数据安全到底怎么做？实践视角下的数据安全治理经验分享

数据资产量级不清：不了解数据资产是否与实际资产相符，不知敏感数据在哪里、被谁访问；

数据资产安全状况未知：组织有意识提升数据安全防护能力，但不知具体风险有哪些、在哪里；

数据安全建设无头绪：缺少切实有效的数据安全管理制度流程为抓手，数据安全难落实稽核；

数据安全建设成果无感知：采购了一批安全产品，但是否有效无评价机制，对新产生的风险无法感知。

数据安全建设亟需与时俱进，体系化开展。数据安全治理则提出了一整套可行的解决途径。数据安全治理目的是保障数据在安全可控的情况下使用并发挥价值，强调以数据为中心、安全与业务发展兼顾、从业务层到安全层，从管理层到技术层，自上而下全方位与体系融合，最终实现数据安全保障能力持续提升。

数据安全治理建设思路

●  以数据为中心：综合考虑数据属性、存储分布、流转、使用等状况，掌握厘清数据与业务的关系。

●  以组织为单位：提升整个组织的数据安全安全能力，使数据安全管理更加合理规范、完善可持续。

●  以合规为驱动：充分了解合规及行业监管要求，满足合规性要求的同时，兼顾业务实际发展状况。

● 以能力成熟度模型为抓手：基于数据生命周期定义数据安全过程域和基本实践，满足能力成熟度等级安全要求。

数据安全治理建设目标

数据安全治理实现分为4个阶段，通过厘清数据资产、风险摸清安全现状，通过规划数据安全架构和建设路径，补齐短板实现短期数据安全规划目标，进行常态化数据安全监管以及持续有效的支撑和防范夯实基础，逐步实现数据安全全域可管、风险全局可视，以及数据安全可信的目标，最终达成“让数据更安全，更有价值”。

采用资料收集、问卷调研、现场访谈、系统演示和工具探查的方式，全面了解数据安全管理现状（如：组织架构、数据安全相关的政策、制度和规范、业务特征、网络拓扑、数据存储情况等），明确主要痛点问题，提炼出数据安全建设的总体目标、主要方向和具体工作思路。

●  数据资产盘点：通过专业团队+自动化工具方式梳理数据资产情况，形成数据资产清单。

●  数据权限现状：对不同用户权限现状进行全面梳理，从用户维度和对象维度进行权限描述。

●  数据流向梳理：盘点数据从采集、传输、共享交换到销毁的流向，形成数据流向图。

● 数据分类分级：结合国家、行业及自身特点，以数据最稳定的特征和属性为依据，完成数据分类和分级。

●  基础风险评估：通过安全基线检查、漏洞扫描、渗透测试等方式，发现数据处理环境中存在的安全漏洞。

●  数据安全能力差距评估：依据数据安全能力成熟度模型，分析和评估当前组织安全能力现状，明晰组织数据生命周期各阶段的能力现状与目标的差距。

●  数据安全合规评估：全面解读和分析《数据安全法》、《个人信息保护法》以及地方办法条例内容，通过联合对标分析，评估合规风险。

● 数据全生命周期风险评估：参考信息安全风险分析方法，从资产和风险两大视角出发，基于数据分级结果，建立组织风险评估模型，识别组织面临的数据安全风险。

●   数据权限设计：基于用户/角色和权限现状，在合规目标的指导下，结合数据分类分级结果，定制符合组织实际业务场景的数据安全权限。

●  组织架构设计：定义决策层、管理层、监督层、执行层的安全职责及动态协同机制。

●  管理制度体系规划：制定数据安全管理办法、应急管理等标准规范健全制度体系，明确各个阶段的管理要求和规章制度，健全组织数据安全制度规范体系。

● 技术体系建设规划：从安全防护和可用性两大视角出发，针对具体场景进行数据安全防护建设，包括事前防护、事中阻断、事后追溯的全链路安全技术体系。其中，数据安全技术建设规划可分阶段进行，包括数据内控合规、数据全域管控、风险全局可视、数据安全可信：