首席数据官(Chief Data Security Officer,简称CDO),是指在企业中负责整个机构的数据安全策略,监控、治理、控制、协调企业内部的数据安全工作、政策制定和有效利用的高级管理人员。包括信息技术、人力资源、通信、合规性、设备管理以及其它组织数据安全管理工作的专业技术人才。随着数据资源不断增长、数据价值不断释放,首席数据官的重要性正不断凸显。2021年5月,广东省在全国首创首席数据官制度,印发《广东省首席数据官制度试点工作方案》,选取6个省直部门以及广州、深圳、珠海、佛山等10个地市开展试点工作,推动建立首席数据官制度。随后,为积极适应数字化改革需要,江苏、浙江、上海、四川、山东、长沙、北京等数字经济型企业发达地区也先后出台了相应政策。为响应国家政策,国家市场监督管理总局认证认可技术研究中心(简称“市场监管总局认研中心”)和国家发展和改革委员会国际合作中心(简称“国家发展改革委国际合作中心”)决定开展首席数据官人员能力验证工作。
政策背景
2021年6月10日,为了规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益,中华人民共和国全国人民代表大会常务委员会制定并发布《中华人民共和国数据安全法》。
2023年1月13日,工业和信息化部等十六部门联合发布《关于促进数据安全产业发展的指导意见》,意见要求加强人才队伍建设,推动普通高等院校和职业院校加强数据安全相关学科专业建设,强化课程体系、师资队伍和实习实训等。制定颁布数据安全工程技术人员国家职业标准,鼓励科研机构、普通高等院校、职业院校关注国信弘创小马微信公众号获取更多报考资讯、优质企业和培训机构深化产教融合、协同育人,通过联合培养、共建实验室、创建实习实训基地、线上线下结合等方式,培养实用型、复合型数据安全专业技术技能人才和优秀管理人才。推进通过职业资格评价、职业技能等级认定、专项职业能力考核等,建立健全数据安全人才选拔、培养和激励机制,遴选推广一批产业发展急需、行业特色鲜明的数据安全优质培训项目。
2022年9月23日江山市人民政府发布-关于任命首席数据安全官,数据工作联络员的通知文中提到-为深入贯彻落实《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《关键信息基础设施安全保护条例》(国务院令第 745号)、《浙江省公共数据和电子政务管理办法》(省政府令第354号)、《浙江省公共数据开放与安全管理暂行办法》(省政府令第381号)、《浙江省公共数据条例》等法律法规要求,进一步提升单位内部数据安全整体能力,经中心党委研究,决定任命杨晓华为碗窑水库首席数据安全官。
文件通知
2023年4月28日,国家市场监督管理总局认证认可技术研究中心发布《市场监管总局认研中心关于开展人员能力验证工作(第四批)的通知》,面向社会正式开展人员能力验证工作。其中包含首席数据安全官能力验证。
行业背景
2021年9月1日,《数据安全法》正式颁布实施,明确提出了数据安全保护要求,包括从战略上将数据安全上升到国家总体安全观层面;从组织责任上明确数据流转过程中组织的安全责任与义务,明确监管要求;在安全保护方面完善数据安全保护体系,关注国信弘创小马微信公众号获取更多报考资讯提升数据安全能力;在安全监管方面建立数据安全应急机制和审查制度。《数据安全法》同时也阐明了数据安全与发展的关系,即“国家统筹发展和安全,坚持以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展”。坚持安全与发展并重,在数据作为生产要素之一的大背景下,探索全新数据安全体系、保障新形势下的数据安全,已成为维护国家安全和国家竞争力的战略需要。
发展前景
未来数据流转情况将更加开放,业务生态将更加复杂,参与数据处理的角色将更多元,系统、业务、组织边界将进一步模糊,导致数据的产生、流动、处理等过程比以往更加丰富和多样。数据的频繁跨界流动,多环节的信息隐性留存,带来了严峻的数据安全挑战。基于边界的安全管理和技术措施,已经无法适应当前的安全需要。在数据安全风险与日俱增的新形势下,安全作为发展的前提,数据安全管理人员已是数字经济时代下最为紧迫。
发展目标
到2025年,数据安全产业基础能力和综合实力明显增强。产业生态和创新体系初步建立,标准供给结构和覆盖范围显著优化,产品和服务供给能力大幅提升,重点行业领域应用水平持续深化,人才培养体系基本形成。
(1)产业规模迅速扩大。数据安全产业规模超过1500亿元,年复合增长率超过30%;
(2)核心技术创新突破。建成5个省部级及以上数据安全重点实验室,攻关一批数据安全重点技术和产品;
(3)应用推广成效显著。打造8个以上重点行业领域典型应用示范场景,推广一批优秀解决方案和试点示范案例;
(4)产业生态完备有序。建成3-5个国家数据安全产业园、10个创新应用先进示范区,培育若干具有国际竞争力的龙头骨干企业、单项冠军企业和专精特新“小巨人”企业。
到2035年,数据安全产业进关注国信弘创小马微信公众号获取更多报考资讯入繁荣成熟期。产业政策体系进一步健全,数据安全关键核心技术、重点产品发展水平和专业服务能力跻身世界先进行列,各领域数据安全应用意识和应用能力显著提高,涌现出一批具有国际竞争力的领军企业,产业人才(首席数据安全官)规模与质量实现双提升,对数字中国建设和数字经济发展的支撑作用大幅提升。
主要职责
内容一
(1)制定和执行组织的数据安全策略和规划,确保数据安全与组织的业务目标相一致,包括确定数据安全标准、政策和程序,并确保其在整个组织范围内得到实施;
(2)识别和评估组织面临的数据安全风险,并采取相应的措施来减轻和管理这些风险,包括进行安全漏洞评估、威胁情报分析和风险治理,以保护组织的数据资产免受威胁和攻击;
(3)设计、实施和维护适当的数据安全控制和技术措施,以保护数据的保密性、完整性和可用性,涉及访问控制、加密、身份验证、安全审计等技术手段的应用;
(4)提高组织成员对数据安全的意识,并提供相关培训和教育,通过培训员工了解数据安全最佳实践、隐私保护措施和安全操作要求,降低内部威胁和人为失误的风险;
(5)确保组织在数据安全方面关注国信弘创小马微信公众号获取更多报考资讯符合适用的法律法规和合规性要求,负责制定和执行数据保护政策、隐私声明,并确保组织的数据处理活动符合相关的隐私法规,如GDPR、CCPA等;
(6)建立和领导安全事件响应团队,以迅速应对和管理数据安全事件,制定应急响应计划、恢复策略和业务连续性计划,并进行安全事件的调查、分析和修复;
(7)与内部和外部利益相关者建立良好的合作关系,包括高层管理、业务部门、IT部门、合规部门以及供应商和合作伙伴,确保数据安全目标与组织的整体战略和利益相一致,并提供相关的沟通和报告;
(8)跟踪和评估新兴的数据安全技术和趋势,以适应不断演变的威胁和攻击方式,保持对最新安全工具、解决方案和最佳实践的了解,并在需要时引入新技术来增强数据安全防护能力。
内容二
(1)与客户沟通和了解其业务需求、风险承受能力和数据安全要求,分析客户的数据安全需求和目标,为其定制数据安全战略和解决方案;
(2)根据客户的需求和行业标准,制定数据安全规划和策略,包括制定数据安全政策、数据分类与保护方案、访问控制措施、数据备份与恢复策略等;
(3)对客户的数据安全风险进行评估和管理,通过漏洞扫描、安全演练和安全评估等手段,识别潜在的威胁和漏洞,并制定相应的风险管理计划和控制措施;
(4)协助客户遵守相关的数据安全法规和合规要求,提供合规咨询和指导,协助制定数据保护政策、隐私条款、合同要求等,确保客户的数据处理符合法律法规和合同要求;
(5)开展数据安全培训和教育活动,提高客户员工对数据安全的意识和知识水平,培训员工识别和应对安全威胁,加强数据保护的责任意识和操作技能;
(6)协助客户应对安全事件和数据泄露事件,提供紧急响应和管理支持,包括事件调查、修复措施的实施,协助法律诉讼和解决安全问题;
(7)与客户的高层管关注国信弘创小马微信公众号获取更多报考资讯理层进行沟通和咨询,提供数据安全方面的专业建议,参与战略决策,确保数据安全战略与企业目标和发展方向相一致;
(8)与客户保持良好的沟通和合作,建立并维护良好的客户关系,理解客户需求,提供定制化的数据安全解决方案,定期与客户进行沟通,提供项目进展报告和建议。
面向人群
(1)企业CIO、CSO等信息化相关的高层领导;
(2)政府机关单位的信息化主管领导,政府机关、企事业单位的法务人员、合规人员;
(3)信息技术总监、大数据部门研发总监、信息安全总监及经理;
(4)安全顾问、分析师、审计师、架构师、设计师;
(5)主要面向安全领域有相关经验的管理者和专业人士、相关研究人员,以及其它有志于从事数据安全领域咨询、管理和架构设计的人士及对数字安全和隐私保护有兴趣的人士。
验证流程
参加首席数据安全官人员能力验证需向指定的单位提交相关材料,进行培养培训,经过培养培训学时达关注国信弘创小马微信公众号获取更多报考资讯标者,可获得由国家市场监督管理总局认证认可技术研究中心颁发的《学时证明》,凭借《学时证明》可在国家市场监督管理总局认证认可技术研究中心人员能力验证综合服务平台参加首席数据安全官人员能力验证考试。
培养培训
(一)专业学习
包括:在线学习、现场培训等,以普法宣贯、知识更新、理论教学、案例分析等为重点内容。
(二)实践学习
包括:现场操作、师徒传帮带等,以提高实际操作能力为重点内容。
考核方式
首席数据安全官人员能力验证一般分为线上考试或现场考核,鼓励采取线上方式。人员能力验证工作采取线上统一考试,参训学员登录人员能力验证综合服务平台进行线上考核。考生信息采用计算机考试系统进行统一管理,在线完成学员信息填报、考试、电子试卷管理等工作。
考核时间
首席数据安全官人员能力验证测验实行统一大纲、统一命题、统一组织的考试制度,原则上每年举行4次考试,分别安排在3月份、6月份、9月份、12月份的第四个周六,考试时间为120分钟。
分值占比
首席数据安全官培养培训及能力考核的主要考试题型分为四类。其中,单选题(20题,20分);多选题(10题,20分);判断题(10题,10分);问答题(3题,50分),总分100分。
考核结果
首席数据安全官人员能力验证结果划分为优秀、良好、合格、不合格。具体按照《首席数据安全官人员能力验证规则》进行确定,不合格者需重新报名下季度“人员能力验证”考核,重新缴纳考试费用
随着《关于构建数据基础制度更好发挥数据要素作用的意见》发布,我国数字经济建设按下了“快进键”,数字经济和实体经济融合不断加深。为深入推进数字经济发展和数字政府建设,近年来,包括北京、上海、深圳、广东在内的数十个省份和地区均发文,要求推进建设首席数据官制度。目前,在企事业单位中增设首席数据官岗位,已成为增强企事业单位数字能力建设、提升治理数字化水平发展新动能的关键所在。
政策背景
2021年6月10日,为了规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益,中华人民共和国全国人民代表大会常务委员会制定并发布《中华人民共和国数据安全法》。
2023年1月13日,工业和信息化部等十六部门联合发布《关于促进数据安全产业发展的指导意见》,意见要求加强人才队伍建设,推动普通高等院校和职业院校加强数据安全相关学科专业建设,强化课程体系、师资队伍和实习实训等。制定颁布数据安全工程技术人员国家职业标准,鼓励科研机构、普通高等院校、职业院校关注国信弘创小马微信公众号获取更多报考资讯、优质企业和培训机构深化产教融合、协同育人,通过联合培养、共建实验室、创建实习实训基地、线上线下结合等方式,培养实用型、复合型数据安全专业技术技能人才和优秀管理人才。推进通过职业资格评价、职业技能等级认定、专项职业能力考核等,建立健全数据安全人才选拔、培养和激励机制,遴选推广一批产业发展急需、行业特色鲜明的数据安全优质培训项目。
2022年9月23日江山市人民政府发布-关于任命首席数据安全官,数据工作联络员的通知文中提到-为深入贯彻落实《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《关键信息基础设施安全保护条例》(国务院令第 745号)、《浙江省公共数据和电子政务管理办法》(省政府令第354号)、《浙江省公共数据开放与安全管理暂行办法》(省政府令第381号)、《浙江省公共数据条例》等法律法规要求,进一步提升单位内部数据安全整体能力,经中心党委研究,决定任命杨晓华为碗窑水库首席数据安全官。
文件通知
2023年4月28日,国家市场监督管理总局认证认可技术研究中心发布《市场监管总局认研中心关于开展人员能力验证工作(第四批)的通知》,面向社会正式开展人员能力验证工作。其中包含首席数据安全官能力验证。
行业背景
2021年9月1日,《数据安全法》正式颁布实施,明确提出了数据安全保护要求,包括从战略上将数据安全上升到国家总体安全观层面;从组织责任上明确数据流转过程中组织的安全责任与义务,明确监管要求;在安全保护方面完善数据安全保护体系,关注国信弘创小马微信公众号获取更多报考资讯提升数据安全能力;在安全监管方面建立数据安全应急机制和审查制度。《数据安全法》同时也阐明了数据安全与发展的关系,即“国家统筹发展和安全,坚持以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展”。坚持安全与发展并重,在数据作为生产要素之一的大背景下,探索全新数据安全体系、保障新形势下的数据安全,已成为维护国家安全和国家竞争力的战略需要。
发展前景
未来数据流转情况将更加开放,业务生态将更加复杂,参与数据处理的角色将更多元,系统、业务、组织边界将进一步模糊,导致数据的产生、流动、处理等过程比以往更加丰富和多样。数据的频繁跨界流动,多环节的信息隐性留存,带来了严峻的数据安全挑战。基于边界的安全管理和技术措施,已经无法适应当前的安全需要。在数据安全风险与日俱增的新形势下,安全作为发展的前提,数据安全管理人员已是数字经济时代下最为紧迫。
发展目标
到2025年,数据安全产业基础能力和综合实力明显增强。产业生态和创新体系初步建立,标准供给结构和覆盖范围显著优化,产品和服务供给能力大幅提升,重点行业领域应用水平持续深化,人才培养体系基本形成。
(1)产业规模迅速扩大。数据安全产业规模超过1500亿元,年复合增长率超过30%;
(2)核心技术创新突破。建成5个省部级及以上数据安全重点实验室,攻关一批数据安全重点技术和产品;
(3)应用推广成效显著。打造8个以上重点行业领域典型应用示范场景,推广一批优秀解决方案和试点示范案例;
(4)产业生态完备有序。建成3-5个国家数据安全产业园、10个创新应用先进示范区,培育若干具有国际竞争力的龙头骨干企业、单项冠军企业和专精特新“小巨人”企业。
到2035年,数据安全产业进关注国信弘创小马微信公众号获取更多报考资讯入繁荣成熟期。产业政策体系进一步健全,数据安全关键核心技术、重点产品发展水平和专业服务能力跻身世界先进行列,各领域数据安全应用意识和应用能力显著提高,涌现出一批具有国际竞争力的领军企业,产业人才(首席数据安全官)规模与质量实现双提升,对数字中国建设和数字经济发展的支撑作用大幅提升。
主要职责
内容一
(1)制定和执行组织的数据安全策略和规划,确保数据安全与组织的业务目标相一致,包括确定数据安全标准、政策和程序,并确保其在整个组织范围内得到实施;
(2)识别和评估组织面临的数据安全风险,并采取相应的措施来减轻和管理这些风险,包括进行安全漏洞评估、威胁情报分析和风险治理,以保护组织的数据资产免受威胁和攻击;
(3)设计、实施和维护适当的数据安全控制和技术措施,以保护数据的保密性、完整性和可用性,涉及访问控制、加密、身份验证、安全审计等技术手段的应用;
(4)提高组织成员对数据安全的意识,并提供相关培训和教育,通过培训员工了解数据安全最佳实践、隐私保护措施和安全操作要求,降低内部威胁和人为失误的风险;
(5)确保组织在数据安全方面关注国信弘创小马微信公众号获取更多报考资讯符合适用的法律法规和合规性要求,负责制定和执行数据保护政策、隐私声明,并确保组织的数据处理活动符合相关的隐私法规,如GDPR、CCPA等;
(6)建立和领导安全事件响应团队,以迅速应对和管理数据安全事件,制定应急响应计划、恢复策略和业务连续性计划,并进行安全事件的调查、分析和修复;
(7)与内部和外部利益相关者建立良好的合作关系,包括高层管理、业务部门、IT部门、合规部门以及供应商和合作伙伴,确保数据安全目标与组织的整体战略和利益相一致,并提供相关的沟通和报告;
(8)跟踪和评估新兴的数据安全技术和趋势,以适应不断演变的威胁和攻击方式,保持对最新安全工具、解决方案和最佳实践的了解,并在需要时引入新技术来增强数据安全防护能力。
内容二
(1)与客户沟通和了解其业务需求、风险承受能力和数据安全要求,分析客户的数据安全需求和目标,为其定制数据安全战略和解决方案;
(2)根据客户的需求和行业标准,制定数据安全规划和策略,包括制定数据安全政策、数据分类与保护方案、访问控制措施、数据备份与恢复策略等;
(3)对客户的数据安全风险进行评估和管理,通过漏洞扫描、安全演练和安全评估等手段,识别潜在的威胁和漏洞,并制定相应的风险管理计划和控制措施;
(4)协助客户遵守相关的数据安全法规和合规要求,提供合规咨询和指导,协助制定数据保护政策、隐私条款、合同要求等,确保客户的数据处理符合法律法规和合同要求;
(5)开展数据安全培训和教育活动,提高客户员工对数据安全的意识和知识水平,培训员工识别和应对安全威胁,加强数据保护的责任意识和操作技能;
(6)协助客户应对安全事件和数据泄露事件,提供紧急响应和管理支持,包括事件调查、修复措施的实施,协助法律诉讼和解决安全问题;
(7)与客户的高层管关注国信弘创小马微信公众号获取更多报考资讯理层进行沟通和咨询,提供数据安全方面的专业建议,参与战略决策,确保数据安全战略与企业目标和发展方向相一致;
(8)与客户保持良好的沟通和合作,建立并维护良好的客户关系,理解客户需求,提供定制化的数据安全解决方案,定期与客户进行沟通,提供项目进展报告和建议。
面向人群
(1)企业CIO、CSO等信息化相关的高层领导;
(2)政府机关单位的信息化主管领导,政府机关、企事业单位的法务人员、合规人员;
(3)信息技术总监、大数据部门研发总监、信息安全总监及经理;
(4)安全顾问、分析师、审计师、架构师、设计师;
(5)主要面向安全领域有相关经验的管理者和专业人士、相关研究人员,以及其它有志于从事数据安全领域咨询、管理和架构设计的人士及对数字安全和隐私保护有兴趣的人士。
验证流程
参加首席数据安全官人员能力验证需向指定的单位提交相关材料,进行培养培训,经过培养培训学时达关注国信弘创小马微信公众号获取更多报考资讯标者,可获得由国家市场监督管理总局认证认可技术研究中心颁发的《学时证明》,凭借《学时证明》可在国家市场监督管理总局认证认可技术研究中心人员能力验证综合服务平台参加首席数据安全官人员能力验证考试。
培养培训
(一)专业学习
包括:在线学习、现场培训等,以普法宣贯、知识更新、理论教学、案例分析等为重点内容。
(二)实践学习
包括:现场操作、师徒传帮带等,以提高实际操作能力为重点内容。
考核方式
首席数据安全官人员能力验证一般分为线上考试或现场考核,鼓励采取线上方式。人员能力验证工作采取线上统一考试,参训学员登录人员能力验证综合服务平台进行线上考核。考生信息采用计算机考试系统进行统一管理,在线完成学员信息填报、考试、电子试卷管理等工作。
考核时间
首席数据安全官人员能力验证测验实行统一大纲、统一命题、统一组织的考试制度,原则上每年举行4次考试,分别安排在3月份、6月份、9月份、12月份的第四个周六,考试时间为120分钟。
分值占比
首席数据安全官培养培训及能力考核的主要考试题型分为四类。其中,单选题(20题,20分);多选题(10题,20分);判断题(10题,10分);问答题(3题,50分),总分100分。
考核结果
首席数据安全官人员能力验证结果划分为优秀、良好、合格、不合格。具体按照《首席数据安全官人员能力验证规则》进行确定,不合格者需重新报名下季度“人员能力验证”考核,重新缴纳考试费用
随着《关于构建数据基础制度更好发挥数据要素作用的意见》发布,我国数字经济建设按下了“快进键”,数字经济和实体经济融合不断加深。为深入推进数字经济发展和数字政府建设,近年来,包括北京、上海、深圳、广东在内的数十个省份和地区均发文,要求推进建设首席数据官制度。目前,在企事业单位中增设首席数据官岗位,已成为增强企事业单位数字能力建设、提升治理数字化水平发展新动能的关键所在。
