? ? ? ?01項(xiàng)目背景

? ? ? ?近年來，以數(shù)字經(jīng)濟(jì)為代表的新模式成為經(jīng)濟(jì)增長新引擎，數(shù)據(jù)作為核心生產(chǎn)要素成為了基礎(chǔ)戰(zhàn)略資源，數(shù)據(jù)安全的基礎(chǔ)保障意義與價(jià)值也日益凸顯。但是，數(shù)據(jù)的價(jià)值增長同樣伴隨數(shù)據(jù)安全風(fēng)險(xiǎn)的與日俱增：數(shù)據(jù)泄露、數(shù)據(jù)濫用等安全事件頻發(fā)，為個人隱私、企業(yè)商業(yè)秘密、國家重要數(shù)據(jù)等帶來了嚴(yán)重的安全隱患。近年來，國家對數(shù)據(jù)安全與個人信息保護(hù)進(jìn)行了前瞻性戰(zhàn)略部署，開展了系統(tǒng)性的頂層設(shè)計(jì)。備受關(guān)注的《中華人民共和國數(shù)據(jù)安全法》于 2021 年 9 月 1 日正式施行，《中華人民共和國個人信息保護(hù)法》于 2021 年 11 月 1 日正式施行。?我國大中型企業(yè)在日常經(jīng)營過程中，同樣面臨著嚴(yán)重的數(shù)據(jù)安全管理風(fēng)險(xiǎn)，具體體現(xiàn)在：數(shù)據(jù)敏感性級別未定義以至于很難抓住核心敏感性數(shù)據(jù)進(jìn)行優(yōu)先治理、人員對法律法規(guī)相關(guān)要求在日常行為中的映射并不明確、缺乏具體的數(shù)據(jù)安全企業(yè)標(biāo)準(zhǔn)、數(shù)據(jù)安全管理平臺策略制定路徑不明等典型問題。?針對于此，數(shù)據(jù)安全項(xiàng)目組提出了：“數(shù)據(jù)安全與業(yè)務(wù)邏輯有頻繁的交互，實(shí)現(xiàn)安全內(nèi)生”、“數(shù)據(jù)安全治理的成果，從管理辦法制定到數(shù)據(jù)的分級分類，都需要與技術(shù)體系結(jié)合，才能指導(dǎo)安全建設(shè)，實(shí)現(xiàn)數(shù)據(jù)安全治理的技術(shù)與管理運(yùn)營體系相輔相成，共同組成數(shù)據(jù)安全體系”、“基于法律法規(guī)、企業(yè)內(nèi)部實(shí)際情況建立‘管理基線’、‘技術(shù)基線’、‘?dāng)?shù)據(jù)基線’快速達(dá)到數(shù)據(jù)安全管理最小要求”的工作理念，并在今年于某大型房企開展了數(shù)據(jù)安全專項(xiàng)治理服務(wù)。

? ? ? ?02現(xiàn)狀診斷階段

? ? ? ?基于數(shù)據(jù)安全管理能力域內(nèi)的“數(shù)據(jù)安全戰(zhàn)略、數(shù)據(jù)生命周期安全、數(shù)據(jù)基礎(chǔ)安全、個人信息數(shù)據(jù)”四大能力主題域，“數(shù)據(jù)分類分級、合規(guī)管理、合作方管理”等20個能力項(xiàng)，每個能力項(xiàng)通過評估“組織建設(shè)、制度流程、技術(shù)工具、人員能力”水平，設(shè)立共計(jì)80個評估維度指標(biāo)，對企業(yè)的數(shù)據(jù)管理能力進(jìn)行全面診斷，找出強(qiáng)項(xiàng)、發(fā)現(xiàn)弱項(xiàng)，尋找數(shù)據(jù)安全管理突破口。

? ? ? ?項(xiàng)目組在一周多的時間內(nèi)，分別對通過對企業(yè)業(yè)務(wù)部門領(lǐng)導(dǎo)、業(yè)務(wù)骨干、IT負(fù)責(zé)人的訪談?wù){(diào)研，總計(jì)訪談10場、25人次，收集問卷調(diào)研14份，訪談中梳理出數(shù)據(jù)安全風(fēng)險(xiǎn)點(diǎn)44個。并針對每一個數(shù)據(jù)安全評估項(xiàng)給出提升建議。

? ? ? ?此外，針對典型辦公場景下的數(shù)據(jù)安全場景（開發(fā)測試運(yùn)維場景、辦公數(shù)據(jù)應(yīng)用場景、數(shù)據(jù)共享交換場景、數(shù)據(jù)開放交易場景）進(jìn)行具體分析，以求從業(yè)務(wù)側(cè)開展數(shù)據(jù)安全能力建設(shè)規(guī)劃。

? ? ? ?03合規(guī)對標(biāo)分析階段

? ? ? ?基于訪談中企業(yè)高層領(lǐng)導(dǎo)提出的“數(shù)據(jù)安全管理高壓線”，數(shù)據(jù)安全工作團(tuán)隊(duì)積極響應(yīng)，研習(xí)了我國與數(shù)據(jù)安全相關(guān)的《中華人民共和國網(wǎng)絡(luò)安全法》、《中華人民共和國數(shù)據(jù)安全法》、《中華人民共和國個人信息保護(hù)法》等所有法律法規(guī)，摘錄了法律法規(guī)中有關(guān)最小要求，建立起“技術(shù)基線”和“管理基線”。

? ? ? ?對企業(yè)不合規(guī)的事項(xiàng)進(jìn)行標(biāo)注，以便后續(xù)重點(diǎn)突破。

? ? ? ?04數(shù)據(jù)分類分級階段

? ? ? ?為了使數(shù)據(jù)安全管理工作有跡可循，需建立落地的數(shù)據(jù)安全管理企業(yè)標(biāo)準(zhǔn)，對不同類別的結(jié)構(gòu)化、非結(jié)構(gòu)化數(shù)據(jù)進(jìn)行分級管理，并在數(shù)據(jù)的創(chuàng)建、內(nèi)外部流轉(zhuǎn)應(yīng)用、終端存儲、數(shù)據(jù)銷毀等全生命周期環(huán)節(jié)進(jìn)行跟蹤管理。

? ? ? ?此外，對于數(shù)據(jù)使用者的日常工作，在人員入職、調(diào)崗、第三方服務(wù)人員入場等日常工作場景中，數(shù)據(jù)安全管理企業(yè)標(biāo)準(zhǔn)也規(guī)定了相應(yīng)的數(shù)據(jù)安全管理工作規(guī)范和監(jiān)控審計(jì)辦法。

? ? ? ?標(biāo)準(zhǔn)中同樣對企業(yè)數(shù)據(jù)操作人員分類分級方法給出指導(dǎo)，結(jié)合公司業(yè)務(wù)域劃分及產(chǎn)業(yè)條線劃分情況對數(shù)據(jù)分類方法給出指引；兼顧數(shù)據(jù)的使用群體、數(shù)據(jù)泄露/被破壞后的影響范圍等因素，將敏感數(shù)據(jù)劃分為“企業(yè)絕密、企業(yè)秘密、內(nèi)部公開、外部公開”四個等級。

? ? ? ?標(biāo)準(zhǔn)還對企業(yè)敏感數(shù)據(jù)的梳理、更新、上報(bào)流程進(jìn)行了規(guī)定，為了使各個業(yè)務(wù)部門能高效有序的開展數(shù)據(jù)分類分級資產(chǎn)梳理，項(xiàng)目組計(jì)劃組織各數(shù)據(jù)安全對接人召開相關(guān)宣貫培訓(xùn)會議。

? ? ? ?對于眾多業(yè)務(wù)系統(tǒng)存在的大量結(jié)構(gòu)化數(shù)據(jù)，通過智能化數(shù)據(jù)分類分級工具的數(shù)據(jù)資產(chǎn)定級功能，幫助企業(yè)實(shí)現(xiàn)了百萬級字段1小時定級的超高效率自動化數(shù)據(jù)定級工作，自動化定級準(zhǔn)確率達(dá)到80%以上，節(jié)省了大量的手工定級時間，極大提升了數(shù)據(jù)資產(chǎn)安全管理的效率。

? ? ? ?05數(shù)據(jù)安全管理規(guī)定與平臺規(guī)定結(jié)合階段

? ? ? ?由于需要技術(shù)工具來對數(shù)據(jù)安全管理規(guī)定的執(zhí)行情況進(jìn)行監(jiān)控審計(jì)，項(xiàng)目組依托于技術(shù)平臺工具對數(shù)據(jù)的外發(fā)、數(shù)據(jù)違規(guī)囤積、敏感數(shù)據(jù)識別等典型工作場景進(jìn)行審計(jì)和監(jiān)控，對異常操作情況進(jìn)行監(jiān)控審計(jì)和報(bào)警提示。

? ? ? ?有效的落實(shí)了數(shù)據(jù)安全分類分級管理規(guī)定，并對數(shù)據(jù)安全事件的事前預(yù)防、事中防范、事后定責(zé)提供技術(shù)支持。

? ? ? ?06總結(jié)

? ? ? ?本項(xiàng)目有三個方面值得推廣和復(fù)用：

? ? ? ?第一，數(shù)據(jù)安全管理不僅僅局限于表單、指標(biāo)等結(jié)構(gòu)化數(shù)據(jù)，對于文檔類型的非結(jié)構(gòu)化數(shù)據(jù)的分類分級管理和防泄漏管理也是企業(yè)值得思考和管理的方向。

? ? ? ?第二，技術(shù)平臺工具與管理相結(jié)合的數(shù)據(jù)安全管理模式。僅僅有數(shù)據(jù)安全管理工具卻沒有數(shù)據(jù)安全管理制度規(guī)范體系，技術(shù)平臺工具的使用會缺乏效率；僅僅有數(shù)據(jù)安全管理制度規(guī)范體系卻沒有技術(shù)平臺工具，會使得數(shù)據(jù)安全審計(jì)和風(fēng)險(xiǎn)預(yù)警開展不力，導(dǎo)致標(biāo)準(zhǔn)文件浮于空中。

? ? ? ?第三，將數(shù)據(jù)安全治理咨詢服務(wù)與相關(guān)數(shù)據(jù)安全產(chǎn)品深度結(jié)合，提供一體化的解決方案，幫助企業(yè)解決了數(shù)據(jù)安全治理規(guī)劃、數(shù)據(jù)安全治理建設(shè)、數(shù)據(jù)分類分級、數(shù)據(jù)資產(chǎn)梳理、數(shù)據(jù)安全制度建設(shè)、數(shù)據(jù)安全風(fēng)險(xiǎn)評估、數(shù)據(jù)安全管控策略等眾多有待解決的難題，讓數(shù)據(jù)安全體系建設(shè)從此變得簡單易行起來。

? ? ? ?了解更多非結(jié)構(gòu)化數(shù)據(jù)，詳見：結(jié)構(gòu)化數(shù)據(jù)與非結(jié)構(gòu)化數(shù)據(jù)的差異