对两部委“关于开展数据安全管理认证工作的公告”的文件解读与建议

2022年6月9日，国家市场监督管理总局和国家互联网信息办公室联合发布了“关于开展数据安全管理认证工作的公告”（文号为2022年第18号，以下简称18号文）。

18号文的发布，在数据安全领域引起了较大反响。本文将对18号文发布的影响和要求进行分析，并基于分析结果为企业组织的数据安全管理体系建设提供可参考的建议。

图1:18号文公告

18号文发布的背景与影响

随着《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《关键信息基础设施安全保护条例》这“三法一条例”的陆续发布，从国家到社会与个人已经逐步形成了加强数据安全保护的态势。

但是实际工作中，各级组织在积极开展数据安全建设的同时，也遇到了一些典型的问题。其中，数据治理机制、数据分类分级、数据安全防泄露、数据隐私保护、数据资产确权、数据跨境流动等问题引起了广泛关注。此外，数据安全管理体系的认证也是当前迫切需要解决的重要问题。

对于大部分组织来说，数据安全管理体系建设是一个全新的概念，采用科学的方法论进行建设尤其重要。目前被广泛采纳的方法论有Gartner的数据安全治理框架（DSG）、微软的DGPC框架、《GB/T 37988-2019 信息安全技术 数据安全能力成熟度模型》、信通院的数据安全建设方法《T/ISC-0011-2021 数据安全治理能力评估方法》等。

在重点行业领域，金融行业主要遵循中国人民银行提出的《JR/T 0171-2020 个人金融信息保护技术规范》、《JR/T 0197-2020 金融数据安全 数据安全分级指南》和《JR/T 0223-2021金融数据安全 数据生命周期安全规范》；电信和互联网行业参照的标准是工信部发布的《电信和互联网企业网络数据安全合规性评估要点》；健康医疗行业参考的标准是《GB/T 39725-2020信息安全技术 健康医疗数据安全指南》等。

这些数据安全标准规范及良好实践，虽然从不同角度提出各自的方法，但对于数据安全体系要达到什么程度却缺乏权威的认证要求。18号文的发布，第一次表明了国家主管部门将加强对数据安全的规范化管理，开展统一的认证工作，并发布《数据安全管理认证实施规则》，以明确对网络运营者开展网络数据收集、存储、使用、加工、传输、提供、公开等处理活动进行认证的基本原则和要求。

18号文明确要求参照国家标准《GB/T 41479-2022 信息安全技术 网络数据处理安全要求》的数据安全管理认证（DSM），这是对基于国内标准数据安全管理认证的重要补充与完善。

18号文的发布单位，是国家市场监督管理总局和国家互联网信息办公室。其中，国家市场监督管理总局对国家统一的认证认可和合格评定具有监督管理的职能；而国家互联网信息办公室具有统筹协调网络数据安全和相关监管工作的职能。《中华人民共和国数据安全法》第六条明确规定，“国家网信部门依照本法和有关法律、行政法规的规定，负责统筹协调网络数据安全和相关监管工作”。因此，该两大部门发起的数据安全管理认证是具有较强权威性的。

对《数据安全管理实施认证规则》的解读

18号文明确了数据安全管理认证是按照《数据安全管理认证实施规则》来实施，此规则的制定依据是《中华人民共和国认证认可条例》。而认证认可条例所称的“认证”是指由认证机构证明产品、服务、管理体系符合相关技术规范、相关技术规范的强制性要求或者标准的合格评定活动。

因此，《数据安全管理认证实施规则》所说的认证应当是针对网络运营者的数据安全管理体系开展的认证活动，以验证网络运营者是否建立了有效的数据安全管理体系来进行网络数据的收集、存储、使用、加工、传输、提供、公开等处理活动。

图2：《数据安全管理实施认证规则》主要内容

（一） 认证依据

《数据安全管理认证实施规则》制定的主要依据有：《数据安全法》第十八条——国家促进数据安全检测评估、认证等服务的发展，支持数据安全检测评估、认证等专业机构依法开展服务活动；《网络数据安全管理条例》(征求意见稿) 第三十五条第二款——数据处理者和数据接收方均通过国家网信部门认定的专业机构进行个人信息保护认证；《中华人民共和国认证认可条例》第二条——本条例所称认证，是指由认证机构证明产品、服务、管理体系符合相关技术规范、相关技术规范的强制性要求或者标准的合格评定活动。

（二） 认证要求

《数据安全管理认证实施规则》中明确了组织开展数据安全认证的依据是将于2022年11月1日实施的《网络数据处理安全要求 GB/T 41479-2022》；认证适用的范围是对网络运营者开展网络数据收集、存储、使用、加工、传输、提供、公开等处理活动进行认证；认证模式是技术验证+现场审核+获证后监督，提出对认证时限和认证证书和认证标志的相关要求；认证过程是认证委托+技术验证+现场审核+认证结果评价和批准+获证后监督。

（三） 认证责任

认证机构应依据实施规则的要求细化认证实施程序，制定科学、合理、可操作的认证实施细则并对外公布实施，认证实施时其责任是对现场审核结论、认证结论负责；技术验证机构应当按照认证方案实施技术验证，并向认证机构和认证委托人出具技术验证报告，认证实施时其责任是对技术验证结论负责；认证委托人应当按认证机构要求提交认证委托资料，并配合认证机构和技术验证机构的现场审核与验证工作，其责任是对认证委托资料的真实性、合法性负责。

对《网络数据处理安全要求》的解读

18号文明确了数据安全管理认证依据是《网络数据处理安全要求 GB/T 41479》及相关标准规范的最新版本。

《网络数据处理安全要求》结合了《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《GB/T 35273-2020个人信息安全规范》等规定，从数据处理安全总体要求、数据处理安全技术要求、数据处理安全管理要求三个方面规定了网络运营者开展数据处理活动的安全要求，参见下图：

图3：《网络数据处理安全要求》主要内容

（一）数据处理安全总体要求

数据识别--识别数据并形成数据保护目录，及时更新。

分类分级--按照国家标准、国家规定和业务运营需要，分类分级管理。

风险防控--建立数据安全管理责任和评价考核制度，制定数据安全保护计划，开展安全风险评估，及时处置安全事件，组织开展教育培训。

审计追溯--对数据处理的全生存周期进行记录，确保数据处理可审计、可追溯。

(二)数据应用生命周期过程的数据处理安全技术要求

通用--开展数据处理时应进行影响分析和风险评估，采取必要措施对识别的风险进行控制。

收集--遵循合法、正当、必要的原则，不收集与其提供的服务无直接或无合理关联的个人信息，不强迫收集个人信息；收集敏感个人信息前应获取单独同意。

存储--存储重要数据和个人信息不应超过约定期限或授权同意有效期；存储重要数据和个人信息等敏感网络数据，应采用加密、访问控制、安全审计等安全措施。

使用--(1)定向推送及信息合成：提供定向推送信息服务的同时应提供非定向推的选项；在提供新闻、博客类信息服务的过程中，利用算法自动合成文字、图片、音视频等信息，应明确告知用户；(2)第三方应用管理：监督第三方应用运营者加强数据安全管理；通过合同等形式明确双方的责任和义务；宜对接入或嵌入的第三方应用开展技术检测。

加工--在开展转换、汇聚、分析等数据加工活动的过程中，知道或者应知道可能危害国家安全、公共安全、经济安全和社会稳定的，应立即停止加工活动。

传输--传输重要数据和敏感个人信息时，应采用加密、脱敏等安全措施；向数据接收方传输数据时，应按要求采取安全措施并以合同进行约定。

提供--(1)向他人提供：进行安全影响分析和风险评估；向他人提供个人信息应履行告知义务并获取同意；委托第三方开展数据处理活动应通过合同等形式明确处理目的、权利义务等相关信息；共享、转让重要数据需签订合同明确数据保护责任并采取保障措施；(2)数据出境：遵循国家相关规定和相关标准的要求。境内用户在境内访问境内网络的，其流量不应路由至境外。

公开--利用所掌握的数据资源，公开市场预测、统计等信息时，不应危害国家安全、公共安全、经济安全和社会稳定。

私人信息和可转发信息的处理方式--即时通信等社交平台运营者宜为用户提供发送私人信息和可转发信息的选项，宜对以私人选项发送的信息不提供转发功能；宜对以可转发选项发送的信息或者转发此类信息的，同时发送信息始发者在该平台上的账号名称，该账号名称唯一且不可更改。

个人信息查阅、更正、删除及用户账号注销--建立渠道和机制，及时响应个人信息主体查阅、复制、更正、删除其个人信息及注销账号的请求，不应对请求设置不合理条件。

投诉、举报受理处置--建立投诉、举报受理处置制度。

访问控制与审计--基于数据分类分级，明确相关人员的访问权限；对重要数据、个人信息的关键操作(例如批量修改、拷贝、删除、下载等)，设置内部审批和审计流程，并严格执行。

数据删除和匿名化--符合法定情形时要及时履行删除义务；存储重要数据和个人信息的介质进行报废处理时，应采用物理损毁等方式销毁介质，以确保数据不能被恢复。

(三)数据处理安全管理要求

数据安全责任人--处理重要数据和敏感个人信息的，应明确数据安全责任人，并为其提供必要的资源保障，保证其独立履行相关职责。

人力资源保障与考核--明确数据安全保护岗位及职责，并提供人力资源保障；建立人力资源考核制度，明确数据安全管理考核指标和问责机制。

事件应急处置--应建立数据安全事件应急响应机制，配备应急响应所需的资源，制定应急演练计划。

对数据安全管理体系建设的建议

《数据安全管理认证实施规则》要求针对网络运营者的数据安全管理体系开展认证活动，那么组织首先应当如何建立有效的数据安全管理体系？

我们认为组织的数据安全管理体系建设应在《网络数据处理安全要求》的基础上，从数据安全规划、数据安全治理机制、数据安全生命周期管理、数据安全技术应用、数据安全日常运营五个方面开展组织数据安全管理体系建设，以满足数据安全合规和保护组织数据安全的要求。

图4：基于《网络数据处理安全要求》的数据安全管理体系框架

（一） 数据安全规划

从数据安全总体策略、数据处理的业务影响分析和风险评估、数据的分类分级、数据保护目录和数据保护计划五个方面进行数据安全规划。

•数据安全总体策略

构建全方位的数据安全体系，保障数据的安全与合规有序流动，在数据全生命周期过程中确保数据不丢失、不泄露、不被篡改、业务永远在线、可追溯和隐私合规等，已经成为企业当前数字转型过程中的核心诉求。

企业应建立数据安全总体策略，确保企业的所有数据是合法合规应用、确保安全与发展并重；建立安全可信的数据基础设施，建设覆盖数据全生命周期的数据安全体系，从数据安全的治理机制、数据安全防护的关键技术、数据安全的合规体系建设等方面来规划与建设适宜的数据安全体系。

•数据处理的业务影响分析和风险评估

数据处理的业务影响分析和风险评估，可遵循信息安全风险评估的基本原理，基于组织的数据安全策略，从数据全生命周期安全出发，通过对数据资产的重要程度、数据安全管理制度流程的设计和执行情况、数据安全技术工具的有效性等多方面进行信息收集和分析，评估数据处理活动存在的安全风险。

风险评估首先应明确待评估的数据资产范围，然后基于数据安全相关的法律法规和标准规范设定具体的评估项和评估指标。

《网络数据处理安全要求》定义的数据，包括重要数据、个人信息和其他数据。重要数据是指一旦泄露可能直接影响国家安全、公共安全、经济安全和社会稳定的数据，其范围可参照《中华人民共和国数据安全法》、《网络数据安全管理条例（征求意见稿）》等相关法律法规，包括未公开的政府信息、数量达到一定规模的基因、地理、矿产信息等。

个人信息是以电子或者其他方式记录的与已识别或者可以识别自然人有关的各种信息，包括姓名、出生日期、公民身份号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。对个人信息处理活动的风险评估，通常称为影响分析，可参考的标准有《GB/T 39335-2020 信息安全技术 个人信息安全影响评估指南》和《ISO/IEC 29134-2017 信息安全技术 隐私影响评估指南》。

个人信息安全影响评估，是针对个人信息处理活动，检验其合法合规程度，判断其对个人信息主体合法权益造成损害的各种风险，以及评估用于保护个人信息主体的各项措施有效性的过程。

图5：个人信息安全影响评估的基本原理

其他数据主要是组织的经营管理数据，包括战略数据、人事数据、财务数据、科研数据、销售数据等。

普通数据安全的风险评估没有固定的标准，为了与数据安全管理认证紧密联系，风险评估的依据可以在满足《网络数据处理安全要求》的基础上结合本行业监管部门的要求，如金融行业可参考《JR/T 0171-2020 个人金融信息保护技术规范》、《JR/T 0223-2021金融数据安全 数据生命周期安全规范》，电信互联网行业可参考《电信和互联网企业网络数据安全合规性评估要点》等。

数据安全风险评估的流程包括评估准备、评估实施、安全分析、报告编制、结果评审等；数据安全风险评估的方法包括问卷调查、人员访谈、文档查验、配置核查、工具测试、旁站验证等。

通过对数据处理活动开展风险评估，可以评价组织自身以及数据处理活动第三方合作机构的数据安全保护能力，为组织建立数据安全保护体系、明确数据安全保护策略和加强第三方合作机构的数据安全管理提供参考。

•数据分类分级

数据分类分级是数据安全治理的基础，“网络运营者应按照相关国家标准，根据合同规定和业务运营需要，对所识别的数据进行分类分级管理。”

目前组织可参考或借鉴的数据分类分级的标准，主要有证监会发布的《JR/T 0158-2018 证券期货业数据分类分级指引》、中国人民银行发布的《JR/T 0197-2020 金融数据安全 数据安全分级指南》、中国人民银行发布的《JR/T 0171-2020 个人金融信息保护技术规范》，工业和信息化部办公厅发布的《工业数据分类分级指南（试行）》，以及全国信息安全标准化技术委员会秘书处发布的《网络安全标准实践指南—网络数据分类分级指引（v1.0-202112）》等。

数据分类分级具有多种视角和维度，组织可在遵循国家和行业数据分类分级要求的基础上，按照组织经营维度，将个人或组织用户的数据单独划分出来作为用户数据，其中个人用户数据，可参考《中华人民共和国个人信息保护法》、《GB/T 35273-2020 信息安全技术 个人信息安全规范》、《JR/T 0171-2020 个人金融信息保护技术规范》等要求进行个人信息的分类分级。

用户数据之外的其他数据可从业务条线出发，首先对业务细分，然后对数据细分，形成从总到分的树形逻辑体系结构，最后对分类后的数据从影响对象、影响范围和影响程度三个方面确定级别，同时考虑确定数据形态。

图6：数据分类分级的基本流程

组织应制定数据分类分级标准和方法，对数据进行分类分级，并在数据内容发生变化、数据时效性、数据规模、数据应用场景、数据加工处理方式等发生变化等多个场景下对数据进行重新定级。

•数据保护目录

数据保护目录，也就是需要保护的数据资产清单。组织应对数据资产进行全面梳理，包括结构化数据和非结构化数据，明确数据资产的级别信息，形成数据资产清单。

图7：数据资产清单示例

组织也需要对数据资产清单进行维护、管理和定期审核，依据数据分类分级标准，建立数据分类分级保护策略，对数据实施全流程分类分级管理和保护。

•数据安全保护计划

组织依据数据分类分级的结果和数据保护目录，制定数据安全保护计划，采用不同的安全策略和管理流程，以及采用的数据安全保护技术手段，对不同安全等级的数据资产实施差异化管控。

图8：数据分级保护策略

（二） 数据安全治理机制

从数据安全管理组织与职责、数据安全制度与流程、数据安全评估与考核、数据安全教育与培训四个方面来建立数据安全治理机制。

•数据安全管理组织与职责

数据安全管理组织的架构，可以参照信息安全管理体系的四层设计，即决策层、管理层、执行层、监督层。

图9：数据安全管理组织架构示例

决策层，也就是数据安全管理委员会领导小组，由组织的高级管理层构成，总体负责数据安全工作的统筹组织、指导推进和协调落实，明确数据安全管理部门，协调组织内部数据安全管理资源调配；

管理层，即数据安全管理委员会委员，由数据安全管理、信息科技、业务、法务、合规、风险管理、稽核审计、人事等相关部门的主要负责人构成，负责数据安全相关工作的实施、相关政策和制度的制定评审工作，保障数据安全管理工作所需资源，并设立数据安全管理专职岗位，负责日常数据安全管理工作；

执行层，由业务部门、信息系统建设部门、运维部门以及分支机构的员工组成，根据数据安全相关策略和规程，落实本部门或本单位的数据安全防护措施；

监督层，由安全审计、合规稽核、风险管理等部门负责跟进数据安全相关业务的实际情况，确定数据安全审计策略和规范，开展数据安全内部审计，监督数据安全政策、方针的执行，公布投诉、举报方式，并及时受理数据安全和隐私保护相关的投诉和举报等。

•数据安全制度与流程

数据安全管理制度体系可分为四层架构，每一层作为上一层的支撑。

第一层是管理总纲，是组织数据安全顶层设计的方针和策略，应明确数据安全治理的目标和重点；

第二层是管理制度，应对数据安全管理活动中的各类管理内容建立安全管理制度，如数据生命周期安全管理、数据分类分级管理、数据安全应急响应、监测预警、合规评估、检查评价、教育培训等制度；

第三层是操作流程和规范性文件，是作为制度要求下指导数据安全策略落地的指南，如数据安全分类分级操作指南、数据安全技术防护操作指南、数据安全审计规范等指导性文件；

第四层是流程图和表单文件，是作为数据安全落地运营过程中产生的执行文件，如数据资产管理清单、数据使用申请审批表、账号权限申请审批表、数据安全定级流程图等。

图10：数据安全管理制度体系框架示例

图11：个人信息保护制度体系框架示例

•数据安全评价与考核

在人力资源管理方面，明确数据安全管理考核指标和问责机制，对相关人员特别是重要岗位人员的履职情况进行考核。出现数据安全重大事件时，对直接负责的主管人员和其他直接责任人员进行问责。

通过制定数据安全管理组织架构和职责体系，明确数据安全管理组织架构各层级的人员和职责，尤其在特权账号使用、敏感数据导出、数据访问、数据共享等环节明确安全责任人；通过合同协议等方式，明确组织及第三方合作机构在数据安全方面的责任和义务。

建立评价与考核指标，如年度数据安全事件的次数、数据安全培训人员比例及学时等，对数据安全管理工作进行评价和考核。

•数据安全教育与培训

组织可在三个层面开展数据安全教育培训，第一，针对高级管理层的培训；第二，针对数据安全管理团队的培训；第三，针对所有员工的培训。培训的目的是建立数据安全保护的文件、技能及意识。

图12：数据安全培训对象和内容示例

（三） 数据安全生命周期管理

数据安全生命周期管理可以参考本文“三、对《网络数据处理安全要求》解读”的相关内容。

（四） 数据安全技术应用

数据安全技术建设不是单一的产品或工具的构建，而是覆盖数据全生存周期、结合组织自身使用场景的体系建设。应依据组织数据安全建设的方针策略，围绕数据全生存周期各阶段的安全要求，建立与制度流程相配套的技术和工具。

图13：数据安全治理的技术和工具应用

常见的数据安全技术有：

•数据资产管理系统--数据资产管理系统不仅保存数据资产的信息，通常具有数据发现的功能。在某些行业和特定场景下，可以实现数据的自动分类分级。

•身份认证--身份认证是实现数据安全管理的基础功能，保障对人员合理授权的管理。

•访问控制--访问控制的目的是保证只有授权的人员才能访问数据，访问指对数据的增删改查等操作。

•数据加密--数据加密是指对结构化数据（如数据库）进行表、行、字段进行加密，和对非结构化数据（如电子文件）进行文档加密。

•数据防泄露--数据防泄露的产品主要包括终端防泄露、网络防泄露、邮件防泄露等。

•数据脱敏--数据脱敏的功能是“去敏感化”，主要产品形式有静态脱敏、动态脱敏等。

•数据备份--数据备份技术包括磁带备份、数据库复制、网络数据传输、远程镜像等方式。

•安全存储-- 存储系统作为数据的保存空间，是数据保护的最后一道防线，安全存储主要包括存储安全技术、重复数据删除技术、数据备份及灾难恢复技术等。

•数据销毁--对磁介质的销毁，通常采用消磁机；对磁盘等物理介质的销毁，较多采用粉碎的方式。

•安全审计--实现安全审计的技术/产品主要有数据库审计和数据防泄露。

（五） 数据安全运营

数据安全管理和技术体系的落地，离不开数据安全运营。首先应当把数据安全纳入组织的网络安全体系中，然后可从数据处理风险监测、数据安全事件管理、数据安全应急管理、数据安全审计等方面来建设运营体系。

•与组织现有安全管理体系的融合

当前国内组织按照国际标准ISO27000开展信息安全管理体系，以及按照国内等级保护规范要求开展网络安全保障体系的建设已经有多年的实践经验和较完整的体系，数据安全管理体系应当是信息安全管理体系或网络安全保障体系的重要组成部分。因此，组织在进行数据安全管理体系建设时，要确保与现有安全管理体系的融合，并把数据安全管理体系的运营纳入到现有的安全体系运营中来。

•对数据处理风险的持续监控与评估

建议通过自动化手段对数据处理的各个环节进行安全风险监测。对于大部分组织来说，可以借助已有的网络安全管理中心的安全运营平台（SOC），持续监测数据处理流程和关键环节中的安全风险。

图14：把数据安全运营纳入网络安全运营管理

通过自动化安全运营平台可以对与敏感数据处理相关的安全设备、主机、终端和系统进行集中管理，以及日志的集中收集和分析，进而对数据安全相关的系统进行安全状态监控、安全风险评估、故障快速定位、事件关联分析、事件处置、系统分析报表等；还可以对数据安全相关的安全策略、恶意代码、补丁升级等事项进行集中管理，具备策略统一下发、流程统一管理和人员及账户管理功能；此外，通过建立面向安全策略、安全风险、安全事件的KPI指标，对数据安全运营情况统计分析，对潜在可能发生的数据安全事件与风险进行预测与预警。

•对数据安全事件与应急管理

对组织的数据安全事件进行分类，对产生的数据安全事件进行收集与告警，并安排相关人员及流程进行日常处置；对于发生的重大数据安全事件，启动应急响应流程，必要时进行事件溯源调查与取证。

•开展针对数据安全的IT审计

由组织的内审部门按照信息系统审计的规范与要求，开展数据安全审计，或者聘请独立的第三方机构对组织的数据安全管理体系或数据安全控制措施进行IT审计。根据审计结论，管理层可以了解组织当前数据安全管控状态，促进组织对于重大风险领域与环节及时进行整改。

•开展数据安全管理认证与外部协作

组织按照以上思路与框架建立数据安全体系并运行一段时间后，可以向数据安全管理认证的专业机构提出认证申请，并提交认证委托资料；认证机构审核认证委托申请资料后，如果确定受理，将向申请人提交认证方案，包括数据类型和数量、涉及的数据处理活动范围、技术验证机构信息等，并通知认证委托人；认证机构实施现场审核，并向认证委托人出具现场审核报告。对符合认证要求的，颁发认证证书。

组织除了可以申请外部机构的认证服务外，还可以聘请外部咨询服务机构在准备申请认证之前协助组织建立数据安全管理体系，以快速提升自身的数据安全管理水平，更顺利地通过数据安全管理认证。

总结

•18号文的发布，表明国家主管部门对数据安全管理体系正式提出了认证要求，这对于推进国内各类机构加强数据安全建设具有重要的指导作用。

•国内各类机构可以借此政策“东风”，加强自身数据安全管理体系建设，既满足了监管合规的要求，又能够通过体系认证过程有效保护组织自身的数据安全。

•通过认证拿到证书只是一个结果，如何达到认证要求并切实提高自身的数据安全管理水平则是需要科学的方法。本文结合数据安全认证的相关依据与标准，描述了组织如何有效建立数据安全管理体系的一些基本方法和良好实践，希望对有志于开展数据安全管理认证的组织提供一些参考思路。

•细化的数据安全管理认证实施程序和认证实施细则还有待于认证机构的制定与公布，请大家保持关注。有关认证事项要以主管部门及认证机构最终正式发布的政策与相关解释为准。

作者简介

张兵，谷安天下数据安全咨询合伙人，数据安全治理委员会专家，全国金融标准化技术委员会证券分技术委员会专家，《中小银行数据安全治理研究报告》、《数据防泄露产品选型指南》报告主编，20多年的信息安全、数据安全、个人信息保护、科技风险等咨询及审计服务经验，获得CISA、CDPSE、CISP-DSG、ISO 27701等证书，熟悉银行业、保险业、证券业、电信互联网行业、医疗健康行业及大型央企的科技管理与风险应对措施，掌握专业的数据安全建设方法论，并具备丰富的项目实践经验。

李欣韦，谷安天下咨询经理，10多年的信息安全咨询和信息科技风险审计工作经验，获得CISA、CDPSE、CISP-DSG、ISO 27001、ISO 27701等证书，熟悉银行业、保险业、证券业、大型央企的科技管理风险与应对措施，对数据安全、个人信息保护、科技风险管理等领域均有着较为深入的研究，掌握专业的数据安全建设方法论，并具备丰富的项目实践经验。

合作电话：18311333376

合作微信：aqniu001