01 數(shù)據(jù)安全治理背景

隨著各行各業(yè)信息化不斷演變發(fā)展，數(shù)據(jù)已成為基礎(chǔ)設(shè)施，成為業(yè)務(wù)發(fā)展重要原動(dòng)力，內(nèi)部業(yè)務(wù)與互聯(lián)網(wǎng)深度融合，利用新媒體，讓數(shù)據(jù)產(chǎn)生更大價(jià)值，是近近幾年發(fā)展的主要趨勢(shì)。如何提升數(shù)據(jù)資產(chǎn)價(jià)值同時(shí)讓數(shù)據(jù)使用更安全，已成為各個(gè)行業(yè)探討的方向。近幾年網(wǎng)絡(luò)安全事件頻發(fā)，具有商業(yè)特性的攻擊事件越來(lái)越多，地下黑產(chǎn)對(duì)個(gè)人信息需求異常旺盛。2017-2018年度551起數(shù)據(jù)泄露事件中，出自各行各業(yè)，數(shù)據(jù)高質(zhì)量、易獲取，已成為不法份子獲取利益的最佳途徑。隨著橫向網(wǎng)絡(luò)安全法、等保2.0的合規(guī)性要求及縱向垂直行業(yè)安全要求的需要，對(duì)數(shù)據(jù)存儲(chǔ)、使用、運(yùn)營(yíng)提出了明確要求，如何更好的對(duì)數(shù)據(jù)進(jìn)行有效防護(hù)，保障數(shù)據(jù)全生命周期的安全性，如何以事前發(fā)現(xiàn)、事中阻止、事后審計(jì)、持續(xù)加固的方式，提供更好的服務(wù)是每個(gè)從事安全的行業(yè)人員應(yīng)該深度思考的問(wèn)題。

02 數(shù)據(jù)安全治理概念

根據(jù)《數(shù)據(jù)安全治理白皮書(shū)3.0》，數(shù)據(jù)安全治理是以“讓數(shù)據(jù)使用更安全”為目的，在中國(guó)易于落地的數(shù)據(jù)安全建設(shè)的體系化方法論，核心內(nèi)容包括：

（1）滿足數(shù)據(jù)安全保護(hù)（Protection ）、合規(guī)性（Compliance）、敏感數(shù)據(jù)管理（Sensitive）?三個(gè)需求目標(biāo)；

（2）核心理念包括：分類(lèi)分級(jí)(Classfiying)、角色授權(quán)(Privilege)、場(chǎng)景化安全 (Scene)；

（3）數(shù)據(jù)安全治理的建設(shè)步驟包括：組織構(gòu)建、資產(chǎn)梳理、策略制定、過(guò)程控制、行為稽核和持續(xù)改善；

（4）核心實(shí)現(xiàn)框架為數(shù)據(jù)安全人員組織(Person)、數(shù)據(jù)安全使用的策略和流程 (Policy&Process)、數(shù)據(jù)安全技術(shù)支撐(Technology)三大部分。

數(shù)據(jù)安全治理的核心理念：

?分類(lèi)分級(jí)

數(shù)據(jù)資產(chǎn)保護(hù)的核心在于數(shù)據(jù)分類(lèi)分級(jí)。

通過(guò)對(duì)數(shù)據(jù)的有效理解和分析，對(duì)數(shù)據(jù)進(jìn)行不同類(lèi)別和密級(jí)的劃分；根據(jù)數(shù)據(jù)的類(lèi)別和密級(jí)制定不同的管理和使用原則，盡可能對(duì)數(shù)據(jù)做到有差別和針對(duì)性的防護(hù)，實(shí)現(xiàn)在適當(dāng)安 全保護(hù)下的數(shù)據(jù)自由流動(dòng)。

參考：12張圖解析數(shù)據(jù)安全分類(lèi)分級(jí)

?角色授權(quán)

數(shù)據(jù)安全訪問(wèn)控制核心在于數(shù)據(jù)訪問(wèn)主體的角色授權(quán)。

在數(shù)據(jù)分級(jí)和分類(lèi)后，明確了數(shù)據(jù)的訪問(wèn)角色以及數(shù)據(jù)的使用方式，在不影響數(shù)據(jù)資源正常訪問(wèn)的前提下，針對(duì)不同的角色賦予不同的訪問(wèn)權(quán)限，實(shí)現(xiàn)數(shù)據(jù)的訪問(wèn)和使用安全。

?場(chǎng)景化安全

數(shù)據(jù)安全治理的核心在于場(chǎng)景化安全。

不同用戶基于業(yè)務(wù)、訪問(wèn)途徑、使用需求，會(huì)產(chǎn)生不同的使用場(chǎng)景。在保證數(shù)據(jù)被正常 使用的目標(biāo)下，基于不同的使用場(chǎng)景制定相應(yīng)的數(shù)據(jù)安全策略。場(chǎng)景化的數(shù)據(jù)安全治理，能及時(shí)發(fā)現(xiàn)數(shù)據(jù)風(fēng)險(xiǎn)暴露面，使數(shù)據(jù)安全治理更具針對(duì)性，從而實(shí)現(xiàn)數(shù)據(jù)使用更安全。

03 數(shù)據(jù)安全治理目標(biāo)數(shù)據(jù)安全治理長(zhǎng)期目標(biāo)思短期目標(biāo)需要從治理體系、安全合規(guī)、技術(shù)支撐三要素進(jìn)行考慮建設(shè)。治理體系：數(shù)據(jù)安全體系化建設(shè)，使數(shù)據(jù)安全管理更加合理規(guī)范，良好的可視性運(yùn)維機(jī)制和動(dòng)態(tài)協(xié)同能力。安全合規(guī)：充分了解合規(guī)及行業(yè)要求，建設(shè)滿足合規(guī)性要求同時(shí)，需要考慮靈活性、可擴(kuò)展性及各階段銜接性。技術(shù)支持：提升事前發(fā)現(xiàn)、事中防護(hù)、事后審計(jì)能力。04 數(shù)據(jù)安全治理體系框架數(shù)據(jù)安全是數(shù)據(jù)安全治理的目標(biāo)對(duì)象，參考框架是數(shù)據(jù)安全治理的參照對(duì)象。組織可以通過(guò)持續(xù)構(gòu)建參照對(duì)象，實(shí)現(xiàn)對(duì)目標(biāo)對(duì)象的有效管理。依據(jù)團(tuán)體標(biāo)準(zhǔn)T/ISC-0011-2021《數(shù)據(jù)安全治理能力評(píng)估方法》，數(shù)據(jù)案例參考框架包括數(shù)據(jù)安全戰(zhàn)略、數(shù)據(jù)全生命周期安全、基礎(chǔ)安全3部分主要內(nèi)容，如下圖所示。

數(shù)據(jù)安全治理參考框架

?數(shù)據(jù)安全戰(zhàn)略

在組織啟動(dòng)數(shù)據(jù)安全治理工作前，必須制定相應(yīng)的戰(zhàn)略規(guī)劃，明確治理目標(biāo)和具體任務(wù)，匹配對(duì)應(yīng)的資源，使得治理工作能夠有條不紊地展開(kāi)。數(shù)據(jù)安全戰(zhàn)略可以從數(shù)據(jù)安全規(guī)劃、機(jī)構(gòu)人員管理兩個(gè)能力項(xiàng)入手，前者確立目標(biāo)任務(wù)，后者組建治理團(tuán)隊(duì)。

?數(shù)據(jù)全生命周期安全

數(shù)據(jù)安全治理應(yīng)圍繞數(shù)據(jù)全生命周期展開(kāi)，以采集、傳輸、存儲(chǔ)、使用、共享、銷(xiāo)毀各個(gè)環(huán)節(jié)為切入點(diǎn)，設(shè)置相應(yīng)的管控點(diǎn)和管理流程，以便于在不同的業(yè)務(wù)場(chǎng)景中進(jìn)行組合復(fù)用。數(shù)據(jù)全生命周期安全包括數(shù)據(jù)采集安全、數(shù)據(jù)傳輸安全、存儲(chǔ)安全、數(shù)據(jù)備份與恢復(fù)、使用安全、數(shù)據(jù)處理環(huán)境安全、數(shù)據(jù)內(nèi)部共享安全、數(shù)據(jù)外部共享安全、數(shù)據(jù)銷(xiāo)毀安全在內(nèi)的9個(gè)能力項(xiàng)，通過(guò)對(duì)數(shù)據(jù)全流轉(zhuǎn)過(guò)程進(jìn)行規(guī)范和約束以有效降低數(shù)據(jù)安全風(fēng)險(xiǎn)。

?基礎(chǔ)安全

基礎(chǔ)安全能力作為數(shù)據(jù)全生命周期安全能力建設(shè)的基本支撐，可以在多個(gè)生命周期環(huán)節(jié)內(nèi)復(fù)用，是整個(gè)數(shù)據(jù)安全治理體系建設(shè)的通用要求，能夠?qū)崿F(xiàn)建設(shè)資源的有效整合。基礎(chǔ)安全能力包括數(shù)據(jù)分類(lèi)分級(jí)、合規(guī)管理、合作方管理、監(jiān)控審計(jì)、鑒別與訪問(wèn)、風(fēng)險(xiǎn)和需求分析、安全事件應(yīng)急等7個(gè)能力項(xiàng)，主要從數(shù)據(jù)安全的保障措施上進(jìn)行定義和要求。對(duì)行業(yè)數(shù)據(jù)特性及數(shù)據(jù)管理現(xiàn)存問(wèn)題，從數(shù)據(jù)視角出發(fā)，系統(tǒng)化、規(guī)范化、科學(xué)性的建立數(shù)據(jù)安全治理體系。完整的數(shù)據(jù)安全治理體系應(yīng)包含5個(gè)方面：原則、上層建筑、資產(chǎn)梳理、管理體系、防護(hù)體系。

安全治理體系

原則是數(shù)據(jù)安全治理的基本思想與方針，包括：戰(zhàn)略一致、風(fēng)險(xiǎn)可控、運(yùn)營(yíng)合規(guī)、績(jī)效提升。上層建筑包括內(nèi)外部策略、部門(mén)職責(zé)、動(dòng)態(tài)協(xié)同等，起到安全治理過(guò)程中依據(jù)、指引等作用。資產(chǎn)梳理是以安全治理角度，充分摸清家底，有針對(duì)性、有計(jì)劃性的進(jìn)行治理實(shí)施，主要包括：管理梳理、技術(shù)梳理、場(chǎng)景梳理。管理體系具有可落地執(zhí)行特性，包含組織體系、執(zhí)行體系及運(yùn)維體系。技術(shù)體系通過(guò)發(fā)現(xiàn)、運(yùn)維、防護(hù)，實(shí)現(xiàn)各階段進(jìn)行快速響應(yīng)。

數(shù)據(jù)安全治理框架

05 數(shù)據(jù)安全治理實(shí)踐路線

參考中國(guó)信通院發(fā)布發(fā)布的《數(shù)據(jù)安全治理實(shí)踐指南（1.0）》，給出了數(shù)據(jù)安全治理的實(shí)踐路線：(一) 第一步：治理規(guī)劃(二) 第二步：治理建設(shè)(三) 第三步：治理運(yùn)營(yíng)(四) 第四步：治理成效評(píng)估

第一步就是要進(jìn)行治理規(guī)劃，它是數(shù)據(jù)安全治理工作能夠有條不紊的開(kāi)展的前提，可以按照現(xiàn)狀分析、方案規(guī)劃、方案論證的環(huán)節(jié)順序推進(jìn)。

明晰的組織體系是保障數(shù)據(jù)安全工作順利開(kāi)展的首要條件，可以參考上圖所示內(nèi)容進(jìn)行建設(shè)。其中，決策層是統(tǒng)籌部門(mén)，可以采取“一把手負(fù)責(zé)制”，管理層是數(shù)據(jù)安全工作的管理團(tuán)隊(duì)，執(zhí)行層是數(shù)據(jù)安全工作的具體執(zhí)行者和參與者，監(jiān)督層負(fù)責(zé)對(duì)管理層和執(zhí)行層的工作進(jìn)行監(jiān)督，對(duì)違規(guī)行為予以糾正。

制度流程作為數(shù)據(jù)安全防護(hù)要求、管理策略、操作規(guī)程等的集合，一般會(huì)從業(yè)務(wù)數(shù)據(jù)安全需求、數(shù)據(jù)安全風(fēng)險(xiǎn)控制需要、法律法規(guī)合規(guī)性要求等幾個(gè)方面進(jìn)行梳理。相關(guān)制度文件的制定可以參考上圖所示的四個(gè)層級(jí)。

技術(shù)工具作為落實(shí)各項(xiàng)安全管理要求的有效手段，是支撐數(shù)據(jù)安全治理體系建設(shè)的能力底座。可以參考上圖中的技術(shù)框架，完善各項(xiàng)技術(shù)工具以及產(chǎn)品平臺(tái)的功能項(xiàng)，確保數(shù)據(jù)安全技術(shù)能力的具體落實(shí)。

數(shù)據(jù)安全治理離不開(kāi)相應(yīng)人員的具體執(zhí)行，因此，加強(qiáng)對(duì)數(shù)據(jù)安全人才的培養(yǎng)是數(shù)據(jù)安全治理的應(yīng)有之義?？梢詮臄?shù)據(jù)安全意識(shí)提升、數(shù)據(jù)安全能力培訓(xùn)、數(shù)據(jù)安全能力考核三方面進(jìn)行培養(yǎng)。

數(shù)據(jù)安全治理的持續(xù)運(yùn)營(yíng)，能夠打通各環(huán)節(jié)的建設(shè)內(nèi)容，促進(jìn)整個(gè)體系的良性發(fā)展。治理運(yùn)營(yíng)分為三個(gè)方面，一是風(fēng)險(xiǎn)防范，二是監(jiān)控預(yù)警，三是應(yīng)急處理。

06 數(shù)據(jù)安全治理實(shí)施過(guò)程中注意事項(xiàng)合規(guī)性要求。行業(yè)合規(guī)性要求較多，會(huì)隨著時(shí)間推移發(fā)生變動(dòng)，合規(guī)性文件對(duì)數(shù)據(jù)安全治理過(guò)程中有著依據(jù)、指引等作用，如不能深入了解，會(huì)使數(shù)據(jù)安全治理建設(shè)過(guò)程反復(fù)。管理體系。完善可持續(xù)性的管理體系是保障安全治理的先決條件，規(guī)劃好，落地難的管理體系如空中樓閣，使數(shù)據(jù)安全治理效果大大折扣。資產(chǎn)梳理。資產(chǎn)梳理對(duì)數(shù)據(jù)安全治理尤為重要，需要清除哪些數(shù)據(jù)要防護(hù)、數(shù)據(jù)如何流轉(zhuǎn)、端到端對(duì)象都有誰(shuí)、數(shù)據(jù)跑的有什么內(nèi)容、現(xiàn)今數(shù)據(jù)載體有什么安全隱患等等問(wèn)題，資產(chǎn)梳理不到位，難以進(jìn)行后期的體系建設(shè)。缺乏過(guò)程持續(xù)性。數(shù)據(jù)安全治理是一個(gè)持續(xù)性過(guò)程，上到管理體系，下至技術(shù)工具，都需進(jìn)行持續(xù)性完善，如治理過(guò)程缺乏持續(xù)性，則無(wú)法形成運(yùn)維監(jiān)控、定向?qū)徲?jì)、問(wèn)題處置與體系加固等一套有效的運(yùn)轉(zhuǎn)機(jī)制。

數(shù)據(jù)安全治理流程

07 總結(jié)

大數(shù)據(jù)、云計(jì)算、物聯(lián)網(wǎng)、人工智能的到來(lái)，讓各個(gè)行業(yè)發(fā)生巨大的改變，各行業(yè)對(duì)數(shù)據(jù)數(shù)據(jù)整合及利用，以互聯(lián)網(wǎng)進(jìn)為載體行服務(wù)模式轉(zhuǎn)變同時(shí)，應(yīng)充分考慮對(duì)數(shù)據(jù)的安全治理。通過(guò)對(duì)人、管理、防護(hù)產(chǎn)品多個(gè)方面進(jìn)行數(shù)據(jù)安全治理意識(shí)、制度、技術(shù)的持續(xù)性完善，實(shí)現(xiàn)安全、業(yè)務(wù)與數(shù)據(jù)有效融合，達(dá)到數(shù)據(jù)安全治理的預(yù)期效果。