01 數據安全治理背景

隨著各行各業信息化不斷演變發展，數據已成為基礎設施，成為業務發展重要原動力，內部業務與互聯網深度融合，利用新媒體，讓數據產生更大價值，是近近幾年發展的主要趨勢。如何提升數據資產價值同時讓數據使用更安全，已成為各個行業探討的方向。近幾年網絡安全事件頻發，具有商業特性的攻擊事件越來越多，地下黑產對個人信息需求異常旺盛。2017-2018年度551起數據泄露事件中，出自各行各業，數據高質量、易獲取，已成為不法份子獲取利益的最佳途徑。隨著橫向網絡安全法、等保2.0的合規性要求及縱向垂直行業安全要求的需要，對數據存儲、使用、運營提出了明確要求，如何更好的對數據進行有效防護，保障數據全生命周期的安全性，如何以事前發現、事中阻止、事后審計、持續加固的方式，提供更好的服務是每個從事安全的行業人員應該深度思考的問題。

02 數據安全治理概念

根據《數據安全治理白皮書3.0》，數據安全治理是以“讓數據使用更安全”為目的，在中國易于落地的數據安全建設的體系化方法論，核心內容包括：

（1）滿足數據安全保護（Protection ）、合規性（Compliance）、敏感數據管理（Sensitive）?三個需求目標；

（2）核心理念包括：分類分級(Classfiying)、角色授權(Privilege)、場景化安全 (Scene)；

（3）數據安全治理的建設步驟包括：組織構建、資產梳理、策略制定、過程控制、行為稽核和持續改善；

（4）核心實現框架為數據安全人員組織(Person)、數據安全使用的策略和流程 (Policy&Process)、數據安全技術支撐(Technology)三大部分。

數據安全治理的核心理念：

?分類分級

數據資產保護的核心在于數據分類分級。

通過對數據的有效理解和分析，對數據進行不同類別和密級的劃分；根據數據的類別和密級制定不同的管理和使用原則，盡可能對數據做到有差別和針對性的防護，實現在適當安 全保護下的數據自由流動。

參考：12張圖解析數據安全分類分級

?角色授權

數據安全訪問控制核心在于數據訪問主體的角色授權。

在數據分級和分類后，明確了數據的訪問角色以及數據的使用方式，在不影響數據資源正常訪問的前提下，針對不同的角色賦予不同的訪問權限，實現數據的訪問和使用安全。

?場景化安全

數據安全治理的核心在于場景化安全。

不同用戶基于業務、訪問途徑、使用需求，會產生不同的使用場景。在保證數據被正常 使用的目標下，基于不同的使用場景制定相應的數據安全策略。場景化的數據安全治理，能及時發現數據風險暴露面，使數據安全治理更具針對性，從而實現數據使用更安全。

03 數據安全治理目標

數據安全治理長期目標思短期目標需要從治理體系、安全合規、技術支撐三要素進行考慮建設。

治理體系：數據安全體系化建設，使數據安全管理更加合理規范，良好的可視性運維機制和動態協同能力。

安全合規：充分了解合規及行業要求，建設滿足合規性要求同時，需要考慮靈活性、可擴展性及各階段銜接性。

技術支持：提升事前發現、事中防護、事后審計能力。

04 數據安全治理體系框架

數據安全是數據安全治理的目標對象，參考框架是數據安全治理的參照對象。組織可以通過持續構建參照對象，實現對目標對象的有效管理。依據團體標準T/ISC-0011-2021《數據安全治理能力評估方法》，數據案例參考框架包括數據安全戰略、數據全生命周期安全、基礎安全3部分主要內容，如下圖所示。

數據安全治理參考框架

?數據安全戰略

在組織啟動數據安全治理工作前，必須制定相應的戰略規劃，明確治理目標和具體任務，匹配對應的資源，使得治理工作能夠有條不紊地展開。數據安全戰略可以從數據安全規劃、機構人員管理兩個能力項入手，前者確立目標任務，后者組建治理團隊。

?數據全生命周期安全

數據安全治理應圍繞數據全生命周期展開，以采集、傳輸、存儲、使用、共享、銷毀各個環節為切入點，設置相應的管控點和管理流程，以便于在不同的業務場景中進行組合復用。數據全生命周期安全包括數據采集安全、數據傳輸安全、存儲安全、數據備份與恢復、使用安全、數據處理環境安全、數據內部共享安全、數據外部共享安全、數據銷毀安全在內的9個能力項，通過對數據全流轉過程進行規范和約束以有效降低數據安全風險。

?基礎安全

基礎安全能力作為數據全生命周期安全能力建設的基本支撐，可以在多個生命周期環節內復用，是整個數據安全治理體系建設的通用要求，能夠實現建設資源的有效整合。基礎安全能力包括數據分類分級、合規管理、合作方管理、監控審計、鑒別與訪問、風險和需求分析、安全事件應急等7個能力項，主要從數據安全的保障措施上進行定義和要求。對行業數據特性及數據管理現存問題，從數據視角出發，系統化、規范化、科學性的建立數據安全治理體系。完整的數據安全治理體系應包含5個方面：原則、上層建筑、資產梳理、管理體系、防護體系。

安全治理體系

原則是數據安全治理的基本思想與方針，包括：戰略一致、風險可控、運營合規、績效提升。上層建筑包括內外部策略、部門職責、動態協同等，起到安全治理過程中依據、指引等作用。資產梳理是以安全治理角度，充分摸清家底，有針對性、有計劃性的進行治理實施，主要包括：管理梳理、技術梳理、場景梳理。管理體系具有可落地執行特性，包含組織體系、執行體系及運維體系。技術體系通過發現、運維、防護，實現各階段進行快速響應。

數據安全治理框架05 數據安全治理實踐路線參考中國信通院發布發布的《數據安全治理實踐指南（1.0）》，給出了數據安全治理的實踐路線：(一) 第一步：治理規劃(二) 第二步：治理建設(三) 第三步：治理運營(四) 第四步：治理成效評估

第一步就是要進行治理規劃，它是數據安全治理工作能夠有條不紊的開展的前提，可以按照現狀分析、方案規劃、方案論證的環節順序推進。

明晰的組織體系是保障數據安全工作順利開展的首要條件，可以參考上圖所示內容進行建設。其中，決策層是統籌部門，可以采取“一把手負責制”，管理層是數據安全工作的管理團隊，執行層是數據安全工作的具體執行者和參與者，監督層負責對管理層和執行層的工作進行監督，對違規行為予以糾正。

制度流程作為數據安全防護要求、管理策略、操作規程等的集合，一般會從業務數據安全需求、數據安全風險控制需要、法律法規合規性要求等幾個方面進行梳理。相關制度文件的制定可以參考上圖所示的四個層級。

技術工具作為落實各項安全管理要求的有效手段，是支撐數據安全治理體系建設的能力底座。可以參考上圖中的技術框架，完善各項技術工具以及產品平臺的功能項，確保數據安全技術能力的具體落實。

數據安全治理離不開相應人員的具體執行，因此，加強對數據安全人才的培養是數據安全治理的應有之義。可以從數據安全意識提升、數據安全能力培訓、數據安全能力考核三方面進行培養。

數據安全治理的持續運營，能夠打通各環節的建設內容，促進整個體系的良性發展。治理運營分為三個方面，一是風險防范，二是監控預警，三是應急處理。

06 數據安全治理實施過程中注意事項合規性要求。行業合規性要求較多，會隨著時間推移發生變動，合規性文件對數據安全治理過程中有著依據、指引等作用，如不能深入了解，會使數據安全治理建設過程反復。管理體系。完善可持續性的管理體系是保障安全治理的先決條件，規劃好，落地難的管理體系如空中樓閣，使數據安全治理效果大大折扣。資產梳理。資產梳理對數據安全治理尤為重要，需要清除哪些數據要防護、數據如何流轉、端到端對象都有誰、數據跑的有什么內容、現今數據載體有什么安全隱患等等問題，資產梳理不到位，難以進行后期的體系建設。缺乏過程持續性。數據安全治理是一個持續性過程，上到管理體系，下至技術工具，都需進行持續性完善，如治理過程缺乏持續性，則無法形成運維監控、定向審計、問題處置與體系加固等一套有效的運轉機制。

數據安全治理流程

07 總結

大數據、云計算、物聯網、人工智能的到來，讓各個行業發生巨大的改變，各行業對數據數據整合及利用，以互聯網進為載體行服務模式轉變同時，應充分考慮對數據的安全治理。通過對人、管理、防護產品多個方面進行數據安全治理意識、制度、技術的持續性完善，實現安全、業務與數據有效融合，達到數據安全治理的預期效果。參考：中國信通院CAICT ?《《數據安全治理實踐指南（1.0）》（附專家解讀）》

附：68頁PPT 數據安全總體解決方案

下面這份PPT材料為企業數據安全總體解決方案，主要介紹了數據安全管理背景需求、最佳實踐方法論和落地成功案例分享，供企業開展數據安全體系規劃建設時參考借鑒。全文共68頁PPT，限于篇幅以下僅展示部分內容，文末附完整版PPT下載鏈接。