潘蓉 - 数据安全治理与认证

1 . 数据安全治理与认证 演讲人：潘蓉 2019 中国数据智能管理峰会 

2 .议题 • 数据治理态势与驱动力 • 数据安全治理的框架与模型 ---数据治理国际标准ISO38505-1的运用 • 数据治理与数据中台 • 数据安全治理案例展示 • 数据治理认证介绍 2019 中国数据智能管理峰会 

3 . 数据治理态势与 驱动力 Copyright © 2017 BSI. All rights reserved 22/07/2019 3 2019 中国数据智能管理峰会 

4 . 对数据的控制是数字时代全球治理的重要话题 也成了新的地缘主义工具 工业时代 数字时代 物流—关税，海关，贸易策略 数据的流动---出境管理，隐私保护， 资金流---币种，汇率 关键基础设施信息保护 人流---护照，大使馆，海关 知识产权出口控制 日本 Adequacy decision（充分性） 无缝跨地区数据传输 2019 中国数据智能管理峰会 

5 . 基于信任的数据自由流通 和以人为本的人工智能 全球数据治理成为G20大阪峰会的中心议题 安倍表示，“我希望G20大阪峰会因启动全球数据治理而被人们长久铭记。” • 个人权益的保护（人权） • 非个人数据的流通（重要数据跨境） 2019 中国数据智能管理峰会 

6 .2019 中国数据智能管理峰会 

7 . 数据安全治理的 框架与模型 Copyright © 2017 BSI. All rights reserved 22/07/2019 7 2019 中国数据智能管理峰会 

8 .治理相关标准和概念 –治理与管理 治理 管理 治理活动 定义与含义 管理的管理 责任机构 治理层，如董事会 管理层，如CEO 主要活动 EDM PDCA 管理活动 评估指导监督 策划执行检查改进 输出物 战略，原则，方针 方针、标准、流程、 程序操作指导 业务活动 责任 价值与风险 绩效达成与操作风 险控制 22/07/2019 Copyright © 2017 BSI. All rights reserved 8 2019 中国数据智能管理峰会 

9 .基于ISO 38505-1概念下的大数据治理框架 ---- 数据安全治理框架协同应用 基于信任的流通 以人为本的人工智能 22/07/2019 Copyright © 2017 BSI. All rights reserved 9 2019 中国数据智能管理峰会 

10 .基于国际标准的数据安全治理模型和流程 —ISO 38505-1的应用 E 评估 D决策 M 监督 C沟通 A 审计 Governance GE安全始于设计， DE 风险偏好 GM 安全计划实施有 GC GA 治理层 业务考虑安全 容忍度 效性 安全的沟通 安全审计 变革的安全 安全策略 内外部期望达成 外部及监管机构 …… 安全的投资 变革安全监督 Management ME发起安全项目 MD安全目标 MM设计一套监控指 MC提请GB注意事项 MA支持审计 管理层 支持业务目标 风险与隐私影响评估 标 事件响应与内外部沟通 …… 数据分级分类指南 触发警示 采集与使用的透明告知 数据生命周期管理 内部意识文化的建立 数据安全架构管理 …… 数据共享分包管理…… Technical TE战略及项目管 TD风险管理工具 TM检查工具 TC沟通渠道工具 TA审计工具 技术层 理工具 识别打标敏感数据工具 威胁模型与告警 …… …… 生命周期阶段管理工具 事件监控工具 架构设计工具 Dashboard 数据共享平台API 日志分析工具 身份认证工具 …. 数据中台 …… People PE安全意识 PD风险管理 PM监督及证据留存 PC沟通能力 PA审计及保留证 人员 法规 投资决策 应急事件 据 22/07/2019 Copyright © 2017 BSI. All rights reserved 10 2019 中国数据智能管理峰会 

11 . 数据治理 Copyright © 2017 BSI. All rights reserved 22/07/2019 11 2019 中国数据智能管理峰会 

12 .数据治理是数据中台的基础 前台 快速响应 Data API 数据服务 后台 基础稳定 摘自《大数据治理与服务》 2019 中国数据智能管理峰会 

13 . 数据治理认证 Copyright © 2017 BSI. All rights reserved 22/07/2019 13 2019 中国数据智能管理峰会 

14 . 认证 ----标准指导 统一度量 横向可比 金融 制造 互联网 合规驱动 产品数据 用户画像 用户挖据 设备数据 技术第一 征信风控 用户数据 成本生命线 非一次性项目，是持久运营工作，通过认证年审督促数据治理的持续符合 22/07/2019 Copyright © 2017 BSI. All rights reserved 14 2019 中国数据智能管理峰会 

15 . 认证----传递信任，遵从展示 数据安全 数据质量 数据共享 体检证 信用证 通行证 安全始于设计 垃圾进垃圾出 数据合法利用不滥用 自由流通不随意流通 向主管与监管机构提供数据治理实施的符合性记录 22/07/2019 Copyright © 2017 BSI. All rights reserved 15 2019 中国数据智能管理峰会 

16 . 认证----国际通行证书，品牌价值提升 • 截至 2016年底的ISO调查显示全球对认证的需求上升强劲 • 相比2015年ISO27001增长了20.9%，业务连续增长了23% • 信息安全： BSI占有世界范围内ISＯ２７００１的４１．５％ 市场 • 业务连续性：BSI占有世界范围内ISO２２３１０的８１.４％市 场 • IT服务管理：BSI占有世界范围内ISO２００００的２４.４％市 场 • 云安全领域BSI最早与CSA（云安全联盟）合作，将其经验转换 为认证标准， • 国内的阿里、百度、腾讯、华为、国外的微软Azure、office 365, Apple、Cisco、花旗、汇丰等都选择BSI认证服务。 22/07/2019 Copyright © 2017 BSI. All rights reserved 16 2019 中国数据智能管理峰会 

17 . 数据治理认证 做什么 Copyright © 2017 BSI. All rights reserved 22/07/2019 17 2019 中国数据智能管理峰会 

18 .数据治理系列认证与服务 数据治理 ISO38505-1 审核准则与依据： 价值 风险 约束 红色部分为必选，其 信息安全 他为组织实际业务情 支付卡数据安全 GB/T34960.5 ISO27001 PCI DSS 况可选 流通、服务、洞察 云安全 健康数据安全 标准、质量、元数据 ISO27017 HIPAA 生命周期、数据安全 GDPR 个人信息安全 BS10012 ISO20000/8000 ISO29100 服务/数据质量管理 27018/29151 中国网络安全法 22/07/2019 1 8 2019 中国数据智能管理峰会 

19 .• 数据治理认证为了证实企业数据治理组织已经建立，组 织战略覆盖了数据战略，组织考虑了数据的价值、风险 与合规的要求。 • 数据治理认证像其他体系认证一样需要确认认证的范围， 从业务、组织、地点等维度确认认证证书的范围 • 组织可以有质量管理、GB\T34960.5附录提及的其他管 理机制落地实施不同的治理域，但是数据安全方面，数 据治理认证必须基于ISO27001证书基础上实施，即需要 依靠一套管理的机制来落地管理层的流程与实施监督改 进，确保数据风险按照组织策略得以控制。 1 Copyright © 2017 BSI. All rights reserved 9 22/07/2019 2019 中国数据智能管理峰会 

20 . 2 Copyright © 2017 BSI. All rights reserved 0 22/07/2019 2019 中国数据智能管理峰会 

21 .数据治理 审核要点 数据治理机构、职责，数据战略，数据管理与服务流程，数据价值绩 效，数据治理环境与人员技能 数据治理域的审核可选数据标准，数据架构，元数据管理，数据质量， 数据安全，数据共享，数据服务，数据洞察等 E D M P A D C 2019 中国数据智能管理峰会 

22 .• 其他管理模块的介绍 （根据组织业务实际，叠加为组织的实施和认证依 据） • ISO27017: 云安全管理 • ISO29100：个人信息保护原则 • ISO2718：公有云个人信息保护， 微软云，百度腾讯等已获得此证书 • BS 10012：世界上唯一一个与GDPR一致的标准，SAP已获得此认证 • GDPR: 欧盟个人数据保护法案，BSI提供培训，实施与评估验证服务 • PCI DSS： 支付卡数据安全标准，BSI提供培训与评估服务，华为、花旗 等通过此评估 • HIPAA： 美国个人健康数据保护法案，Accenture等在27001基础上通过 此评估 2 Copyright © 2017 BSI. All rights reserved 2 22/07/2019 2019 中国数据智能管理峰会 

23 . 如何做 数据治理认证 Copyright © 2017 BSI. All rights reserved 22/07/2019 23 2019 中国数据智能管理峰会 

24 . 组织申请 初次认证 年度监督评审 三年重审 •组织根据实施情 •BSI评估组织准备 •组织获得证书后， 况，确定认证范 情况接受申请 须有一套管理流 围包括业务（产 •实施第一阶段文 程确保战略的落 品或服务）、组 件评审，查看相 地，确保治理层 织、地点、人数 关策略文件是否 的监督执行，确 填写申请表向BSI 覆盖标准要求 保发现问题的改 提出认证申请 •实施第二阶段评 正，确保风险与 审 查看执行记录 价值的持续该进， 与现场操作，确 每年BSI会进行外 定是否满足认证 部审核， 三年全 标准与依据 年重新审核，满 足要求换发新的 •若没有严重不符 证书 合项目，经过BSI 内部报告评审流 程，准予发放 •组织可以变更证 ISO38505-1 数据 书范围，比如扩 治理证书 充产品线，管理 域等 2 Copyright © 2017 BSI. All rights reserved 4 22/07/2019 2019 中国数据智能管理峰会 

25 . ISO 38505-1 介绍 Copyright © 2017 BSI. All rights reserved 22/07/2019 25 2019 中国数据智能管理峰会 

26 .How ： ISO38505-1 面向董事会的大数据治理工具 ISO38505-1 标准通过模型和原则 定义了 3大任务6项原则18个子任务 价值实现 环 境 促 成 运营合规 治理主体 风险可控 要 素 评估 文 化 指导 监督 人 战 方 绩 员 略 案 效 技 和 和 性和 术 方 规 符 针 划 合 数据管理体系 数据价值实现 将成为公司治理的评估维度 26 2019 中国数据智能管理峰会 

27 .治理相关标准和概念 –大数据时代的数据治理 • 价值实现 • 环 大数据环境下，数据资产 境 概 促 运营合规 治理主体 风险可控 • 成 评估 念得到确认，如何使用和 要 运 素 指导 监督 • 文 战 方 绩 作该项资产，成为大数据 略 案 效 化 和 和 和 • 人 方 规 符 合 治理区别与传统将数据仅 划 员 针 性 技 • 术 数据管理体系 PDCA 数据价值实现 作为控制对象看的管理域。 2019 中国数据智能管理峰会 

28 .Rose PAN 潘蓉 ISO/IECSC40 注册专家 国家电投大数据中心特聘专家 人行培训中心金融数据治理特聘专家 国家开发银行专家委员会成员 ISO 38505-1 :2017 数据治理推动与核心撰写者GB/T GB/T34960.5-2018 数据治理规范 撰写人 十二五重点图书《大数据治理与服务》作者 2004年中国首届“十大IT女性”（中国计算机、工 信部与妇女联合会）获得者 英国标准协会亚太区首席标准专家 中国区ICT技术总监 2019 中国数据智能管理峰会 

29 . THANK YOU ! 2019 中国数据智能管理峰会