數(shù)據(jù)安全治理體系建設思路和方法

數(shù)據(jù)安全治理體系建設思路和方法01數(shù)據(jù)安全治理背景

隨著各行各業(yè)信息化不斷演變發(fā)展，數(shù)據(jù)已成為基礎設施，成為業(yè)務發(fā)展重要原動力，內部業(yè)務與互聯(lián)網深度融合，利用新媒體，讓數(shù)據(jù)產生更大價值，是近近幾年發(fā)展的主要趨勢。如何提升數(shù)據(jù)資產價值同時讓數(shù)據(jù)使用更安全，已成為各個行業(yè)探討的方向。

近幾年網絡安全事件頻發(fā)，具有商業(yè)特性的攻擊事件越來越多，地下黑產對個人信息需求異常旺盛。2017-2018年度551起數(shù)據(jù)泄露事件中，出自各行各業(yè)，數(shù)據(jù)高質量、易獲取，已成為不法份子獲取利益的最佳途徑。

隨著橫向網絡安全法、等保2.0的合規(guī)性要求及縱向垂直行業(yè)安全要求的需要，對數(shù)據(jù)存儲、使用、運營提出了明確要求，如何更好的對數(shù)據(jù)進行有效防護，保障數(shù)據(jù)全生命周期的安全性，如何以事前發(fā)現(xiàn)、事中阻止、事后審計、持續(xù)加固的方式，提供更好的服務是每個從事安全的行業(yè)人員應該深度思考的問題。

02數(shù)據(jù)安全治理概念

根據(jù)《數(shù)據(jù)安全治理白皮書3.0》，數(shù)據(jù)安全治理是以“讓數(shù)據(jù)使用更安全”為目的，在中國易于落地的數(shù)據(jù)安全建設的體系化方法論，核心內容包括：

（1）滿足數(shù)據(jù)安全保護（Protection）、合規(guī)性（Compliance）、敏感數(shù)據(jù)管理（Sensitive）

三個需求目標；（2）核心理念包括：分類分級(Classfiying)、角色授權(Privilege)、場景化安全(Scene)；（3）數(shù)據(jù)安全治理的建設步驟包括：組織構建、資產梳理、策略制定、過程控制、行為稽核和持續(xù)改善；（4）核心實現(xiàn)框架為數(shù)據(jù)安全人員組織(Person)、數(shù)據(jù)安全使用的策略和流程(Policy&Process)、數(shù)據(jù)安全技術支撐(Technology)三大部分。數(shù)據(jù)安全治理的核心理念：?分類分級數(shù)據(jù)資產保護的核心在于數(shù)據(jù)分類分級。通過對數(shù)據(jù)的有效理解和分析，對數(shù)據(jù)進行不同類別和密級的劃分；根據(jù)數(shù)據(jù)的類別和密級制定不同的管理和使用原則，盡可能對數(shù)據(jù)做到有差別和針對性的防護，實現(xiàn)在適當安全保護下的數(shù)據(jù)自由流動。?角色授權數(shù)據(jù)安全訪問控制核心在于數(shù)據(jù)訪問主體的角色授權。在數(shù)據(jù)分級和分類后，明確了數(shù)據(jù)的訪問角色以及數(shù)據(jù)的使用方式，在不影響數(shù)據(jù)資源正常訪問的前提下，針對不同的角色賦予不同的訪問權限，實現(xiàn)數(shù)據(jù)的訪問和使用安全。?場景化安全數(shù)據(jù)安全治理的核心在于場景化安全。不同用戶基于業(yè)務、訪問途徑、使用需求，會產生不同的使用場景。在保證數(shù)據(jù)被正常使用的目標下，基于不同的使用場景制定相應的數(shù)據(jù)安全策略。場景化的數(shù)據(jù)安全治理，能及時發(fā)現(xiàn)數(shù)據(jù)風險暴露面，使數(shù)據(jù)安全治理更具針對性，從而實現(xiàn)數(shù)據(jù)使用更安全。

03數(shù)據(jù)安全治理目標

數(shù)據(jù)安全治理長期目標思短期目標需要從治理體系、安全合規(guī)、技術支撐三要素進行考慮建設。

治理體系：數(shù)據(jù)安全體系化建設，使數(shù)據(jù)安全管理更加合理規(guī)范，良好的可視性運維機制和動態(tài)協(xié)同能力。

安全合規(guī)：充分了解合規(guī)及行業(yè)要求，建設滿足合規(guī)性要求同時，需要考慮靈活性、可擴展性及各階段銜接性。

技術支持：提升事前發(fā)現(xiàn)、事中防護、事后審計能力。

04數(shù)據(jù)安全治理體系框架

數(shù)據(jù)安全是數(shù)據(jù)安全治理的目標對象，參考框架是數(shù)據(jù)安全治理的參照對象。組織可以通過持續(xù)構建參照對象，實現(xiàn)對目標對象的有效管理。

依據(jù)團體標準T/ISC-0011-2021《數(shù)據(jù)安全治理能力評估方法》，數(shù)據(jù)案例參考框架包括數(shù)據(jù)安全戰(zhàn)略、數(shù)據(jù)全生命周期安全、基礎安全3部分主要內容，如下圖所示。數(shù)據(jù)安全治理參考框架?數(shù)據(jù)安全戰(zhàn)略在組織啟動數(shù)據(jù)安全治理工作前，必須制定相應的戰(zhàn)略規(guī)劃，明確治理目標和具體任務，匹配對應的資源，使得治理工作能夠有條不紊地展開。數(shù)據(jù)安全戰(zhàn)略可以從數(shù)據(jù)安全規(guī)劃、機構人員管理兩個能力項入手，前者確立目標任務，后者組建治理團隊。

?數(shù)據(jù)全生命周期安全數(shù)據(jù)安全治理應圍繞數(shù)據(jù)全生命周期展開，以采集、傳輸、存儲、使用、共享、銷毀各個環(huán)節(jié)為切入點，設置相應的管控點和管理流程，以便于在不同的業(yè)務場景中進行組合復用。

數(shù)據(jù)全生命周期安全包括數(shù)據(jù)采集安全、數(shù)據(jù)傳輸安全、存儲安全、數(shù)據(jù)備份與恢復、使用安全、數(shù)據(jù)處理環(huán)境安全、數(shù)據(jù)內部共享安全、數(shù)據(jù)外部共享安全、數(shù)據(jù)銷毀安全在內的9個能力項，通過對數(shù)據(jù)全流轉過程進行規(guī)范和約束以有效降低數(shù)據(jù)安全風險。

?基礎安全基礎安全能力作為數(shù)據(jù)全生命周期安全能力建設的基本支撐，可以在多個生命周期環(huán)節(jié)內復用，是整個數(shù)據(jù)安全治理體系建設的通用要求，能夠實現(xiàn)建設資源的有效整合。

基礎安全能力包括數(shù)據(jù)分類分級、合規(guī)管理、合作方管理、監(jiān)控審計、鑒別與訪問、風險和需求分析、安全事件應急等7個能力項，主要從數(shù)據(jù)安全的保障措施上進行定義和要求。

對行業(yè)數(shù)據(jù)特性及數(shù)據(jù)管理現(xiàn)存問題，從數(shù)據(jù)視角出發(fā)，系統(tǒng)化、規(guī)范化、科學性的建立數(shù)據(jù)安全治理體系。完整的數(shù)據(jù)安全治理體系應包含5個方面：原則、上層建筑、資產梳理、管理體系、防護體系。安全治理體系

原則是數(shù)據(jù)安全治理的基本思想與方針，包括：戰(zhàn)略一致、風險可控、運營合規(guī)、績效提升。

上層建筑包括內外部策略、部門職責、動態(tài)協(xié)同等，起到安全治理過程中依據(jù)、指引等作用。

資產梳理是以安全治理角度，充分摸清家底，有針對性、有計劃性的進行治理實施，主要包括：管理梳理、技術梳理、場景梳理。

管理體系具有可落地執(zhí)行特性，包含組織體系、執(zhí)行體系及運維體系。

技術體系通過發(fā)現(xiàn)、運維、防護，實現(xiàn)各階段進行快速響應。數(shù)據(jù)安全治理框架

05數(shù)據(jù)安全治理實施步驟一、理清組織安全數(shù)據(jù)現(xiàn)狀通過梳理與評估，理清數(shù)據(jù)安全現(xiàn)狀，同時基于數(shù)據(jù)處理活動構建“靜”、“動”結合的數(shù)據(jù)安全評估機制。數(shù)據(jù)安全現(xiàn)狀梳理示例二、構建統(tǒng)籌有力的數(shù)據(jù)安全組織機構強化組織領導、明確責任分工，構建統(tǒng)籌有力的數(shù)據(jù)安全統(tǒng)一團隊，推動數(shù)據(jù)安全工作持續(xù)、有序、穩(wěn)定地開展。數(shù)據(jù)安全組織架構示例三、制定行之有效的數(shù)據(jù)安全制度基于組織數(shù)據(jù)安全現(xiàn)狀，準確定義數(shù)據(jù)安全管理內容和數(shù)據(jù)分類分級，明確工作職責和工作要求，完善數(shù)據(jù)安全管理制度和流程，使數(shù)據(jù)安全工作有據(jù)可依，責任落實到人。數(shù)據(jù)安全四級管理體系建設示例四、夯實基礎能力，構筑全面的數(shù)據(jù)安全防護能力通過梳理與評估，摸清組織數(shù)據(jù)安全現(xiàn)狀，結合業(yè)務實際情況，補全能力，從而構建全面的數(shù)據(jù)安全防護能力，實現(xiàn)數(shù)據(jù)可見、流轉可知、風險可識、數(shù)據(jù)安全狀態(tài)可管、風險趨勢可控的“五可”能力，實現(xiàn)數(shù)據(jù)流動安全高效管控。數(shù)據(jù)安全防護能力建設示例五、搭建管技結合橋梁，開展常態(tài)化數(shù)據(jù)安全運營將數(shù)據(jù)脫敏、數(shù)字水印、數(shù)據(jù)防泄漏、數(shù)據(jù)加密、數(shù)據(jù)銷毀、數(shù)據(jù)安全風險監(jiān)測預警等數(shù)據(jù)安全防護措施與數(shù)據(jù)安全管理制度結合起來，開展數(shù)據(jù)安全常態(tài)化運營，確保組織數(shù)據(jù)安全戰(zhàn)略、數(shù)據(jù)安全管控要求有效實施。常態(tài)化運營示例六、定期開展數(shù)據(jù)安全監(jiān)督檢查為確保組織各項數(shù)據(jù)安全戰(zhàn)略、策略方針、管理要求落實到位，以查促改，完善數(shù)據(jù)安全監(jiān)督檢查體系建設，形成數(shù)據(jù)安全管控閉環(huán)。一是安全管理部門、內審部定期開展數(shù)據(jù)安全審計工作，在過往安全專項審計的基礎上，增加數(shù)據(jù)安全審計內容。

二是安全管理部門對組織內部各部門、下屬單位數(shù)據(jù)安全落實情況進行現(xiàn)場監(jiān)督檢查或遠程監(jiān)督檢查，核查組織內部在數(shù)據(jù)安全工作是否組織、落實到位。七、全員數(shù)據(jù)安全賦能人員是數(shù)據(jù)安全各項要求有效實施的基石，不同角色人員數(shù)據(jù)安全職責不同，所需數(shù)據(jù)安全技能也不同；組織應根據(jù)具體業(yè)務情況開展數(shù)據(jù)安全賦能，確保各項數(shù)據(jù)安全戰(zhàn)略、策略方針及管理要求能夠有效落地。數(shù)據(jù)安全培訓示例數(shù)據(jù)安全治理體系建設注重以下四個方面的工作：1、組織建設設計健全的組織架構是數(shù)據(jù)安全治理工作的基礎。組織建設包括部門職責與人員角色確定及動態(tài)協(xié)同機制，

（1）部門職責與人員角色

部門包括：業(yè)務部門、運維部門及安全管理部門。業(yè)務部門。按單位業(yè)務職能劃分；運維部門。根據(jù)運維體系進行有效執(zhí)行；安全管理部門。制度指定、技術迭代、安全檢查與事件處理、安全審計等。其它：包括第方廠家或者外包的職責制度。

人員角色可分為：業(yè)務人員、審計人員、運維人員、安全人員、管理人員等。

（2）動態(tài)協(xié)同機制

建設完善的動態(tài)協(xié)同機制，充分利用部門資源，解決部門運轉孤島問題。

明確數(shù)據(jù)訪問人員、數(shù)據(jù)生產人員、數(shù)據(jù)維護人員等目標對象，以數(shù)據(jù)流轉為基礎，對相關人員進行串聯(lián)，形成動態(tài)協(xié)同。

2、資產梳理內部資產梳理是數(shù)據(jù)安全治理的核心所在，只有詳細、真實的數(shù)據(jù)梳理才能讓數(shù)據(jù)安全治理真正落地執(zhí)行。梳理主要從現(xiàn)有管理、技術、治理場景三方面進行。數(shù)據(jù)資產主要為，機構化數(shù)據(jù)及非結構化數(shù)據(jù)，針對數(shù)據(jù)需要梳理威脅性、脆弱性及使用權限確定（包括：訪問控制、權限授權情況等）。

針對結構化數(shù)據(jù)還需明確數(shù)據(jù)類型及基礎信息，如：主機信息、網絡信息、數(shù)據(jù)庫品牌、數(shù)據(jù)庫版本信息等；對數(shù)據(jù)進行分類分級，通過合規(guī)性要求、自身主觀判斷、意外事故影響和第三方使用價值進行數(shù)據(jù)劃分。

3、流程管控完善的管控體系是保障數(shù)據(jù)安全治理可持續(xù)性的關鍵所在，流程管控主要從組織體系、執(zhí)行體系、運維體系等三個方面進行考量。

組織體系：建立決策層、管理層、執(zhí)行層多方面、跨部門有效協(xié)同機制與制度；

執(zhí)行體系：包括治理方針、規(guī)章制度、治理標準、治理規(guī)范、治理流程等；

運維體系：包括維護、監(jiān)控、評估、加固、審計與應急、治理評估等。

4、安全防護完善

數(shù)據(jù)安全治理離不開安全技術及安全產品，安全防護體系能力主要從發(fā)現(xiàn)能力、運維能力、防護能力三個方面進行建設。

發(fā)現(xiàn)能力：數(shù)據(jù)泄密、數(shù)據(jù)審計、數(shù)據(jù)安全基線管理、UEBA、數(shù)據(jù)態(tài)勢感知等；

運維能力：綜合性審計、基于數(shù)據(jù)的漏掃、監(jiān)控與預警及統(tǒng)一認證與授權等；

防護能力：數(shù)據(jù)加密、數(shù)據(jù)脫敏、數(shù)據(jù)庫防火墻、數(shù)據(jù)防泄漏、統(tǒng)一策略管理、容災備份等。

06數(shù)據(jù)安全治理實施過程中注意事項

合規(guī)性要求。行業(yè)合規(guī)性要求較多，會隨著時間推移發(fā)生變動，合規(guī)性文件對數(shù)據(jù)安全治理過程中有著依據(jù)、指引等作用，如不能深入了解，會使數(shù)據(jù)安全治理建設過程反復。

管理體系。完善可持續(xù)性的管理體系是保障安全治理的先決條件，規(guī)劃好，落地難的管理體系如空中樓閣，使數(shù)據(jù)安全治理效果大大折扣。

資產梳理。資產梳理對數(shù)據(jù)安全治理尤為重要，需要清除哪些數(shù)據(jù)要防護、數(shù)據(jù)如何流轉、端到端對象都有誰、數(shù)據(jù)跑的有什么內容、現(xiàn)今數(shù)據(jù)載體有什么安全隱患等等問題，資產梳理不到位，難以進行后期的體系建設。

缺乏過程持續(xù)性。數(shù)據(jù)安全治理是一個持續(xù)性過程，上到管理體系，