2017年6月，《网络安全法》规定“建设、运营网络或者利用互联网提供服务，应当按照法律、行政法规的规定和国家标准的强制性要求，采取 技术措施和其他必要措施，保障网络安全、稳定运行，有效应对网络安全事件，防范网络违法犯罪活动，维护网络数据的完整性、保密性和可用性。”

　　2021年9月，《中华人民共和数据安全法》规定“维护数据安全，应当坚持总体国家安全观，建立完整数据安全治理体系，提高数据安全保障能力。”

　　2021年11月，《个人隐私信息保护法》规定个人隐私信息处理者的义务“制定内部管理制度和操作规程、对个人信息实行分类管理、采取对应的加密、去标识化等安全技术措施、合理确定个人隐私信息处理的操作权限，并定期对从业人员进行安全教育和培训、制定并组织实施个人隐私信息安全事件应急预案、法律、行政法规规定的其他措施。”

　　随着信息技术和人类生活的交汇融合，数字化转型的深入发展，各类数据迅速增长、海量汇聚，信息安全对经济发展、社会安全、民生发展产生重大深远的影响，随着2021年《中华人民共和国网络安全法》、《中华人民共和国个人信息保护法》等数据安全领域法律相继发布实施，我国数据安全发展正式迎来体系化建设“合规”时代。

　　在现代数字化时代，企业的数据资产慢慢的变成了最重要的资源之一。因此，企业要配备专业的数据安全人才来保障自身发展。据研究，全球有63%的企业面临着数据泄露和网络攻击的威胁，其中许多企业缺乏专业技术人员的支持，导致数据安全问题没办法得到解决。

　　因此，招聘和培养专业的数据安全人才慢慢的变成了公司发展的关键。这些人才不仅仅可以提供数据安全咨询和技术上的支持，而且还能帮企业制定安全策略和管理方案。对公司来说，只有适当投资并配备专业人才，才可能正真的保证企业的数据安全、稳健发展和长期竞争力。

　　CISP-DSG(英文名Certified Information Security Professional - Data Security Governance)中文全称“”国家注册数据安全治理专业技术人员认证”，能够在一定程度上帮助企业建立完善的数据安全管理体系，确保数据安全在数据生命周期内的六个阶段中基建完善程度和团队配置，以降低后续安全和业务相互沟通成本、普及数据安全重要性的成本。

　　信息安全知识：主要包括信息安全保障、信息安全评估、网络安全监管、信息安全支撑技术相关的知识。

　　数据安全基础体系：主要包括结构化数据应用、非结构化数据应用、大数据应用、数据生命周期等相关的技术知识。

　　数据安全技术体系：主要包括数据安全风险、结构化数据安全技术、非结构数据安全技术、大数据安全技术、数据安全运维相关知识和实践。

　　数据安全管理体系：主要包括数据安全制度、数据安全标准、数据安全策略、数据安全规范、数据安全规划相关技术知识和实践。

　　信息安全作为我国信息化建设健康发展的重要因素，关系到贯彻落实科学发展观、全面建设小康社会、构建社会主义和谐社会和建设创新型社会等国家战略举措的实施，是国家安全的重要组成部分。在信息系统安全保障工作中，人是最 核心、也是最活跃的因素，人员的信息安全意识、知识与技能已经成为保障信息系统安全稳定运行的重要基本要素之一。

　　注册信息安全专业人员（CISP）是对我国网络基础设施和重要信息系统的信息安全专业人员进行资质评定的重要形式。多年来为落实我国有关政策“加快信息安全人才培养，增强全民信息安全意识”的指导精神，构建信息安全人才体系发挥了巨大作用。

　　本大纲从我国国情出发，结合我国网络基础设施和重要信息系统安全保障的实际需求，以知识体系的全面性和实用性为原则，明确规定了注册信息安全专业人员应当掌握的知识要点，是CISP教材编制，讲师授课，学员学习，以及考试命题的重要依据。而数据安全官，英文名称为：Certified Information Security Professional - Data Security Office，简称CISP-DSO；证书持有人员主要从事数据安全治理相关管理工作，充分理解数据安全合规管理规则、掌握数据安全治理管理能力、数据安全管理体系规划及数据安全技术体系设计的基本知识和能力。

　　CISP-DSO知识体系使用组件模块化的结构，包括知识类、知识体、知识域、 知识子域四个层次。

　　知识类：是对数据安全管理知识领域的总体划分，包含数据安全治理专业人员-数据安全官需 要掌握的知识类别；

　　知识体：是知识类中由属于同一技术领域的知识内容构成的相对独立、 成体系的知识集合；

　　本大纲规定了知识子域中每一个知识要点的内容和深度要求，分为“了解”、 “理解”和“掌握”三类。

　　理解：是中等深度要求，学员需要在正确认识该知识要点的基本概念和原理的基础上，深入理解其内容，并可以进一步的判断和推理；

　　掌握：是最高深度要求，学员需要正确认识该知识要点的概念、原理， 并在深入理解的基础上灵活运用。

　　在整个注册信息安全专业人员-数据安全官（CISP-DSO）的知识体系结构中，共包括信息安全合规知识、数据安全管理体系、数据安全管理过程、数据安全治理与技术保护这四个知识类，每个知识类根据其逻辑划分为多个知识体，每个知识体包含多个知识域，每个知识域由一个或多个知识子域组成。

　　数据安全合规知识：主要包括我国国家安全法、网络安全法、数据安全法、个人信息保护法、密码法、关键信息基础设施保护条例、网络安全审查制度及各数据安全标准规范等法律、法规、规范中与数据安全治理、保护相关的知识。

　　数据安全管理体系：主要包括数据安全组织职能设计、数据安全方针策略设计、数据安全制度体系设计、数据安全标准规范设计、数据安全流程规划及管理等数据安全相关体系设计知识和实践。

　　数据安全管理过程：主要包括数据处理活动管理中的数据安全技术管理、数据生存周期安全管理、数据安全运营过程管理、数据安全监督审计管理及数据安全教育培训管理等相关的过程管理知识和实践。

　　数据安全治理与技术保护：主要包括数据分类分级管理、数据安全风险治理、数据安全技术保护（结构化、非结构化及大数据安全保护措施）、数据安全运维及数据安全审计等技术措施相关知识和实践。

　　数据安全认证专家CDSP，全称(Certified Data Security Professional)，是数据安全领域普遍认可的专业认证资质，以《数据安全法》和《个人信息保护法》为指导，针对云数据安全、ICT数据安全和新兴热点业务（如AI和 IoT等）的数据安全展开阐述，并结合各类新兴技术的不同场景，给出数据安全架构、安全设计、隐私保护的一般原则和业界最佳实践。

　　该认证的目的是在确保信息安全、数据安全、云计算、隐私保护的从业人员对数据安全威胁和数据安全框架和最佳实践有系统性地认知并掌握基本技能，并具备安全设计、审计、评估和保护数据与隐私所需的关键知识、技能和能力，可以将相关知识和技能落实到日常工作中，帮企业满足相关法律法规和监管要求。

　　DPO数据保护官是一个职能岗位，2018年5月，欧盟《通用数据保护条例》（GDPR）正式生效。DPO主要负责就GDPR规定提供咨询意见，向最高管理层报告。未来设立DPO职位也将会在国际化企业和政府部门内成为趋势。

　　根据欧盟GDPR要求，核心活动涉及处理或存储大量的欧盟公民数据、处理或存储特殊类别的个人数据（健康记录、犯罪记录）的组织必须指定数据保护官DPO。DPO主要负责就GDPR规定提供咨询意见，向最高管理层报告。未来设立DPO职位也将会在国际化企业和政府部门内成为趋势。

　　EXIN Privacy and Data Protection Practitioner认证，首先主要验证专业技术人员对欧盟隐私法规和其 国际关联性的理解程度；更会进一步考察从业者在专业领域的实践中应用其知识的能力。

　　国际注册数据隐私安全专家 (CDPSE) 专注于验证评估、构建和实施综合隐私解决方案所需的技术技能和知识。CDPSE 持有者可以填补技术隐私技能空白，以便您的组织拥有称职的隐私技术专家来构建和实施降低风险和提高效率的解决方案。

　　数据合规官（CCRC-DCO）持证人员具备数据治理与数据合规方向的高度理论水平和实践能力，将在人才遴选、职务晋升、业务发展等诸多方面脱颖而出，有效提升自身竞争力和所在团队及单位的业务实力，提高数据治理合规风控水平及品牌优势。在中国《网络安全法》《数据安全法》《个人隐私信息保护法》全面施行之际，数据合规官（CCRC-DCO）成为甄选高级人才和业务伙伴的重要评判指标。

　　为全方位满足数据安全人才市场需求，中国计算机行业协会数据安全专业委员会与工业和信息化部教育与考试中心联合推出数据安全职业能力培训。

　　数据安全职业能力培训设置了注册数据安全审计师(CDSA)岗位课程，致力于培养数据安全审计人才。通过本课程培训能够帮助学员掌握数据安全基础、数据安全审计基础、数据安全治理审计、数据安全运营管理审计和数据安全运营技术审计等数据安全审计相关知识，帮助学员综合提升数据安全审计能力，在数据安全领域的相关工作中更加游刃有余，并且有理论知识和技术实践作为双重保障，为处理数据安全审计问题保驾护航，落实国家法律和法规及监管合规要求，加强数据安全审计人才队伍建设，以数据安全保障数据开发利用和产业发展。

　　中国计算机行业协会数据安全专业委员会发布了三个等级的数据安全水平考试，分别为一、二、三级。其中，一级考试是国家级认证，旨在增强各行业人员的数据安全意识和基本技能；二级考试以数据安全理论为主的专业知识体系为核心，适用于从事数据安全岗位的人员；三级考试则着重培养数据安全高端人才，在评估、管理、运营和审计等方面提供更深入的知识和技能。每个级别都包括理论知识和实践技能，为处理数据安全问题提供双重保障。

　　2021年6月10日，十三届全国人大常委会第二十九次会议通过了《数据安全法》，确立了数据分类分级管理，数据安全审查，数据安全风险评估、监测预警和紧急处理等基本制度。数据安全已成为事关国家安全和经济社会发展的重大问题，具备数据安全意识已成为各行各业工作人员的基本要求。

　　为积极贯彻落实国家法律和法规和监管机构要求，中国计算机行业协会数据安全专业委员会推出数据安全意识教育、宣传及培训工作，以便在更广泛范围内加强企业各部门员工数据安全基本知识普及，从员工思想深处扎牢数据安全的“篱笆”，让安全工作的推进更快速、更高效。考虑到企业面临的数据安全态势日趋严峻、监管合规要求持续变化，数据安全意识教育工作应坚持长期持续开展，并与监管合规政策要求保持同步。

　　数据安全治理体系规划设计通过数据安全专业服务人员，参照《GBT 37988-2019 信息安全技术 数据安全能力成熟度模型》，在评估用户组织机构、管理制度、技术能力、人员能力的差距后，依据数据实际交互过程、数据安全风险场景和风险点，设计体系化的数据安全治理体系；在规划数据安全治理体系后，进而开展数据安全组织结构建设，从数据安全决策组织、数据安全管理组织、数据安全审计组织等多个角色组织，确立权责关系为数据安全建设推进提供基础支撑；数据安全制度建设，在结合用户实际数据交互场景，安全风险的前提下，遵从法律和法规要求，对不同级别的数据提出差异化的防护要求，为技术能力落地提供相关依据；数据安全防护技术建设，依据数据安全管理制度的规定，在全生命周期建设访问控制、数据防泄漏、数据审计等基础数据安全防护能力，落实数据全生命周期基础安全防护能力；数据安全运营管控能力建设，将数据安全治理体系与数据安全防护体系相结合，通过技管并重的方式，建设数据资产识别管理、数据分类分级管理、数据风险识别管理、数据安全事件管理、数据安全审计能力，实现运营流程的闭环过程；数据安全监管能力建设，从内部监管和外部监管维度，依据数据权责关系，以及外部行业监督管理和属地监管相关要求，建立数据资产清单、分类分级清单、敏感数据清单、数据安全风险清单，并进行接口开发实现监管数据上报能力。

　　数据安全体系规划：以数据安全治理评估为起点，对用户合规需求、风险需求、业务需求来做分析，从组织机构、管理制度、技术能力、人员能力进行体系化规划。

　　数据安全能力建设：为落实《中华人民共和国数据安全法》中的数据分类分级保护要求，在网络安全基础上建立涵盖数据全生命周期的基础安全防护能力，对数据全生命周期的安全风险进行监测和防护。

　　数据安全运营管控建设：为用户从运维管理、风险控制、持续监测、应急响应、恢复溯源多维维度建立。

　　数据安全监管建设：为用户从运维管理、风险控制、持续监测、应急响应、恢复溯源多维维度建立数据资产清单、数据分类分级清单、重要数据清单、数据风险识别清单等，结合行业监督管理要求、属地监督管理要求、内部监督管理要求，建立数据信息上报能力。返回搜狐，查看更加多