数据安全工作组

首页 > 研究 > 工作组 > 数据安全工作组

工作组简介

数字经济已经成为21世纪世界经济发展的新动力，当数据无所不在的为经济发展和生活带来极大便捷的同时，数据安全问题也给各类组织和个人带来了不同程度的影响和损失，成为不能回避的巨大挑战。国家立法与行业监管也在持续不断地加强数据安全领域的立法和监管力度。

为了更好的应对数据安全的挑战，为各类组织提供合理的数据安全应对措施，并有效遵从法律法规及监管要求，进一步培养该领域的专业人才，云安全联盟大中华区于2019年成立了数据安全工作组。

本工作组系统性梳理监管要求、行业需求和用户诉求，形成数据安全合规指南、需求基线；定义数据安全基础体系、总体框架、数据安全模型；面向未来演进，前瞻性储备数据安全和隐私保护关键技术；打通产学研，为标准和行业生态、数据安全解决方案、技术研究与落地、安全人才培养构筑能力。

工作组专家来自国家信息中心、国家工业信息安全发展研究中心、中国软件测评中心、北京邮电大学、华为、腾讯、OPPO、阿里云、奇安信、顺丰、金山云、天融信、绿盟、京东尚科、赛宝、IBM、安恒信息、BSI、山石网科、蚂蚁金服、滴滴出行、中国电信、中宇万通、吉大正元、凯捷等单位。

工作组组长简介

王安宇，19年ICT（信息与通信产业）工作经验，15年技术管理和团队管理经验。曾主持设计某知名通信厂商智能终端、4G/5G基站、统一云平台PaaS的数据安全体系架构。出版过3本行业专著，拥有15+项ICT领域的发明专利。中国矿业大学管理学院研究生导师（兼）。 IEEE移动网络、车联网、物联网等TPC专家：IEEE ICC 2019、IEEE/ISO/IEC P21451。 CSA GCR专家组专家。 TC260国标/AIIA/上海人工智能专委会专家。 IAPP认证隐私技术专家（CIPT）。现任职OPPO终端安全总监 & 安全工程部部长。

工作组专题小组简介

云计算数据安全专题组
负责人：于继万，王亮

云计算作为数字化转型的重要基础设施，已经由“面向云迁移应用”的阶段演进到“面向云构建应用”的阶段，即由“以资源为中心”的资源服务演进到“以应用为中心”的云原生基础设施阶段。
当前针对计算的有混合云、边缘云、多云等多种计算架构，针对数据处理的有数据底座、数据湖、数据中台等多种应用架构。云数据安全同时要解决这两个视角下的安全诉求，这里面除了要满足传统的数据分类分级的生命周期治理诉求外，一些云计算特有的数据安全挑战也急需解决，比如云中数据在不同云服务之间流转其位置怎么达到透明性要求？怎么满足不同利益相关方的权利？服务提供商和租户在数据管理上责任和权限边界在哪？不同层次的加密诉求解决哪些安全风险？传统的一些数据安全服务怎么适应云计算环境？一些新的数据安全技术当前在云计算中落地有什么建议？等等。
我们云计算数据安全工作组成立的目的就是要联合业界一起分析其中的挑战，给出挑战的解决方案建议，解决落地需要的技术、最佳实践、标准以及建议的路标等，持续提升行业云计算数据安全的能力，满足行业诉求。

个人数据保护专题组

负责人：高巍

随着移动互联网、物联网、云计算与大数据技术的快速应用，个人数据被广泛的收集和使用。这极大地便利了消费者的日常生活，也推动了数字经济的发展。
另一方面，各类对个人数据的侵犯行为也是不可忽视的问题，窃取个人信息、滥用、泄露甚至是兜售获利的违法事件屡见报端。这些行为往往与黑灰产联系在一起，不仅侵害了每个人的利益，还会造成经济甚至生命的损失。
与此同时，以GDPR为代表，多个国家地区和行业组织都制定了关于数据安全和隐私保护的法律法规与行业标准，监管要求日益严格。企业面临诸多合规压力。
面对这些挑战，个人数据保护安全工作组在以下三个方面开展工作：

为个人提供建议和指导以更好地保护个人数据安全，降低被侵犯个人信息与隐私的风险。
为各类组织提供用户数据保护的方法论和实践参考，提高个人数据保护的意识和能力，降低合规风险。
为相关人员提供体系化的课程培训与认证，增强专业人员技能，推动个人数据保护社区建设，提高各领域的个人数据保护水平。

数据安全治理专题组

负责人：潘蓉，高林杰

数字经济时代，数据成为生产要素，在数据安全是数据共享、交换、合理使用的前提条件，是数据发挥价值的基础保障。随着数据种类丰富，应用场景增多，使用范围扩大，数据安全的控制、管理的环节越来越多，随着参与的角色除了机器设备，还有人，人的权力的保护等隐私合规的要求，都对数据安全从治理，管理到技术提出了挑战。
我们工作小组拟与业界同仁一起编制一份CSA的数据安全治理的标准，希望此标准可以帮助组织树立符合伦理的数据文化，指导组织实施和监督改进其数据安全水平，保护组织知识产权，服务、市场和业务的创新；能够提供可靠的共享数据；运作数据资产减少不利和意外后果，提高公众信任。
本标准明确数据安全治理与数据治理，信息安全，隐私保护之间的关系，界定数据安全治理的目标、范围，提出数据安全治理的框架、模型、方法论，从治理域到管理域，技术工具域列出业界实践的要求，并力图和现有的标准、法规做出映射，便于标准的使用。同时也会就依据标准提供独立的认证、验证机制提出方案。

目的（背景和目的）
范围（标准应用范围）
术语（数据安全治理，及相关的技术术语）
数据安全治理框架、模型
数据安全治理域
数据安全管理域
数据安全治理技术
数据安全治理成熟度
数据安全治理实施路径

大数据安全专题组

负责人：胡向亮、鹿淑煜

大数据技术目前在各行各业得到广泛应用，人们在享受着大数据带来的快捷和便利的同时，也面临着诸多的安全与隐私问题。大数据的技术特性所导致的数据泄露和分析失效等事件屡见不鲜，如何确保大数据安全性与如何有效的进行隐私保护成为目前的研究热点。
以大数据计算为基础的人工智能技术、云计算、雾计算、边缘计算等计算模式下的大数据处理技术，在给经济发展带来巨大推动的同时，也面临着巨大的安全风险。

针对大数据时代下面临的这些挑战，大数据安全工作组将围绕以下三个方面开展工作：
1. 密码技术及测评是解决大数据安全的核心技术，大数据的机密性、认证性及隐私保护问题需要解决海量数据的高速加解密问题；高并发的大规模用户认证问题；大数据的隐私保护及密态计算问题等。
2. 通过区块链技术和全同态加密技术结合，确保个人数据的隐私安全、数据授权分发和安全传输的目标。
3. 大数据技术不仅支持业务创新，也要支持防控风险，通过利用创新技术升级完善监管体系，推进数据信息共享，打破数据割裂风险，同时推动联盟、监管部门与互联网技术企业加强密切合作。

加入工作组

已发布成果

《数据安全术语表》

《数据安全术语表》分为数据安全基本概念、数据安全生命周期、数据安全技术、数据安全治理、隐私保护五个部分，由十位专家历时三个月时间编纂完成。

查看详细

《公认隐私原则》

公认隐私原则(GAPP)是从商业角度制定的，参考了一些(但绝不是所有)重要的地方、国家和国际隐私法规。GAPP 将复杂的隐私要求定义成一个单一的隐私目标，由十项隐私原则支持。每项原则都有客观、可衡量的标准支持，这些标准构成了有效管理组织内隐私风险和合规性的基础。为支持这些标准，GAPP 提供了说明性的政策要求、沟通、控制，也包括监测控制。

查看详细

《亚太经合组织隐私框架》 (2015)

亚太经合组织成员经济体认识到数字经济的巨大潜力，将继续扩大商业机会，降低成本，提高效率，改善生活质量，并促进小企业更多地参与全球商业。一个在经济体内部和外部保护隐私的框架，来确保个人信息区域性转移利于消费者、企业和政府。部长们已经签署亚太经合组织隐私框架，认识到制定有效的隐私保护措施的重要性，以避免信息流动的障碍，确保亚太经合组织地区持续的贸易和经济增长。

查看详细

《GDPR合规行为准则4.0版》