數(shù)據(jù)安全管理職責(zé)劃分和追責(zé)機(jī)制探析

艾 龍

(北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司數(shù)據(jù)安全治理中心 武漢 430048)

在全球數(shù)字經(jīng)濟(jì)的背景下，數(shù)據(jù)安全逐漸成為國(guó)家安全的重要組成部分，關(guān)系到國(guó)家主權(quán)的穩(wěn)固及社會(huì)經(jīng)濟(jì)的發(fā)展.保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施，運(yùn)營(yíng)者是第一主體.在數(shù)據(jù)安全引起各方廣泛關(guān)注的背景下，《中華人民共和國(guó)數(shù)據(jù)安全法》(以下簡(jiǎn)稱《數(shù)據(jù)安全法》)應(yīng)運(yùn)而生[1]，其中第4章節(jié)“數(shù)據(jù)安全保護(hù)義務(wù)”中的第27條明確提出：“重要數(shù)據(jù)的處理者應(yīng)當(dāng)明確數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu)，落實(shí)數(shù)據(jù)安全保護(hù)責(zé)任.”各行業(yè)責(zé)任主體急需構(gòu)建清晰的數(shù)據(jù)安全組織架構(gòu)，完善數(shù)據(jù)安全管理體系，理清數(shù)據(jù)安全工作職責(zé)，明確數(shù)據(jù)安全事件問責(zé)機(jī)制，為數(shù)據(jù)安全管理打上“問責(zé)”這塊補(bǔ)丁[2]，落實(shí)企業(yè)數(shù)據(jù)安全保護(hù)義務(wù)，保障企業(yè)在發(fā)生數(shù)據(jù)安全事件時(shí)能夠?qū)⒇?zé)任層層落實(shí)到人.

1 國(guó)內(nèi)典型實(shí)踐調(diào)研

1.1 某政府機(jī)構(gòu)數(shù)據(jù)安全職責(zé)劃分案例

該單位按照“誰(shuí)所有誰(shuí)負(fù)責(zé)、誰(shuí)管理誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)行誰(shuí)負(fù)責(zé)、誰(shuí)使用誰(shuí)負(fù)責(zé)”的原則劃分?jǐn)?shù)據(jù)安全管理職責(zé).網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組負(fù)責(zé)數(shù)據(jù)安全的最終決策、監(jiān)督及指導(dǎo)職能；數(shù)據(jù)管理部門負(fù)責(zé)指派數(shù)據(jù)安全管理團(tuán)隊(duì)完成單位數(shù)據(jù)安全管理要求和標(biāo)準(zhǔn)的制定，組織實(shí)施數(shù)據(jù)安全保護(hù)；信息技術(shù)部門負(fù)責(zé)數(shù)據(jù)安全技術(shù)保護(hù)能力的建設(shè)；風(fēng)險(xiǎn)管理部門負(fù)責(zé)對(duì)各級(jí)單位數(shù)據(jù)安全保護(hù)措施落實(shí)情況開展檢查；各業(yè)務(wù)部門負(fù)責(zé)履行數(shù)據(jù)安全的資產(chǎn)梳理定級(jí)、安全需求確定、數(shù)據(jù)使用及管理審批授權(quán)等職責(zé)，并應(yīng)配合數(shù)據(jù)安全管理方完成數(shù)據(jù)安全保護(hù)及檢查評(píng)估工作；數(shù)據(jù)運(yùn)營(yíng)部門履行各自責(zé)任范圍內(nèi)數(shù)據(jù)的技術(shù)保護(hù)措施使用、數(shù)據(jù)安全運(yùn)維管理及數(shù)據(jù)安全應(yīng)急處置等職責(zé)；數(shù)據(jù)使用部門負(fù)責(zé)履行所持有、使用、操作數(shù)據(jù)的安全保護(hù)責(zé)任.

1.2 某央企數(shù)據(jù)安全職責(zé)劃分案例

該公司按照“誰(shuí)主管誰(shuí)負(fù)責(zé)、誰(shuí)收集誰(shuí)負(fù)責(zé)、誰(shuí)使用誰(shuí)負(fù)責(zé)、誰(shuí)提供誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)行誰(shuí)負(fù)責(zé)”的原則劃分?jǐn)?shù)據(jù)安全管理責(zé)任.網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組負(fù)責(zé)公司數(shù)據(jù)安全方針、策略、總體規(guī)劃及重大數(shù)據(jù)安全問題的決策，為開展數(shù)據(jù)安全工作匹配所需資源；數(shù)據(jù)管理部門負(fù)責(zé)公司數(shù)據(jù)工作統(tǒng)一集中的歸口管理、數(shù)據(jù)分析、運(yùn)營(yíng)支撐以及數(shù)據(jù)安全管理工作的組織、指導(dǎo)、協(xié)調(diào)和監(jiān)督；監(jiān)督審計(jì)部門負(fù)責(zé)公司整體風(fēng)險(xiǎn)管理，以及牽頭數(shù)據(jù)安全審計(jì)工作，定期或?qū)ｍ?xiàng)組織實(shí)施數(shù)據(jù)安全審計(jì)；系統(tǒng)運(yùn)行部門負(fù)責(zé)公司IT系統(tǒng)規(guī)劃、建設(shè)、開發(fā)和維護(hù)，以及數(shù)據(jù)安全技術(shù)能力建設(shè)和支撐.各業(yè)務(wù)部門負(fù)責(zé)管理本部門數(shù)據(jù)安全，對(duì)專業(yè)工作中收集和產(chǎn)生數(shù)據(jù)的安全負(fù)責(zé).

2 責(zé)任主體和職責(zé)范圍的分析

通過分析《黨委(黨組)網(wǎng)絡(luò)安全工作責(zé)任制實(shí)施辦法》，其中對(duì)應(yīng)各級(jí)黨委、各級(jí)網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)機(jī)構(gòu)、行業(yè)主管監(jiān)管部門等責(zé)任主體，對(duì)決策、管理、運(yùn)行、監(jiān)督等方面的職責(zé)進(jìn)行了劃分.所以在企業(yè)中，我們結(jié)合實(shí)際情況，可劃分為如下相關(guān)角色，如圖1所示:

圖1 數(shù)據(jù)安全組織框架

1) 數(shù)據(jù)安全決策方.

為保證數(shù)據(jù)安全管理工作的順利開展及持續(xù)保持，企業(yè)數(shù)據(jù)安全管理工作應(yīng)采取“一把手負(fù)責(zé)制”，可以以企業(yè)信息化領(lǐng)導(dǎo)小組為基礎(chǔ)，組建 “數(shù)據(jù)安全領(lǐng)導(dǎo)小組”，由各業(yè)務(wù)主管領(lǐng)導(dǎo)擔(dān)任組員.領(lǐng)導(dǎo)小組擔(dān)任“數(shù)據(jù)安全決策方”角色，負(fù)責(zé)確定數(shù)據(jù)安全管理要求，定期聽取數(shù)據(jù)安全工作匯報(bào)，并指導(dǎo)、監(jiān)督數(shù)據(jù)安全管理工作.

2) 數(shù)據(jù)安全管理方.

由數(shù)據(jù)安全領(lǐng)導(dǎo)小組指派中高層管理人員作為數(shù)據(jù)安全負(fù)責(zé)人，并組建數(shù)據(jù)安全管理部門.數(shù)據(jù)安全管理方負(fù)責(zé)制定數(shù)據(jù)安全管理與運(yùn)營(yíng)制度，組織數(shù)據(jù)安全管理執(zhí)行，組織開展數(shù)據(jù)安全保護(hù)、數(shù)據(jù)安全教育培訓(xùn)等相關(guān)工作.

3) 數(shù)據(jù)安全監(jiān)督方.

數(shù)據(jù)安全監(jiān)督方負(fù)責(zé)監(jiān)督、指導(dǎo)各部門管理制度建設(shè)和技術(shù)保護(hù)措施建設(shè)，負(fù)責(zé)定期檢查與監(jiān)督各部門數(shù)據(jù)安全管理考核指標(biāo)達(dá)成情況.

4) 數(shù)據(jù)安全運(yùn)營(yíng)方.

數(shù)據(jù)安全運(yùn)營(yíng)方負(fù)責(zé)開展數(shù)據(jù)安全能力建設(shè)、數(shù)據(jù)安全應(yīng)急預(yù)案與演練、安全監(jiān)測(cè)預(yù)警、安全應(yīng)急處置、安全災(zāi)難恢復(fù)等相關(guān)工作.

5) 數(shù)據(jù)所有方.

各業(yè)務(wù)系統(tǒng)的所有部門負(fù)責(zé)本領(lǐng)域業(yè)務(wù)數(shù)據(jù)的分類分級(jí)工作，并依據(jù)數(shù)據(jù)分類分級(jí)結(jié)果，在數(shù)據(jù)全生命周期執(zhí)行數(shù)據(jù)安全管理要求.

6) 數(shù)據(jù)使用方.

內(nèi)部和外部數(shù)據(jù)使用方應(yīng)依據(jù)數(shù)據(jù)安全級(jí)別，在數(shù)據(jù)使用過程中嚴(yán)格執(zhí)行數(shù)據(jù)安全防護(hù)工作.

3 數(shù)據(jù)安全管理框架的設(shè)計(jì)

設(shè)計(jì)企業(yè)數(shù)據(jù)安全管理框架時(shí)，可基于企業(yè)數(shù)據(jù)安全保護(hù)義務(wù)來(lái)確定基礎(chǔ)的管理業(yè)務(wù)，可以從數(shù)據(jù)安全規(guī)劃、數(shù)據(jù)分類分級(jí)、數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估、數(shù)據(jù)生命周期安全管理、數(shù)據(jù)安全審計(jì)監(jiān)督管理、數(shù)據(jù)安全應(yīng)急管理、數(shù)據(jù)安全教育培訓(xùn)管理這7個(gè)管理業(yè)務(wù)域進(jìn)行規(guī)劃，同時(shí)將管理體系文件從戰(zhàn)略方針、管理要求、規(guī)范指導(dǎo)、執(zhí)行過程逐層細(xì)化，如圖2所示[3].

在實(shí)際工作中，數(shù)據(jù)安全管理框架還需要充分考慮與企業(yè)已有的信息安全管理體系、數(shù)據(jù)管理體系進(jìn)行融合或銜接，從而形成全局一致性的規(guī)范.

圖2 數(shù)據(jù)安全管理框架

4 責(zé)任事項(xiàng)的設(shè)計(jì)

依據(jù)《黨委(黨組)網(wǎng)絡(luò)安全工作責(zé)任制實(shí)施辦法》中劃定的各責(zé)任主體，再依據(jù)《數(shù)據(jù)安全法》中數(shù)據(jù)處理者的保護(hù)義務(wù)范圍，明確企業(yè)內(nèi)部各相關(guān)方責(zé)任主體的關(guān)鍵職責(zé)，構(gòu)建完善的數(shù)據(jù)安全責(zé)任矩陣，如表1所示.

1) 數(shù)據(jù)安全規(guī)劃管理.

由企業(yè)數(shù)據(jù)安全領(lǐng)導(dǎo)小組牽頭，負(fù)責(zé)貫徹執(zhí)行上級(jí)機(jī)構(gòu)的方針、政策、決定和指示，全面協(xié)調(diào)、指導(dǎo)和推進(jìn)數(shù)據(jù)安全規(guī)劃管理工作，對(duì)重大事項(xiàng)進(jìn)行決策；數(shù)據(jù)安全管理部門負(fù)責(zé)開展具體的規(guī)劃和體系設(shè)計(jì)工作，統(tǒng)籌推進(jìn)數(shù)據(jù)安全工作的開展，建立跨部門協(xié)調(diào)機(jī)制，制定數(shù)據(jù)安全年度的考核指標(biāo)；監(jiān)督部門負(fù)責(zé)監(jiān)督、指導(dǎo)各部門管理制度建設(shè)和技術(shù)保護(hù)措施建設(shè)；數(shù)據(jù)運(yùn)營(yíng)方負(fù)責(zé)開展數(shù)據(jù)安全能力建設(shè)和運(yùn)營(yíng)工作；數(shù)據(jù)所有方負(fù)責(zé)落實(shí)數(shù)據(jù)安全管理和應(yīng)用工作.

2) 數(shù)據(jù)分類分級(jí)管理.

由數(shù)據(jù)安全管理部門組織各業(yè)務(wù)部門開展數(shù)據(jù)分類分級(jí)工作.各業(yè)務(wù)部門負(fù)責(zé)確定數(shù)據(jù)保護(hù)范圍、實(shí)施數(shù)據(jù)分類分級(jí)；數(shù)據(jù)運(yùn)營(yíng)部門負(fù)責(zé)提供數(shù)據(jù)分類分級(jí)所需技術(shù)能力；監(jiān)督部門負(fù)責(zé)指導(dǎo)、監(jiān)督數(shù)據(jù)分類分級(jí)工作開展.

表1 數(shù)據(jù)安全責(zé)任矩陣

3) 數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估管理.

由數(shù)據(jù)安全管理部門組織各業(yè)務(wù)部門開展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估工作.各業(yè)務(wù)部門負(fù)責(zé)基于業(yè)務(wù)場(chǎng)景、數(shù)據(jù)資產(chǎn)重要性來(lái)明確數(shù)據(jù)安全風(fēng)險(xiǎn)，反饋數(shù)據(jù)安全保護(hù)需求；數(shù)據(jù)運(yùn)營(yíng)部門負(fù)責(zé)提供技術(shù)支撐；監(jiān)督部門負(fù)責(zé)指導(dǎo)、監(jiān)督數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估工作.

4) 數(shù)據(jù)全生命周期管理.

由數(shù)據(jù)安全管理部門組織各業(yè)務(wù)部門開展數(shù)據(jù)全生命周期管理工作.各業(yè)務(wù)部門負(fù)責(zé)落實(shí)數(shù)據(jù)全生命周期安全管控和保護(hù)工作；數(shù)據(jù)運(yùn)營(yíng)部門負(fù)責(zé)提供數(shù)據(jù)全生命周期保護(hù)所需認(rèn)證、授權(quán)、加密、脫敏、水印等數(shù)據(jù)安全技術(shù)能力；監(jiān)督部門負(fù)責(zé)指導(dǎo)、監(jiān)督數(shù)據(jù)安全保護(hù)工作的開展；數(shù)據(jù)使用部門依據(jù)要求，執(zhí)行數(shù)據(jù)安全保護(hù)，合理使用數(shù)據(jù).

5) 數(shù)據(jù)安全審計(jì)監(jiān)督管理.

由監(jiān)督部門負(fù)責(zé)開展各部門的數(shù)據(jù)安全審計(jì)監(jiān)督工作，指導(dǎo)和監(jiān)督各部門落實(shí)數(shù)據(jù)安全管理和執(zhí)行；數(shù)據(jù)安全管理部門、各業(yè)務(wù)部門、數(shù)據(jù)運(yùn)營(yíng)部門、數(shù)據(jù)使用部門應(yīng)當(dāng)積極配合數(shù)據(jù)安全審計(jì)監(jiān)督，并對(duì)審計(jì)監(jiān)督中發(fā)現(xiàn)的問題及時(shí)整改.

6) 數(shù)據(jù)安全應(yīng)急管理.

由數(shù)據(jù)安全管理部門組織建設(shè)企業(yè)數(shù)據(jù)安全應(yīng)急體系，負(fù)責(zé)企業(yè)數(shù)據(jù)安全事件的應(yīng)急預(yù)警、響應(yīng)管理工作；數(shù)據(jù)運(yùn)營(yíng)部門負(fù)責(zé)提供數(shù)據(jù)安全應(yīng)急響應(yīng)技術(shù)支持，組織開展應(yīng)急工作，統(tǒng)籌協(xié)調(diào)本單位威脅情報(bào)收集、分析研判和應(yīng)急處置工作；各業(yè)務(wù)部門、數(shù)據(jù)使用部門負(fù)責(zé)配合執(zhí)行應(yīng)急處置工作.監(jiān)督部門負(fù)責(zé)數(shù)據(jù)安全事故的調(diào)查和問責(zé).

7) 數(shù)據(jù)安全教育培訓(xùn)管理.

由數(shù)據(jù)安全管理部門組織各業(yè)務(wù)部門開展.各業(yè)務(wù)管理部門、數(shù)據(jù)運(yùn)營(yíng)部門、數(shù)據(jù)使用部門需要積極參與數(shù)據(jù)安全教育培訓(xùn).監(jiān)督部門負(fù)責(zé)指導(dǎo)、監(jiān)督數(shù)據(jù)安全教育培訓(xùn)工作開展.

5 問責(zé)主體的分析

問責(zé)主體包含導(dǎo)致安全事件直接發(fā)生的主要責(zé)任人和次要責(zé)任人，以及主要、次要責(zé)任者所在部門管理人員、事發(fā)單位管理部門人員、事發(fā)單位負(fù)責(zé)人等相關(guān)主體.根據(jù)事件調(diào)查結(jié)果，分別追究其主/次要責(zé)任、監(jiān)督責(zé)任、管理責(zé)任、主體責(zé)任.

1) 主/次要責(zé)任.

未執(zhí)行數(shù)據(jù)安全業(yè)務(wù)規(guī)程、規(guī)定；未執(zhí)行數(shù)據(jù)安全作業(yè)指導(dǎo)書、工作方案等有關(guān)安全措施、作業(yè)流程、操作步驟，違反勞動(dòng)紀(jì)律等.

2) 管理責(zé)任.

未制定數(shù)據(jù)安全作業(yè)指導(dǎo)書和工作方案或有關(guān)內(nèi)容不具體、不切合實(shí)際；未識(shí)別數(shù)據(jù)安全風(fēng)險(xiǎn)；未實(shí)施數(shù)據(jù)安全保護(hù)措施；未落實(shí)本單位數(shù)據(jù)安全技術(shù)措施部署和要求；未履行數(shù)據(jù)安全意識(shí)教育培訓(xùn)制度；未制定或完善數(shù)據(jù)安全規(guī)程規(guī)定；未確保本單位數(shù)據(jù)安全運(yùn)營(yíng)和風(fēng)險(xiǎn)管理制度執(zhí)行到位；未執(zhí)行安全事件應(yīng)急措施計(jì)劃等.

3) 監(jiān)督責(zé)任.

未指導(dǎo)和監(jiān)督本單位數(shù)據(jù)安全規(guī)章制度和運(yùn)行維護(hù)規(guī)程規(guī)定有效完善；未督促檢查本單位數(shù)據(jù)安全保護(hù)工作落實(shí)到位.

4) 主體責(zé)任.

未建立健全本單位各級(jí)數(shù)據(jù)安全工作責(zé)任制；未組織落實(shí)監(jiān)管部門下達(dá)的安全事件防范措施；未保障本單位數(shù)據(jù)安全保護(hù)的資源投入有效實(shí)施；未確保數(shù)據(jù)安全風(fēng)險(xiǎn)及時(shí)消除等.

6 啟動(dòng)問責(zé)的條件

《黨委(黨組)網(wǎng)絡(luò)安全工作責(zé)任制實(shí)施辦法》規(guī)定了2種啟動(dòng)問責(zé)的條件：一是根據(jù)行為；二是根據(jù)后果.從行為分析：責(zé)任人若存在未履行相關(guān)職責(zé)或者違反相關(guān)要求不作為、亂作為的行為，則按有關(guān)規(guī)定追究其相關(guān)責(zé)任.從結(jié)果分析：根據(jù)安全事件類型和事件級(jí)別對(duì)相關(guān)的主/次要責(zé)任人、管理責(zé)任人、監(jiān)督責(zé)任人、主體責(zé)任人進(jìn)行問責(zé).

數(shù)據(jù)安全事件可以從泄露、竊取、篡改、毀損、丟失、非法使用進(jìn)行分類，然后可根據(jù)GB/Z 20986—2007《信息安全技術(shù) 信息安全事件分類分級(jí)指南》將事件級(jí)別劃分為特別重大事件、重大事件、較大事件、一般事件4個(gè)級(jí)別[4].

數(shù)據(jù)安全事件中的客體是數(shù)據(jù)，所以事件的等級(jí)可依據(jù)數(shù)據(jù)分類分級(jí)進(jìn)行判定，實(shí)現(xiàn)問責(zé)措施與數(shù)據(jù)分類分級(jí)的關(guān)聯(lián).在行業(yè)沒有明確分類分級(jí)標(biāo)準(zhǔn)的情況下，可參考全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)在2021年9月發(fā)布的TC260-PG-20212A《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——數(shù)據(jù)分類分級(jí)指引(征求意見稿)》將單位數(shù)據(jù)分為核心級(jí)、重要級(jí)、敏感級(jí)、內(nèi)部級(jí)、公開級(jí)5個(gè)級(jí)別，并繼續(xù)關(guān)注國(guó)家和行業(yè)相關(guān)標(biāo)準(zhǔn)及時(shí)進(jìn)行調(diào)整和迭代.

1) 特別重大事件.

特別重大事件包括：核心級(jí)商業(yè)秘密數(shù)據(jù)和核心級(jí)國(guó)家秘密數(shù)據(jù)通過企業(yè)信息網(wǎng)絡(luò)泄露或被竊取、篡改、假冒、損毀、違規(guī)使用，對(duì)國(guó)家安全和社會(huì)穩(wěn)定構(gòu)成特別嚴(yán)重威脅；大批量個(gè)人信息泄露、并對(duì)國(guó)家安全和社會(huì)穩(wěn)定構(gòu)成特別嚴(yán)重威脅；互聯(lián)網(wǎng)門戶網(wǎng)站等涉及社會(huì)公眾的互聯(lián)網(wǎng)應(yīng)用數(shù)據(jù)被篡改、發(fā)布了影響國(guó)家安全和社會(huì)穩(wěn)定的反動(dòng)信息；其他對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公眾利益構(gòu)成特別嚴(yán)重威脅和造成特別嚴(yán)重影響的數(shù)據(jù)安全事件.

2) 重大事件.

重大事件包括：重要級(jí)商業(yè)秘密數(shù)據(jù)和重要級(jí)國(guó)家秘密數(shù)據(jù)通過企業(yè)信息網(wǎng)絡(luò)泄露或被竊取、篡改、假冒、損毀、違規(guī)使用，對(duì)國(guó)家安全和社會(huì)穩(wěn)定構(gòu)成嚴(yán)重威脅；10萬(wàn)條以上個(gè)人信息泄露，并對(duì)國(guó)家安全和社會(huì)穩(wěn)定構(gòu)成嚴(yán)重威脅；互聯(lián)網(wǎng)應(yīng)用的數(shù)據(jù)被篡改，發(fā)布了影響國(guó)家安全和社會(huì)穩(wěn)定的反動(dòng)信息；其他對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公眾利益構(gòu)成嚴(yán)重威脅以及造成嚴(yán)重影響的數(shù)據(jù)安全事件.

3) 較大事件.

較大事件包括：企業(yè)敏感級(jí)數(shù)據(jù)或大批量?jī)?nèi)部級(jí)數(shù)據(jù)通過企業(yè)信息網(wǎng)絡(luò)泄露或被竊取、篡改、假冒、損毀、違規(guī)使用，或?qū)ζ髽I(yè)形象造成較嚴(yán)重影響；1萬(wàn)條以上個(gè)人信息泄露，并對(duì)國(guó)家安全和社會(huì)穩(wěn)定構(gòu)成較嚴(yán)重威脅；重要互聯(lián)網(wǎng)應(yīng)用的數(shù)據(jù)被篡改，發(fā)布了非法信息；互聯(lián)網(wǎng)應(yīng)用的頁(yè)面被篡改，發(fā)布了影響國(guó)家安全和社會(huì)穩(wěn)定的反動(dòng)信息；其他對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公眾利益構(gòu)成較嚴(yán)重威脅以及造成較嚴(yán)重影響的數(shù)據(jù)安全事件.

4) 一般事件.

一般事件包括：企業(yè)內(nèi)部級(jí)數(shù)據(jù)或影響關(guān)鍵業(yè)務(wù)的公開級(jí)數(shù)據(jù)通過企業(yè)信息網(wǎng)絡(luò)泄露或被竊取、篡改、假冒、損毀、違規(guī)使用，或?qū)ζ髽I(yè)形象造成一般影響；個(gè)人信息泄露，并對(duì)社會(huì)穩(wěn)定構(gòu)成一般威脅；互聯(lián)網(wǎng)應(yīng)用的頁(yè)面被篡改，發(fā)布了非法信息；其他對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公眾利益構(gòu)成一般威脅和影響的數(shù)據(jù)安全事件.

7 問責(zé)措施的設(shè)計(jì)

實(shí)施問責(zé)措施時(shí)可依據(jù)發(fā)生數(shù)據(jù)安全事件的級(jí)別，嚴(yán)格執(zhí)行問責(zé)，將責(zé)任層層落實(shí)到人[5].針對(duì)責(zé)任人的問責(zé)措施可以采取警告、記過、記大過、降級(jí)、撤職、解除勞動(dòng)合同等行政問責(zé)措施,以及警示談話、書面檢查、通報(bào)批評(píng)等其他問責(zé)措施，結(jié)合數(shù)據(jù)安全事件等級(jí)可以初步給出如下建議，如表2所示.

表2 數(shù)據(jù)安全事件追責(zé)矩陣

另外，針對(duì)責(zé)任人受到的處分情況，可以結(jié)合企業(yè)績(jī)效考核措施，給出相應(yīng)扣減處分，可根據(jù)企業(yè)自身情況與責(zé)任人績(jī)效工資綜合考慮.

8 保障措施的設(shè)計(jì)

8.1 獎(jiǎng)勵(lì)機(jī)制

數(shù)據(jù)安全獎(jiǎng)勵(lì)機(jī)制可對(duì)在數(shù)據(jù)安全領(lǐng)域作出突出貢獻(xiàn)的先進(jìn)集體、個(gè)人進(jìn)行獎(jiǎng)勵(lì).

獎(jiǎng)勵(lì)包括：在國(guó)家審查、評(píng)估工作中表現(xiàn)優(yōu)異并獲得榮譽(yù)的；協(xié)助國(guó)家相關(guān)部門打擊網(wǎng)絡(luò)恐怖主義和網(wǎng)絡(luò)犯罪、處置重大數(shù)據(jù)安全事件成績(jī)顯著的；在數(shù)據(jù)安全賽事活動(dòng)中獲得榮譽(yù)的；及時(shí)發(fā)現(xiàn)和消除公司重大數(shù)據(jù)安全隱患，及時(shí)發(fā)現(xiàn)和阻止針對(duì)公司重要數(shù)據(jù)資產(chǎn)的丟失、泄露、篡改、破壞、違規(guī)使用等行為的；在數(shù)據(jù)安全推廣合作中充分展現(xiàn)公司形象的；對(duì)國(guó)家、社會(huì)、行業(yè)和公司數(shù)據(jù)安全工作作出貢獻(xiàn)并得到認(rèn)可的.

集體獎(jiǎng)勵(lì)包括：年度績(jī)效考核加分、優(yōu)先推薦參評(píng)公司先進(jìn)集體等榮譽(yù)、通報(bào)表?yè)P(yáng)；個(gè)人獎(jiǎng)勵(lì)形式包括：優(yōu)先推薦參評(píng)先進(jìn)個(gè)人等榮譽(yù)、優(yōu)先推薦代表公司參加各大數(shù)據(jù)安全賽事、通報(bào)表?yè)P(yáng).

8.2 考核機(jī)制

為充分掌握企業(yè)數(shù)據(jù)安全管理現(xiàn)狀，促進(jìn)數(shù)據(jù)安全管理目標(biāo)達(dá)成，合理配置數(shù)據(jù)安全資源，客觀評(píng)價(jià)單位、部門、人員的數(shù)據(jù)安全能力，需要建立完善數(shù)據(jù)安全責(zé)任制檢查考核制度.

數(shù)據(jù)安全考核可分為定性和定量2方面進(jìn)行制定和細(xì)化.數(shù)據(jù)安全定性考核是以各角色數(shù)據(jù)安全管理目標(biāo)為依據(jù)，對(duì)企業(yè)數(shù)據(jù)安全工作的規(guī)范性、達(dá)成性進(jìn)行具體考核.考核內(nèi)容要結(jié)合各角色日常工作中反映的問題，涵蓋管理和技術(shù)2大維度.數(shù)據(jù)安全事件定量考核是指對(duì)企業(yè)生產(chǎn)經(jīng)營(yíng)活動(dòng)中發(fā)生的數(shù)據(jù)安全事件數(shù)量、影響對(duì)象、影響程度、處置時(shí)效、處置率進(jìn)行具體考核.

9 結(jié)束語(yǔ)

問責(zé)制度的完善對(duì)于推動(dòng)數(shù)據(jù)安全的基礎(chǔ)性保護(hù)來(lái)說(shuō)具有重要意義[6].“安全管理，責(zé)任先行”，數(shù)據(jù)安全合規(guī)管理體系的落地離不開企業(yè)各部門以及一線人員的貫徹和實(shí)施.導(dǎo)致安全事件的原因是多方面的，包括安全管理機(jī)構(gòu)不健全、安全管理制度和操作規(guī)程不完善、安全保護(hù)技術(shù)措施不落實(shí)、工作人員思想認(rèn)識(shí)和責(zé)任意識(shí)不到位等一系列原因[7].各企業(yè)應(yīng)當(dāng)加快厘清數(shù)據(jù)安全職責(zé)邊界和建立完備的問責(zé)機(jī)制，通過明確數(shù)據(jù)安全責(zé)任驅(qū)動(dòng)企業(yè)全員參與數(shù)據(jù)安全保護(hù)工作，建立企業(yè)數(shù)據(jù)安全合規(guī)文化，實(shí)現(xiàn)數(shù)據(jù)安全責(zé)任全員工覆蓋、數(shù)據(jù)全生命周期安全管理覆蓋，在履行法律義務(wù)的同時(shí)，為企業(yè)數(shù)字化發(fā)展?fàn)I造良好的生產(chǎn)經(jīng)營(yíng)環(huán)境.