01 數(shù)據(jù)安全治理背景

隨著各行各業(yè)信息化不斷演變發(fā)展，數(shù)據(jù)已成為基礎(chǔ)設(shè)施，成為業(yè)務(wù)發(fā)展重要原動(dòng)力，內(nèi)部業(yè)務(wù)與互聯(lián)網(wǎng)深度融合，利用新媒體，讓數(shù)據(jù)產(chǎn)生更大價(jià)值，是近近幾年發(fā)展的主要趨勢。如何提升數(shù)據(jù)資產(chǎn)價(jià)值同時(shí)讓數(shù)據(jù)使用更安全，已成為各個(gè)行業(yè)探討的方向。近幾年網(wǎng)絡(luò)安全事件頻發(fā)，具有商業(yè)特性的攻擊事件越來越多，地下黑產(chǎn)對個(gè)人信息需求異常旺盛。2017-2018年度551起數(shù)據(jù)泄露事件中，出自各行各業(yè)，數(shù)據(jù)高質(zhì)量、易獲取，已成為不法份子獲取利益的最佳途徑。隨著橫向網(wǎng)絡(luò)安全法、等保2.0的合規(guī)性要求及縱向垂直行業(yè)安全要求的需要，對數(shù)據(jù)存儲(chǔ)、使用、運(yùn)營提出了明確要求，如何更好的對數(shù)據(jù)進(jìn)行有效防護(hù)，保障數(shù)據(jù)全生命周期的安全性，如何以事前發(fā)現(xiàn)、事中阻止、事后審計(jì)、持續(xù)加固的方式，提供更好的服務(wù)是每個(gè)從事安全的行業(yè)人員應(yīng)該深度思考的問題。

02 數(shù)據(jù)安全治理概念

根據(jù)《數(shù)據(jù)安全治理白皮書3.0》，數(shù)據(jù)安全治理是以“讓數(shù)據(jù)使用更安全”為目的，在中國易于落地的數(shù)據(jù)安全建設(shè)的體系化方法論，核心內(nèi)容包括：

（1）滿足數(shù)據(jù)安全保護(hù)（Protection ）、合規(guī)性（Compliance）、敏感數(shù)據(jù)管理（Sensitive）?三個(gè)需求目標(biāo)；

（2）核心理念包括：分類分級(Classfiying)、角色授權(quán)(Privilege)、場景化安全 (Scene)；

（3）數(shù)據(jù)安全治理的建設(shè)步驟包括：組織構(gòu)建、資產(chǎn)梳理、策略制定、過程控制、行為稽核和持續(xù)改善；

（4）核心實(shí)現(xiàn)框架為數(shù)據(jù)安全人員組織(Person)、數(shù)據(jù)安全使用的策略和流程 (Policy&Process)、數(shù)據(jù)安全技術(shù)支撐(Technology)三大部分。

數(shù)據(jù)安全治理的核心理念：

?分類分級

數(shù)據(jù)資產(chǎn)保護(hù)的核心在于數(shù)據(jù)分類分級。

通過對數(shù)據(jù)的有效理解和分析，對數(shù)據(jù)進(jìn)行不同類別和密級的劃分；根據(jù)數(shù)據(jù)的類別和密級制定不同的管理和使用原則，盡可能對數(shù)據(jù)做到有差別和針對性的防護(hù)，實(shí)現(xiàn)在適當(dāng)安 全保護(hù)下的數(shù)據(jù)自由流動(dòng)。

參考：12張圖解析數(shù)據(jù)安全分類分級

?角色授權(quán)

數(shù)據(jù)安全訪問控制核心在于數(shù)據(jù)訪問主體的角色授權(quán)。

在數(shù)據(jù)分級和分類后，明確了數(shù)據(jù)的訪問角色以及數(shù)據(jù)的使用方式，在不影響數(shù)據(jù)資源正常訪問的前提下，針對不同的角色賦予不同的訪問權(quán)限，實(shí)現(xiàn)數(shù)據(jù)的訪問和使用安全。

?場景化安全

數(shù)據(jù)安全治理的核心在于場景化安全。

不同用戶基于業(yè)務(wù)、訪問途徑、使用需求，會(huì)產(chǎn)生不同的使用場景。在保證數(shù)據(jù)被正常 使用的目標(biāo)下，基于不同的使用場景制定相應(yīng)的數(shù)據(jù)安全策略。場景化的數(shù)據(jù)安全治理，能及時(shí)發(fā)現(xiàn)數(shù)據(jù)風(fēng)險(xiǎn)暴露面，使數(shù)據(jù)安全治理更具針對性，從而實(shí)現(xiàn)數(shù)據(jù)使用更安全。

03 數(shù)據(jù)安全治理目標(biāo)

數(shù)據(jù)安全治理長期目標(biāo)思短期目標(biāo)需要從治理體系、安全合規(guī)、技術(shù)支撐三要素進(jìn)行考慮建設(shè)。

治理體系：數(shù)據(jù)安全體系化建設(shè)，使數(shù)據(jù)安全管理更加合理規(guī)范，良好的可視性運(yùn)維機(jī)制和動(dòng)態(tài)協(xié)同能力。

安全合規(guī)：充分了解合規(guī)及行業(yè)要求，建設(shè)滿足合規(guī)性要求同時(shí)，需要考慮靈活性、可擴(kuò)展性及各階段銜接性。

技術(shù)支持：提升事前發(fā)現(xiàn)、事中防護(hù)、事后審計(jì)能力。

04 數(shù)據(jù)安全治理體系框架

數(shù)據(jù)安全是數(shù)據(jù)安全治理的目標(biāo)對象，參考框架是數(shù)據(jù)安全治理的參照對象。組織可以通過持續(xù)構(gòu)建參照對象，實(shí)現(xiàn)對目標(biāo)對象的有效管理。依據(jù)團(tuán)體標(biāo)準(zhǔn)T/ISC-0011-2021《數(shù)據(jù)安全治理能力評估方法》，數(shù)據(jù)案例參考框架包括數(shù)據(jù)安全戰(zhàn)略、數(shù)據(jù)全生命周期安全、基礎(chǔ)安全3部分主要內(nèi)容，如下圖所示。

數(shù)據(jù)安全治理參考框架

?數(shù)據(jù)安全戰(zhàn)略

在組織啟動(dòng)數(shù)據(jù)安全治理工作前，必須制定相應(yīng)的戰(zhàn)略規(guī)劃，明確治理目標(biāo)和具體任務(wù)，匹配對應(yīng)的資源，使得治理工作能夠有條不紊地展開。數(shù)據(jù)安全戰(zhàn)略可以從數(shù)據(jù)安全規(guī)劃、機(jī)構(gòu)人員管理兩個(gè)能力項(xiàng)入手，前者確立目標(biāo)任務(wù)，后者組建治理團(tuán)隊(duì)。

?數(shù)據(jù)全生命周期安全

數(shù)據(jù)安全治理應(yīng)圍繞數(shù)據(jù)全生命周期展開，以采集、傳輸、存儲(chǔ)、使用、共享、銷毀各個(gè)環(huán)節(jié)為切入點(diǎn)，設(shè)置相應(yīng)的管控點(diǎn)和管理流程，以便于在不同的業(yè)務(wù)場景中進(jìn)行組合復(fù)用。數(shù)據(jù)全生命周期安全包括數(shù)據(jù)采集安全、數(shù)據(jù)傳輸安全、存儲(chǔ)安全、數(shù)據(jù)備份與恢復(fù)、使用安全、數(shù)據(jù)處理環(huán)境安全、數(shù)據(jù)內(nèi)部共享安全、數(shù)據(jù)外部共享安全、數(shù)據(jù)銷毀安全在內(nèi)的9個(gè)能力項(xiàng)，通過對數(shù)據(jù)全流轉(zhuǎn)過程進(jìn)行規(guī)范和約束以有效降低數(shù)據(jù)安全風(fēng)險(xiǎn)。

?基礎(chǔ)安全

基礎(chǔ)安全能力作為數(shù)據(jù)全生命周期安全能力建設(shè)的基本支撐，可以在多個(gè)生命周期環(huán)節(jié)內(nèi)復(fù)用，是整個(gè)數(shù)據(jù)安全治理體系建設(shè)的通用要求，能夠?qū)崿F(xiàn)建設(shè)資源的有效整合?；A(chǔ)安全能力包括數(shù)據(jù)分類分級、合規(guī)管理、合作方管理、監(jiān)控審計(jì)、鑒別與訪問、風(fēng)險(xiǎn)和需求分析、安全事件應(yīng)急等7個(gè)能力項(xiàng)，主要從數(shù)據(jù)安全的保障措施上進(jìn)行定義和要求。對行業(yè)數(shù)據(jù)特性及數(shù)據(jù)管理現(xiàn)存問題，從數(shù)據(jù)視角出發(fā)，系統(tǒng)化、規(guī)范化、科學(xué)性的建立數(shù)據(jù)安全治理體系。完整的數(shù)據(jù)安全治理體系應(yīng)包含5個(gè)方面：原則、上層建筑、資產(chǎn)梳理、管理體系、防護(hù)體系。

安全治理體系

原則是數(shù)據(jù)安全治理的基本思想與方針，包括：戰(zhàn)略一致、風(fēng)險(xiǎn)可控、運(yùn)營合規(guī)、績效提升。上層建筑包括內(nèi)外部策略、部門職責(zé)、動(dòng)態(tài)協(xié)同等，起到安全治理過程中依據(jù)、指引等作用。資產(chǎn)梳理是以安全治理角度，充分摸清家底，有針對性、有計(jì)劃性的進(jìn)行治理實(shí)施，主要包括：管理梳理、技術(shù)梳理、場景梳理。管理體系具有可落地執(zhí)行特性，包含組織體系、執(zhí)行體系及運(yùn)維體系。技術(shù)體系通過發(fā)現(xiàn)、運(yùn)維、防護(hù)，實(shí)現(xiàn)各階段進(jìn)行快速響應(yīng)。

數(shù)據(jù)安全治理框架05 數(shù)據(jù)安全治理實(shí)踐路線參考中國信通院發(fā)布發(fā)布的《數(shù)據(jù)安全治理實(shí)踐指南（1.0）》，給出了數(shù)據(jù)安全治理的實(shí)踐路線：(一) 第一步：治理規(guī)劃(二) 第二步：治理建設(shè)(三) 第三步：治理運(yùn)營(四) 第四步：治理成效評估

第一步就是要進(jìn)行治理規(guī)劃，它是數(shù)據(jù)安全治理工作能夠有條不紊的開展的前提，可以按照現(xiàn)狀分析、方案規(guī)劃、方案論證的環(huán)節(jié)順序推進(jìn)。

明晰的組織體系是保障數(shù)據(jù)安全工作順利開展的首要條件，可以參考上圖所示內(nèi)容進(jìn)行建設(shè)。其中，決策層是統(tǒng)籌部門，可以采取“一把手負(fù)責(zé)制”，管理層是數(shù)據(jù)安全工作的管理團(tuán)隊(duì)，執(zhí)行層是數(shù)據(jù)安全工作的具體執(zhí)行者和參與者，監(jiān)督層負(fù)責(zé)對管理層和執(zhí)行層的工作進(jìn)行監(jiān)督，對違規(guī)行為予以糾正。

制度流程作為數(shù)據(jù)安全防護(hù)要求、管理策略、操作規(guī)程等的集合，一般會(huì)從業(yè)務(wù)數(shù)據(jù)安全需求、數(shù)據(jù)安全風(fēng)險(xiǎn)控制需要、法律法規(guī)合規(guī)性要求等幾個(gè)方面進(jìn)行梳理。相關(guān)制度文件的制定可以參考上圖所示的四個(gè)層級。

技術(shù)工具作為落實(shí)各項(xiàng)安全管理要求的有效手段，是支撐數(shù)據(jù)安全治理體系建設(shè)的能力底座?？梢詤⒖忌蠄D中的技術(shù)框架，完善各項(xiàng)技術(shù)工具以及產(chǎn)品平臺(tái)的功能項(xiàng)，確保數(shù)據(jù)安全技術(shù)能力的具體落實(shí)。

數(shù)據(jù)安全治理離不開相應(yīng)人員的具體執(zhí)行，因此，加強(qiáng)對數(shù)據(jù)安全人才的培養(yǎng)是數(shù)據(jù)安全治理的應(yīng)有之義?？梢詮臄?shù)據(jù)安全意識(shí)提升、數(shù)據(jù)安全能力培訓(xùn)、數(shù)據(jù)安全能力考核三方面進(jìn)行培養(yǎng)。

數(shù)據(jù)安全治理的持續(xù)運(yùn)營，能夠打通各環(huán)節(jié)的建設(shè)內(nèi)容，促進(jìn)整個(gè)體系的良性發(fā)展。治理運(yùn)營分為三個(gè)方面，一是風(fēng)險(xiǎn)防范，二是監(jiān)控預(yù)警，三是應(yīng)急處理。

06 數(shù)據(jù)安全治理實(shí)施過程中注意事項(xiàng)合規(guī)性要求。行業(yè)合規(guī)性要求較多，會(huì)隨著時(shí)間推移發(fā)生變動(dòng)，合規(guī)性文件對數(shù)據(jù)安全治理過程中有著依據(jù)、指引等作用，如不能深入了解，會(huì)使數(shù)據(jù)安全治理建設(shè)過程反復(fù)。管理體系。完善可持續(xù)性的管理體系是保障安全治理的先決條件，規(guī)劃好，落地難的管理體系如空中樓閣，使數(shù)據(jù)安全治理效果大大折扣。資產(chǎn)梳理。資產(chǎn)梳理對數(shù)據(jù)安全治理尤為重要，需要清除哪些數(shù)據(jù)要防護(hù)、數(shù)據(jù)如何流轉(zhuǎn)、端到端對象都有誰、數(shù)據(jù)跑的有什么內(nèi)容、現(xiàn)今數(shù)據(jù)載體有什么安全隱患等等問題，資產(chǎn)梳理不到位，難以進(jìn)行后期的體系建設(shè)。缺乏過程持續(xù)性。數(shù)據(jù)安全治理是一個(gè)持續(xù)性過程，上到管理體系，下至技術(shù)工具，都需進(jìn)行持續(xù)性完善，如治理過程缺乏持續(xù)性，則無法形成運(yùn)維監(jiān)控、定向?qū)徲?jì)、問題處置與體系加固等一套有效的運(yùn)轉(zhuǎn)機(jī)制。

數(shù)據(jù)安全治理流程

07 總結(jié)

大數(shù)據(jù)、云計(jì)算、物聯(lián)網(wǎng)、人工智能的到來，讓各個(gè)行業(yè)發(fā)生巨大的改變，各行業(yè)對數(shù)據(jù)數(shù)據(jù)整合及利用，以互聯(lián)網(wǎng)進(jìn)為載體行服務(wù)模式轉(zhuǎn)變同時(shí)，應(yīng)充分考慮對數(shù)據(jù)的安全治理。通過對人、管理、防護(hù)產(chǎn)品多個(gè)方面進(jìn)行數(shù)據(jù)安全治理意識(shí)、制度、技術(shù)的持續(xù)性完善，實(shí)現(xiàn)安全、業(yè)務(wù)與數(shù)據(jù)有效融合，達(dá)到數(shù)據(jù)安全治理的預(yù)期效果。參考：中國信通院CAICT ?《《數(shù)據(jù)安全治理實(shí)踐指南（1.0）》（附專家解讀）》

附：68頁P(yáng)PT 數(shù)據(jù)安全總體解決方案

下面這份PPT材料為企業(yè)數(shù)據(jù)安全總體解決方案，主要介紹了數(shù)據(jù)安全管理背景需求、最佳實(shí)踐方法論和落地成功案例分享，供企業(yè)開展數(shù)據(jù)安全體系規(guī)劃建設(shè)時(shí)參考借鑒。全文共68頁P(yáng)PT，限于篇幅以下僅展示部分內(nèi)容，文末附完整版PPT下載鏈接。