随着大数据技术和产业的不断发展壮大，党中央国务院首次提出将数据作为新型生产要素，以推动数字经济的高质量发展。近期《中华人民共和国数据安全法》的发布，一方面标志着数据安全上升到国家安全层面，事关国家安全与经济社会发展，另一方面也表明我国对数据安全的监管要求日益严格。

当前我国各企业数据安全治理能力水平参差不齐，由于缺少以标准为基础的度量方法以及贴近产业现状的实施指南，企业无法准确衡量自身的数据安全治理能力建设情况与监管要求及公众期待的差距，进而无法明确自身的提升需求和目标。

针对这些问题，中国信息通信研究院以“准确度量企业的数据安全治理能力现状，合理规划数据安全治理能力提升路径”为目标，推出了“数据安全治理能力评估”（以下简称“DSG评估”）。DSG评估作为一套方法论体系，可以用于企业的数据安全治理体系建设参考，作为一套度量准则，可以用于考察企业的数据安全治理能力现状，作为一套改进指南，可以用于指导企业从组织、制度、技术、人员等方面有目标、有路径、分阶段的能力提升。

DSG评估框架共包括数据安全战略、数据全生命周期安全、基础安全三部分。

• 数据安全战略：包括数据安全规划和机构人员管理两个能力项，主要考虑从企业的顶层规划方面提出要求，为数据安全治理能力的建设搭框架、配人手。

• 数据全生命周期安全：包括数据采集安全、数据传输安全、存储安全、数据备份与恢复、使用安全、数据处理环境安全、数据内部共享安全、数据外部共享安全、数据销毁安全在内的九个能力项，通过对数据全流转过程进行规范和约束以有效降低数据安全风险。

• 基础安全：包括数据分类分级、合规管理、合作方管理、监控审计、鉴别与访问、风险和需求分析、安全事件应急等七个能力项，主要从数据安全的保障措施上进行定义和要求。

DSG评估等级包括基础级、优秀级、先进级三个级别。

基础级关注核心业务的安全治理能力及技术支撑情况，优秀级关注全业务流程的安全治理能力及技术手段的实施，先进级要求具备量化评估及优化改进机制。

综合来说，DSG评估具有更加聚焦、容易操作、与时俱进、市场机制几个特点。DSG评估专注于数据安全的相关内容，提供明确的评估方法，实操性强，并且紧跟立法要求和技术趋势，通过市场化的DSG评估，可以促进行业自下而上的向好发展。

从行业的角度，通过DSG评估可以详细了解行业数据安全治理能力发展现状，从企业的角度，DSG评估可以帮助企业总结现状问题并发现差距，同时能够根据企业特点，推荐最佳行业实践，给出针对性的优化建议。此外，还可以通过参与数据安全治理相关的研讨交流，对外输出自身实践，对内吸收业内优秀案例，实现治理经验的提升。

1. 评估申请确认：意向企业提交评估申请表，确认申请评估。

    

2. 商务合同确认：根据评估标准中的能力项，确认评估意向并进行商务合同确认。合同签订后正式安排后续评估流程。

    

3. 企业自评反馈：商务合同确认后，参评企业根据自身情况，对应自评表初步确定自身适合的能力等级，明确评估目标等级意向，并准备相应的证明材料反馈。

    

4. 评估对接交流：评估方在参评企业完成自评后，根据企业自评情况和证明材料，与参评企业进行持续的沟通和反馈。

    

5. 评估计划安排：评估方与参评企业持续沟通中，评估方与参评企业协商合适的评估时间，制定评估计划。参评企业应组建完善的评估团队，并提前准备详尽的证明材料，以确保现场评估的顺利进行。

    

6. 正式评估：评估方与参评企业评估团队共同进行现场评估工作，完成数据安全治理各能力项的现场打分以及问题意见反馈。现场评估后，参评企业需提供完整的、用于评估的证明材料（可脱敏处理），由评估方备案，并供后续专家评审使用。

    

7. 评估后续工作：正式评估后，评估方根据现场评估情况和参评企业提供的材料预估参评企业所属的能力等级，参评企业可进一步根据评估方现场评估反馈意见补交材料，同时参评企业与评估方共同完成评估报告内容。

    

8. 组织专家评审：评估周期结束后，将召开专家评审组会议，对参评企业提供的证明材料及评估报告进行评审，对现场评估的分数进行审核确认并在评审会后统一完成最终定级，通过专家组评审的参评企业方可获得对应等级的“数据安全治理能力评估”证书。

    

9. 证书颁发

    

数据安全治理能力（DSG）评估证书

获得首批数据安全治理能力（DSG）评估证书的企业包括蚂蚁、百度、联通大数据、度小满、电信云5家电信互联网头部企业。