数据安全风险概论 

按照工业和信息化部发布的《工业和信息化领域数据安全风险信息报送与共享工作指引(试行)（征求意见稿）》，数据安全风险信息是指通过多种手段，如检测、评估、信息搜集以及授权监测等获得的信息，其中包括但不限于数据泄露、数据篡改、数据滥用、违规传输、非法访问、流量异常等多样化的数据安全风险。这些风险种类繁多，呈现出多层次和多维度的特点。根据相关指标计算，可以将数据安全风险分为高危、中危和低危三个级别，这有助于更好地理解和评估不同风险的严重性。

据国际数据公司（IDC）的测算，预计到2025年，我国产生的数据总量将达到惊人的48.6 ZB，占全球数据总量的27.8%。这一庞大的数据基础意味着，我们需要采取切实可行的措施来保护数据的流通和隐私安全，同时也需要深度挖掘这些数据的潜在价值。

在如此庞大的数据生态系统中，数据安全已经成为关乎国家安全、经济发展和社会稳定的关键问题。随着数据的快速增长，政府需要制定更加严格的数据安全政策和法规，加强监管和执法力度，确保数据不会被滥用或泄露。同时，相关单位也需要不断发展和应用先进的数据安全技术，以确保数据的完整性和可用性。只有这样，才能充分发挥数据的潜力，推动数字经济的持续增长，同时保护个人和组织的权益。

数据安全应对策略

为了有效防范和及时应对数据安全风险和威胁，维护国家安全、社会公共利益，以及保护个人和集体的合法权益，必须采取一系列有力措施。这些措施将有助于构筑坚实的数据安全防线，使我国能够在数据安全领域下好风险研判的“先手棋”，并且通过制度规范的“安全锁”来确保安全。为了实现这一目标，政府需要建立完备的配套精细化监管体系，确保规范清晰的责任体系的有效运行。这样一来，将能够实现数据安全和数据应用之间的双翼驱动，促进数据的安全和合理应用。

1.坚持统筹规划，健全数据安全监管制度体系

为了更好地实施数据安全措施，政府需要根据不同地区和不同时期的实际情况，制定适合的数据安全分类分级指南和保护目录。这种因地制宜、因时制宜的方法可以确保数据安全政策更贴近实际需求。数据分类是数据资产管理的基础，无论是对数据资产进行编目、标准化，还是确权、管理，或提供数据资产服务，都需要有效的数据分类作为首要任务。数据分类可以从业务角度或数据管理的角度建立多维度、多层次的模型，例如行业维度、业务领域维度、数据来源维度、共享维度、数据开放维度等，这将有助于系统化管理拥有相同属性或特征的数据，同时根据数据的属性和特点制定规范化的管理指南和目录。此外，应根据网络安全运行的需求动态调整这些指南和目录，以适应不断变化的威胁和技术发展。

另一个关键举措是实施数据安全备案管理。我国目前采用“一轴两翼多级”的网络安全监管体系，而《中华人民共和国数据安全法》延续了这一管理理念。例如，天津市已发布《天津市数据安全管理办法（暂行）》，并全面推行数据安全备案管理制度。湖北省发布了《湖北省数据安全风险评估机构备案管理办法（试行）》，积极推进数据安全风险评估机构备案工作。湖南省则印发了《湖南省工业领域数据安全管理试点工作方案》，旨在建立全省工业领域的数据安全分类分级管理体系，包括建立健全工业领域的数据安全备案管理、风险监测、事件通报响应、考核激励等工作机制，编制相关省级标准和规范，并不断更新和完善这些措施。

此外，为了更好地保护数据信息，需要畅通的数据信息保护投诉举报渠道。这将有助于发挥多方合作的力量，确保政府、机构和公众都能参与到立体化的数据保护机制中，从而更好地维护数据安全和个人隐私。

2.政府引导：优化数据安全协同处置机制

（1）建立数据安全监管协作机制

数据安全监督检查机制是确保数据在收集、存储、传输和处理等环节中遵守规范和保持安全性的重要工具。这一机制的建立可以推动数据管理工作的科学化和规范化，确保数据在各个阶段都得到妥善处理。为了更好地实现这一目标，应加快构建政府、企业和社会多方协同治理模式，强化分行业、跨部门和跨领域的数据监管机制，同时建立数据安全事件的应急协调指挥机制，以协同合作的方式推动数据产业的发展，整合各个领域的资源力量，形成协作合力。数据安全监督检查机制可以采用多种手段，包括规章制度约束、监管机构设立、技术手段应用创新以及引入第三方评估机构等，以确保数据的安全性和合规性。

（2）明确数据安全治理责任机制

在数据安全治理中，明确的责任机制非常重要。这包括明确数据安全评估、防护、培训、宣传、应急响应等方面的工作要求，并建立多级多部门的审核通道。此外，需要常态化地进行专项检查，以确保数据安全措施的有效实施。强化追责问责机制也是关键，以确保各级部门对数据安全承担管理责任。只有通过明确的责任机制，才能有效地管理和维护数据安全。

（3）加大人才队伍建设

为了更好地应对不断演变的数据安全挑战，需要支持引进和培育数据治理领域的产业领军人才和专业技术人才。这些人才可以结合实际应用，开展领域专业化研究，并提供资金、技术和环境等后备支持。通过加强人才队伍建设，可以不断提升数据安全治理的水平，确保数据得到有效保护和管理。

这些措施和机制将有助于更加充实和全面地管理和维护数据安全，以应对不断增长的数据安全挑战。同时，它们也有助于促进数据的安全流通和充分利用，推动数字化和智能化进程。

3.提升数据安全治理能力：满足需求，引领发展

（1）加强数据安全意识教育

为了提高公众对数据安全的认知和重视程度，需要进行广泛的数据安全意识教育。这包括增强全民国家安全意识和素养，以及激发人民群众的“群防群治”功能。倡导“人人普及、人人关心、人人预防、人人参与”的积极社会氛围，共同打造全民防范的保障体系。通过教育和宣传，可以使每个人都意识到数据安全的重要性，从而更好地保护个人和组织的数据。

（2）扩大数据泄露治理广度和深度

为了应对不断增加的数据泄露风险，需要加大对数据安全监督检查工作的投入，强化对违法行为的打击力度，以促进数据安全监管和执法工作的有效实施。此外，应严格遵守最小、必要原则，依法合规地处理敏感个人信息，确保数据采集不过度，以减少潜在的泄露风险。整合现有的网络安全监测手段，扩展对关键基础设施和个人敏感数据泄露治理的广度和深度，以实现数据泄露事件的全链条跟踪和全闭环处置。

（3）加强技术手段的研发和应用

为了更好地保护数据，需要规范化运用各种数据安全措施，包括数据分类、重要数据备份和加密等。此外，应探索实施核心敏感数据的异地容灾备份，以确保在遭受网络攻击等事件时能够迅速恢复数据。还应加强防范计算机病毒、网络攻击和网络侵入等危害网络安全的技术手段研发，不断提高网络安全防护技能。通过技术手段的不断提升，可以有效减少数据泄露和网络攻击的风险。

结语

综上所述，数据安全不仅关系到国家的核心利益和社会的稳定发展，也直接影响到个人和组织的合法权益。随着数据规模的不断扩大，数据安全问题呈现出多样性和复杂性，需要综合性、多层次的应对措施。在这一背景下，笔者提出了一系列建议，包括建立数据安全监管协作机制、明确数据安全治理责任机制、加强人才队伍建设、加强数据安全意识教育、扩大数据泄露治理广度深度、加强技术手段的研发和应用等。为了实现数据安全和数字化、智能化进程的双翼驱动，需要政府、企业、社会各界的共同努力，不断创新和完善数据安全治理体系，以确保数据得到有效保护和合理应用，推动我国数字化、智能化事业的蓬勃发展。只有这样，我们才能迎接数字时代的挑战，实现更加安全、繁荣和可持续地发展。

来源：《网络安全和信息化》杂志

作者：国家计算机网络应急技术协调处理中心宁夏分中心  王惠惠  王涛