01 數(shù)據(jù)安全治理背景隨著各行各業(yè)信息化不斷演變發(fā)展，數(shù)據(jù)已成為基礎(chǔ)設(shè)施，成為業(yè)務(wù)發(fā)展重要原動力，內(nèi)部業(yè)務(wù)與互聯(lián)網(wǎng)深度融合，利用新媒體，讓數(shù)據(jù)產(chǎn)生更大價值，是近近幾年發(fā)展的主要趨勢。如何提升數(shù)據(jù)資產(chǎn)價值同時讓數(shù)據(jù)使用更安全，已成為各個行業(yè)探討的方向。近幾年網(wǎng)絡(luò)安全事件頻發(fā)，具有商業(yè)特性的攻擊事件越來越多，地下黑產(chǎn)對個人信息需求異常旺盛。2017-2018年度551起數(shù)據(jù)泄露事件中，出自各行各業(yè)，數(shù)據(jù)高質(zhì)量、易獲取，已成為不法份子獲取利益的最佳途徑。隨著橫向網(wǎng)絡(luò)安全法、等保2.0的合規(guī)性要求及縱向垂直行業(yè)安全要求的需要，對數(shù)據(jù)存儲、使用、運營提出了明確要求，如何更好的對數(shù)據(jù)進行有效防護，保障數(shù)據(jù)全生命周期的安全性，如何以事前發(fā)現(xiàn)、事中阻止、事后審計、持續(xù)加固的方式，提供更好的服務(wù)是每個從事安全的行業(yè)人員應該深度思考的問題。02 數(shù)據(jù)安全治理概念根據(jù)《數(shù)據(jù)安全治理白皮書3.0》，數(shù)據(jù)安全治理是以“讓數(shù)據(jù)使用更安全”為目的，在中國易于落地的數(shù)據(jù)安全建設(shè)的體系化方法論，核心內(nèi)容包括：（1）滿足數(shù)據(jù)安全保護（Protection ）、合規(guī)性（Compliance）、敏感數(shù)據(jù)管理（Sensitive）?三個需求目標；（2）核心理念包括：分類分級(Classfiying)、角色授權(quán)(Privilege)、場景化安全 (Scene)；（3）數(shù)據(jù)安全治理的建設(shè)步驟包括：組織構(gòu)建、資產(chǎn)梳理、策略制定、過程控制、行為稽核和持續(xù)改善；（4）核心實現(xiàn)框架為數(shù)據(jù)安全人員組織(Person)、數(shù)據(jù)安全使用的策略和流程 (Policy&Process)、數(shù)據(jù)安全技術(shù)支撐(Technology)三大部分。

數(shù)據(jù)安全治理的核心理念：

?分類分級

數(shù)據(jù)資產(chǎn)保護的核心在于數(shù)據(jù)分類分級。

通過對數(shù)據(jù)的有效理解和分析，對數(shù)據(jù)進行不同類別和密級的劃分；根據(jù)數(shù)據(jù)的類別和密級制定不同的管理和使用原則，盡可能對數(shù)據(jù)做到有差別和針對性的防護，實現(xiàn)在適當安 全保護下的數(shù)據(jù)自由流動。

?角色授權(quán)

數(shù)據(jù)安全訪問控制核心在于數(shù)據(jù)訪問主體的角色授權(quán)。

在數(shù)據(jù)分級和分類后，明確了數(shù)據(jù)的訪問角色以及數(shù)據(jù)的使用方式，在不影響數(shù)據(jù)資源正常訪問的前提下，針對不同的角色賦予不同的訪問權(quán)限，實現(xiàn)數(shù)據(jù)的訪問和使用安全。

?場景化安全

數(shù)據(jù)安全治理的核心在于場景化安全。

不同用戶基于業(yè)務(wù)、訪問途徑、使用需求，會產(chǎn)生不同的使用場景。在保證數(shù)據(jù)被正常 使用的目標下，基于不同的使用場景制定相應的數(shù)據(jù)安全策略。場景化的數(shù)據(jù)安全治理，能及時發(fā)現(xiàn)數(shù)據(jù)風險暴露面，使數(shù)據(jù)安全治理更具針對性，從而實現(xiàn)數(shù)據(jù)使用更安全。

03 數(shù)據(jù)安全治理目標數(shù)據(jù)安全治理長期目標思短期目標需要從治理體系、安全合規(guī)、技術(shù)支撐三要素進行考慮建設(shè)。治理體系：數(shù)據(jù)安全體系化建設(shè)，使數(shù)據(jù)安全管理更加合理規(guī)范，良好的可視性運維機制和動態(tài)協(xié)同能力。安全合規(guī)：充分了解合規(guī)及行業(yè)要求，建設(shè)滿足合規(guī)性要求同時，需要考慮靈活性、可擴展性及各階段銜接性。技術(shù)支持：提升事前發(fā)現(xiàn)、事中防護、事后審計能力。04 數(shù)據(jù)安全治理體系框架數(shù)據(jù)安全是數(shù)據(jù)安全治理的目標對象，參考框架是數(shù)據(jù)安全治理的參照對象。組織可以通過持續(xù)構(gòu)建參照對象，實現(xiàn)對目標對象的有效管理。依據(jù)團體標準T/ISC-0011-2021《數(shù)據(jù)安全治理能力評估方法》，數(shù)據(jù)案例參考框架包括數(shù)據(jù)安全戰(zhàn)略、數(shù)據(jù)全生命周期安全、基礎(chǔ)安全3部分主要內(nèi)容，如下圖所示。

數(shù)據(jù)安全治理參考框架

?數(shù)據(jù)安全戰(zhàn)略

在組織啟動數(shù)據(jù)安全治理工作前，必須制定相應的戰(zhàn)略規(guī)劃，明確治理目標和具體任務(wù)，匹配對應的資源，使得治理工作能夠有條不紊地展開。數(shù)據(jù)安全戰(zhàn)略可以從數(shù)據(jù)安全規(guī)劃、機構(gòu)人員管理兩個能力項入手，前者確立目標任務(wù)，后者組建治理團隊。

?數(shù)據(jù)全生命周期安全數(shù)據(jù)安全治理應圍繞數(shù)據(jù)全生命周期展開，以采集、傳輸、存儲、使用、共享、銷毀各個環(huán)節(jié)為切入點，設(shè)置相應的管控點和管理流程，以便于在不同的業(yè)務(wù)場景中進行組合復用。數(shù)據(jù)全生命周期安全包括數(shù)據(jù)采集安全、數(shù)據(jù)傳輸安全、存儲安全、數(shù)據(jù)備份與恢復、使用安全、數(shù)據(jù)處理環(huán)境安全、數(shù)據(jù)內(nèi)部共享安全、數(shù)據(jù)外部共享安全、數(shù)據(jù)銷毀安全在內(nèi)的9個能力項，通過對數(shù)據(jù)全流轉(zhuǎn)過程進行規(guī)范和約束以有效降低數(shù)據(jù)安全風險。??基礎(chǔ)安全基礎(chǔ)安全能力作為數(shù)據(jù)全生命周期安全能力建設(shè)的基本支撐，可以在多個生命周期環(huán)節(jié)內(nèi)復用，是整個數(shù)據(jù)安全治理體系建設(shè)的通用要求，能夠?qū)崿F(xiàn)建設(shè)資源的有效整合?；A(chǔ)安全能力包括數(shù)據(jù)分類分級、合規(guī)管理、合作方管理、監(jiān)控審計、鑒別與訪問、風險和需求分析、安全事件應急等7個能力項，主要從數(shù)據(jù)安全的保障措施上進行定義和要求。對行業(yè)數(shù)據(jù)特性及數(shù)據(jù)管理現(xiàn)存問題，從數(shù)據(jù)視角出發(fā)，系統(tǒng)化、規(guī)范化、科學性的建立數(shù)據(jù)安全治理體系。完整的數(shù)據(jù)安全治理體系應包含5個方面：原則、上層建筑、資產(chǎn)梳理、管理體系、防護體系。

安全治理體系

原則是數(shù)據(jù)安全治理的基本思想與方針，包括：戰(zhàn)略一致、風險可控、運營合規(guī)、績效提升。上層建筑包括內(nèi)外部策略、部門職責、動態(tài)協(xié)同等，起到安全治理過程中依據(jù)、指引等作用。資產(chǎn)梳理是以安全治理角度，充分摸清家底，有針對性、有計劃性的進行治理實施，主要包括：管理梳理、技術(shù)梳理、場景梳理。管理體系具有可落地執(zhí)行特性，包含組織體系、執(zhí)行體系及運維體系。技術(shù)體系通過發(fā)現(xiàn)、運維、防護，實現(xiàn)各階段進行快速響應。

數(shù)據(jù)安全治理框架05 數(shù)據(jù)安全治理實施步驟

一、理清組織安全數(shù)據(jù)現(xiàn)狀

通過梳理與評估，理清數(shù)據(jù)安全現(xiàn)狀，同時基于數(shù)據(jù)處理活動構(gòu)建“靜”、“動”結(jié)合的數(shù)據(jù)安全評估機制。

數(shù)據(jù)安全現(xiàn)狀梳理示例

二、構(gòu)建統(tǒng)籌有力的數(shù)據(jù)安全組織機構(gòu)

強化組織領(lǐng)導、明確責任分工，構(gòu)建統(tǒng)籌有力的數(shù)據(jù)安全統(tǒng)一團隊，推動數(shù)據(jù)安全工作持續(xù)、有序、穩(wěn)定地開展。

數(shù)據(jù)安全組織架構(gòu)示例

三、制定行之有效的數(shù)據(jù)安全制度

基于組織數(shù)據(jù)安全現(xiàn)狀，準確定義數(shù)據(jù)安全管理內(nèi)容和數(shù)據(jù)分類分級，明確工作職責和工作要求，完善數(shù)據(jù)安全管理制度和流程，使數(shù)據(jù)安全工作有據(jù)可依，責任落實到人。

數(shù)據(jù)安全四級管理體系建設(shè)示例

四、夯實基礎(chǔ)能力，構(gòu)筑全面的數(shù)據(jù)安全防護能力

通過梳理與評估，摸清組織數(shù)據(jù)安全現(xiàn)狀，結(jié)合業(yè)務(wù)實際情況，補全能力，從而構(gòu)建全面的數(shù)據(jù)安全防護能力，實現(xiàn)數(shù)據(jù)可見、流轉(zhuǎn)可知、風險可識、數(shù)據(jù)安全狀態(tài)可管、風險趨勢可控的“五可”能力，實現(xiàn)數(shù)據(jù)流動安全高效管控。

數(shù)據(jù)安全防護能力建設(shè)示例

五、搭建管技結(jié)合橋梁，開展常態(tài)化數(shù)據(jù)安全運營

將數(shù)據(jù)脫敏、數(shù)字水印、數(shù)據(jù)防泄漏、數(shù)據(jù)加密、數(shù)據(jù)銷毀、數(shù)據(jù)安全風險監(jiān)測預警等數(shù)據(jù)安全防護措施與數(shù)據(jù)安全管理制度結(jié)合起來，開展數(shù)據(jù)安全常態(tài)化運營，確保組織數(shù)據(jù)安全戰(zhàn)略、數(shù)據(jù)安全管控要求有效實施。

常態(tài)化運營示例

六、定期開展數(shù)據(jù)安全監(jiān)督檢查

為確保組織各項數(shù)據(jù)安全戰(zhàn)略、策略方針、管理要求落實到位，以查促改，完善數(shù)據(jù)安全監(jiān)督檢查體系建設(shè)，形成數(shù)據(jù)安全管控閉環(huán)。一是安全管理部門、內(nèi)審部定期開展數(shù)據(jù)安全審計工作，在過往安全專項審計的基礎(chǔ)上，增加數(shù)據(jù)安全審計內(nèi)容。二是安全管理部門對組織內(nèi)部各部門、下屬單位數(shù)據(jù)安全落實情況進行現(xiàn)場監(jiān)督檢查或遠程監(jiān)督檢查，核查組織內(nèi)部在數(shù)據(jù)安全工作是否組織、落實到位。

七、全員數(shù)據(jù)安全賦能

人員是數(shù)據(jù)安全各項要求有效實施的基石，不同角色人員數(shù)據(jù)安全職責不同，所需數(shù)據(jù)安全技能也不同；組織應根據(jù)具體業(yè)務(wù)情況開展數(shù)據(jù)安全賦能，確保各項數(shù)據(jù)安全戰(zhàn)略、策略方針及管理要求能夠有效落地。

數(shù)據(jù)安全培訓示例

數(shù)據(jù)安全治理體系建設(shè)注重以下四個方面的工作：

1、組織建設(shè)

設(shè)計健全的組織架構(gòu)是數(shù)據(jù)安全治理工作的基礎(chǔ)。組織建設(shè)包括部門職責與人員角色確定及動態(tài)協(xié)同機制，（1）部門職責與人員角色部門包括：業(yè)務(wù)部門、運維部門及安全管理部門。業(yè)務(wù)部門。按單位業(yè)務(wù)職能劃分；運維部門。根據(jù)運維體系進行有效執(zhí)行；安全管理部門。制度指定、技術(shù)迭代、安全檢查與事件處理、安全審計等。其它：包括第方廠家或者外包的職責制度。人員角色可分為：業(yè)務(wù)人員、審計人員、運維人員、安全人員、管理人員等。（2）動態(tài)協(xié)同機制建設(shè)完善的動態(tài)協(xié)同機制，充分利用部門資源，解決部門運轉(zhuǎn)孤島問題。明確數(shù)據(jù)訪問人員、數(shù)據(jù)生產(chǎn)人員、數(shù)據(jù)維護人員等目標對象，以數(shù)據(jù)流轉(zhuǎn)為基礎(chǔ)，對相關(guān)人員進行串聯(lián)，形成動態(tài)協(xié)同。2、資產(chǎn)梳理內(nèi)部資產(chǎn)梳理是數(shù)據(jù)安全治理的核心所在，只有詳細、真實的數(shù)據(jù)梳理才能讓數(shù)據(jù)安全治理真正落地執(zhí)行。梳理主要從現(xiàn)有管理、技術(shù)、治理場景三方面進行。數(shù)據(jù)資產(chǎn)主要為，機構(gòu)化數(shù)據(jù)及非結(jié)構(gòu)化數(shù)據(jù)，針對數(shù)據(jù)需要梳理威脅性、脆弱性及使用權(quán)限確定（包括：訪問控制、權(quán)限授權(quán)情況等）。針對結(jié)構(gòu)化數(shù)據(jù)還需明確數(shù)據(jù)類型及基礎(chǔ)信息，如：主機信息、網(wǎng)絡(luò)信息、數(shù)據(jù)庫品牌、數(shù)據(jù)庫版本信息等；對數(shù)據(jù)進行分類分級，通過合規(guī)性要求、自身主觀判斷、意外事故影響和第三方使用價值進行數(shù)據(jù)劃分。3、流程管控完善的管控體系是保障數(shù)據(jù)安全治理可持續(xù)性的關(guān)鍵所在，流程管控主要從組織體系、執(zhí)行體系、運維體系等三個方面進行考量。組織體系：建立決策層、管理層、執(zhí)行層多方面、跨部門有效協(xié)同機制與制度；執(zhí)行體系：包括治理方針、規(guī)章制度、治理標準、治理規(guī)范、治理流程等；運維體系：包括維護、監(jiān)控、評估、加固、審計與應急、治理評估等。4、安全防護完善數(shù)據(jù)安全治理離不開安全技術(shù)及安全產(chǎn)品，安全防護體系能力主要從發(fā)現(xiàn)能力、運維能力、防護能力三個方面進行建設(shè)。發(fā)現(xiàn)能力：數(shù)據(jù)泄密、數(shù)據(jù)審計、數(shù)據(jù)安全基線管理、UEBA、數(shù)據(jù)態(tài)勢感知等；運維能力：綜合性審計、基于數(shù)據(jù)的漏掃、監(jiān)控與預警及統(tǒng)一認證與授權(quán)等；防護能力：數(shù)據(jù)加密、數(shù)據(jù)脫敏、數(shù)據(jù)庫防火墻、數(shù)據(jù)防泄漏、統(tǒng)一策略管理、容災備份等。06 數(shù)據(jù)安全治理實施過程中注意事項合規(guī)性要求。行業(yè)合規(guī)性要求較多，會隨著時間推移發(fā)生變動，合規(guī)性文件對數(shù)據(jù)安全治理過程中有著依據(jù)、指引等作用，如不能深入了解，會使數(shù)據(jù)安全治理建設(shè)過程反復。管理體系。完善可持續(xù)性的管理體系是保障安全治理的先決條件，規(guī)劃好，落地難的管理體系如空中樓閣，使數(shù)據(jù)安全治理效果大大折扣。資產(chǎn)梳理。資產(chǎn)梳理對數(shù)據(jù)安全治理尤為重要，需要清除哪些數(shù)據(jù)要防護、數(shù)據(jù)如何流轉(zhuǎn)、端到端對象都有誰、數(shù)據(jù)跑的有什么內(nèi)容、現(xiàn)今數(shù)據(jù)載體有什么安全隱患等等問題，資產(chǎn)梳理不到位，難以進行后期的體系建設(shè)。缺乏過程持續(xù)性。數(shù)據(jù)安全治理是一個持續(xù)性過程，上到管理體系，下至技術(shù)工具，都需進行持續(xù)性完善，如治理過程缺乏持續(xù)性，則無法形成運維監(jiān)控、定向?qū)徲?、問題處置與體系加固等一套有效的運轉(zhuǎn)機制。

數(shù)據(jù)安全治理流程

07 總結(jié)

大數(shù)據(jù)、云計算、物聯(lián)網(wǎng)、人工智能的到來，讓各個行業(yè)發(fā)生巨大的改變，各行業(yè)對數(shù)據(jù)數(shù)據(jù)整合及利用，以互聯(lián)網(wǎng)進為載體行服務(wù)模式轉(zhuǎn)變同時，應充分考慮對數(shù)據(jù)的安全治理。通過對人、管理、防護產(chǎn)品多個方面進行數(shù)據(jù)安全治理意識、制度、技術(shù)的持續(xù)性完善，實現(xiàn)安全、業(yè)務(wù)與數(shù)據(jù)有效融合，達到數(shù)據(jù)安全治理的預期效果。