01項目背景

近年來，以數字經濟為代表的新模式成為經濟增長新引擎，數據作為核心生產要素成為了基礎戰略資源，數據安全的基礎保障意義與價值也日益凸顯。但是，數據的價值增長同樣伴隨數據安全風險的與日俱增：數據泄露、數據濫用等安全事件頻發，為個人隱私、企業商業秘密、國家重要數據等帶來了嚴重的安全隱患。近年來，國家對數據安全與個人信息保護進行了前瞻性戰略部署，開展了系統性的頂層設計。備受關注的《中華人民共和國數據安全法》于 2021 年 9 月 1 日正式施行，《中華人民共和國個人信息保護法》于 2021 年 11 月 1 日正式施行。?我國大中型企業在日常經營過程中，同樣面臨著嚴重的數據安全管理風險，具體體現在：數據敏感性級別未定義以至于很難抓住核心敏感性數據進行優先治理、人員對法律法規相關要求在日常行為中的映射并不明確、缺乏具體的數據安全企業標準、數據安全管理平臺策略制定路徑不明等典型問題。?針對于此，御數坊數據安全專項項目小組提出了：“數據安全與業務邏輯有頻繁的交互，實現安全內生”、“數據安全治理的成果，從管理辦法制定到數據的分級分類，都需要與技術體系結合，才能指導安全建設，實現數據安全治理的技術與管理運營體系相輔相成，共同組成數據安全體系”、“基于法律法規、企業內部實際情況建立‘管理基線’、‘技術基線’、‘數據基線’快速達到數據安全管理最小要求”的工作理念，并在今年于某大型房企開展了數據安全專項治理服務。

02現狀診斷階段

基于數據安全管理能力域內的“數據安全戰略、數據生命周期安全、數據基礎安全、個人信息數據”四大能力主題域，“數據分類分級、合規管理、合作方管理”等20個能力項，每個能力項通過評估“組織建設、制度流程、技術工具、人員能力”水平，設立共計80個評估維度指標，對企業的數據管理能力進行全面診斷，找出強項、發現弱項，尋找數據安全管理突破口。

項目組在一周多的時間內，分別對通過對企業業務部門領導、業務骨干、IT負責人的訪談調研，總計訪談10場、25人次，收集問卷調研14份，訪談中梳理出數據安全風險點44個。并針對每一個數據安全評估項給出提升建議。

此外，針對典型辦公場景下的數據安全場景（開發測試運維場景、辦公數據應用場景、數據共享交換場景、數據開放交易場景）進行具體分析，以求從業務側開展數據安全能力建設規劃。

03合規對標分析階段

基于訪談中企業高層領導提出的“數據安全管理高壓線”，御數坊的數據安全工作團隊積極響應，研習了我國與數據安全相關的《中華人民共和國網絡安全法》、《中華人民共和國數據安全法》、《中華人民共和國個人信息保護法》等所有法律法規，摘錄了法律法規中有關最小要求，建立起“技術基線”和“管理基線”。

對企業不合規的事項進行標注，以便后續重點突破。

04數據分類分級階段

為了使數據安全管理工作有跡可循，需建立落地的數據安全管理企業標準，對不同類別的結構化、非結構化數據進行分級管理，并在數據的創建、內外部流轉應用、終端存儲、數據銷毀等全生命周期環節進行跟蹤管理。此外，對于數據使用者的日常工作，在人員入職、調崗、第三方服務人員入場等日常工作場景中，數據安全管理企業標準也規定了相應的數據安全管理工作規范和監控審計辦法。

標準中同樣對企業數據操作人員分類分級方法給出指導，結合公司業務域劃分及產業條線劃分情況對數據分類方法給出指引；兼顧數據的使用群體、數據泄露/被破壞后的影響范圍等因素，將敏感數據劃分為“企業絕密、企業秘密、內部公開、外部公開”四個等級。

標準還對企業敏感數據的梳理、更新、上報流程進行了規定，為了使各個業務部門能高效有序的開展數據分類分級資產梳理，御數坊工作團隊計劃組織各數據安全對接人召開相關宣貫培訓會議。

對于眾多業務系統存在的大量結構化數據，通過智能化數據分類分級工具的數據資產定級功能，幫助企業實現了百萬級字段1小時定級的超高效率自動化數據定級工作，自動化定級準確率達到80%以上，節省了大量的手工定級時間，極大提升了數據資產安全管理的效率。

05數據安全管理規定與平臺規定結合階段

由于需要技術工具來對數據安全管理規定的執行情況進行監控審計，御數坊工作組依托于技術平臺工具對數據的外發、數據違規囤積、敏感數據識別等典型工作場景進行審計和監控，對異常操作情況進行監控審計和報警提示。有效的落實了數據安全分類分級管理規定，并對數據安全事件的事前預防、事中防范、事后定責提供技術支持。

06總結本項目有三個方面值得推廣和復用：第一，數據安全管理不僅僅局限于表單、指標等結構化數據，對于文檔類型的非結構化數據的分類分級管理和防泄漏管理也是企業值得思考和管理的方向。?第二，技術平臺工具與管理相結合的數據安全管理模式。僅僅有數據安全管理工具卻沒有數據安全管理制度規范體系，技術平臺工具的使用會缺乏效率；僅僅有數據安全管理制度規范體系卻沒有技術平臺工具，會使得數據安全審計和風險預警開展不力，導致標準文件浮于空中。第三，將數據安全治理咨詢服務與相關數據安全產品深度結合，提供一體化的解決方案，幫助企業解決了數據安全治理規劃、數據安全治理建設、數據分類分級、數據資產梳理、數據安全制度建設、數據安全風險評估、數據安全管控策略等眾多有待解決的難題，讓數據安全體系建設從此變得簡單易行起來。