于服务对象划分 ........................... 7 1.3.行业数据典型应用 ................................. 8 1.3.1.行业数据主要应用类型 ....................... 8 1.3.2.行业数据典型应用案例 ...................... 10 二、电信和互联网行业数据安全发展形势 .................... 11 2.1.行业数据安全总体形势 ............................ 11 2.1.1.事件影响范围不断扩大 ...................... 11 2.1.2.风险危害程度日趋严重 ...................... 12 2.1.3.安全治理难度持续升级 ...................... 13 2.2.行业数据安全主要风险 ............................ 13 2.2.1.互联网暴露面问题突出 ...................... 13 2.2.2.数据不可控性明显增加 ...................... 14 2.2.3.数据安全管理体系不完善 .................... 14 三、电信和互联网行业数据安全治理环境 .................... 15 3.1.国际数据安全治理环境 ............................ 15 3.1.1.欧盟密集立法深刻影响全球治理格局 .......... 15 3.1.2.美国多点立法捍卫其多元化社会利益 .......... 17 3.1.3.国际数据治理情绪高涨配套动作频繁 .......... 18 3.2.国内数据安全治理环境 ............................ 20 3.2.1.国内政策多头并进迎来治理新格局 ............ 20 3.2.2.国内数据治理标准化进展领先国际 ............ 23 四、电信和互联网行业数据安全治理需求 .................... 24 4.1.国内外政策形势紧迫 .............................. 24 4.2.安全和发展双重驱动 .............................. 25 4.3.数据拥有者权益期待 .............................. 26 五、电信和互联网行业数据安全治理实践 .................... 27 5.1.国外典型实践案例 ................................ 27 5.1.1.微软之 DGPC 框架 ........................... 27 5.1.2.Gartner 之 DSG 框架 ........................ 28 5.2.国内典型实践案例 ................................ 29 5.2.1.监管层主要实践 ............................ 29 5.2.2.企业层实践案例 ............................ 31 5.3.国内外实践对比 .................................. 34 5.3.1.国外标志性实践 ............................ 34 5.3.2.国内标志性实践 ............................ 35 5.4.行业实践问题分析 ................................ 35 5.4.1.企业顶层驱动力不足 ........................ 35 5.4.2.“网元”模式待升级 ........................ 36 5.4.3.缺乏用户侧权益考量 ........................ 36 六、电信和互联网行业数据安全治理框架 .................... 36 6.1.数据安全治理层 .................................. 37 6.2.数据安全管理层 .................................. 37 6.3.数据安全执行层 .................................. 38 6.4.数据安全监督层 .............