數(shù)據(jù)安全治理體系建設(shè)思路和方法

數(shù)據(jù)安全治理體系建設(shè)思路和方法01數(shù)據(jù)安全治理背景

隨著各行各業(yè)信息化不斷演變發(fā)展，數(shù)據(jù)已成為基礎(chǔ)設(shè)施，成為業(yè)務(wù)發(fā)展重要原動(dòng)力，內(nèi)部業(yè)務(wù)與互聯(lián)網(wǎng)深度融合，利用新媒體，讓數(shù)據(jù)產(chǎn)生更大價(jià)值，是近近幾年發(fā)展的主要趨勢(shì)。如何提升數(shù)據(jù)資產(chǎn)價(jià)值同時(shí)讓數(shù)據(jù)使用更安全，已成為各個(gè)行業(yè)探討的方向。

近幾年網(wǎng)絡(luò)安全事件頻發(fā)，具有商業(yè)特性的攻擊事件越來越多，地下黑產(chǎn)對(duì)個(gè)人信息需求異常旺盛。2017-2018年度551起數(shù)據(jù)泄露事件中，出自各行各業(yè)，數(shù)據(jù)高質(zhì)量、易獲取，已成為不法份子獲取利益的最佳途徑。

隨著橫向網(wǎng)絡(luò)安全法、等保2.0的合規(guī)性要求及縱向垂直行業(yè)安全要求的需要，對(duì)數(shù)據(jù)存儲(chǔ)、使用、運(yùn)營提出了明確要求，如何更好的對(duì)數(shù)據(jù)進(jìn)行有效防護(hù)，保障數(shù)據(jù)全生命周期的安全性，如何以事前發(fā)現(xiàn)、事中阻止、事后審計(jì)、持續(xù)加固的方式，提供更好的服務(wù)是每個(gè)從事安全的行業(yè)人員應(yīng)該深度思考的問題。

02數(shù)據(jù)安全治理概念

根據(jù)《數(shù)據(jù)安全治理白皮書3.0》，數(shù)據(jù)安全治理是以“讓數(shù)據(jù)使用更安全”為目的，在中國易于落地的數(shù)據(jù)安全建設(shè)的體系化方法論，核心內(nèi)容包括：

（1）滿足數(shù)據(jù)安全保護(hù)（Protection）、合規(guī)性（Compliance）、敏感數(shù)據(jù)管理（Sensitive）

三個(gè)需求目標(biāo)；（2）核心理念包括：分類分級(jí)(Classfiying)、角色授權(quán)(Privilege)、場(chǎng)景化安全(Scene)；（3）數(shù)據(jù)安全治理的建設(shè)步驟包括：組織構(gòu)建、資產(chǎn)梳理、策略制定、過程控制、行為稽核和持續(xù)改善；（4）核心實(shí)現(xiàn)框架為數(shù)據(jù)安全人員組織(Person)、數(shù)據(jù)安全使用的策略和流程(Policy&Process)、數(shù)據(jù)安全技術(shù)支撐(Technology)三大部分。數(shù)據(jù)安全治理的核心理念：?分類分級(jí)數(shù)據(jù)資產(chǎn)保護(hù)的核心在于數(shù)據(jù)分類分級(jí)。通過對(duì)數(shù)據(jù)的有效理解和分析，對(duì)數(shù)據(jù)進(jìn)行不同類別和密級(jí)的劃分；根據(jù)數(shù)據(jù)的類別和密級(jí)制定不同的管理和使用原則，盡可能對(duì)數(shù)據(jù)做到有差別和針對(duì)性的防護(hù)，實(shí)現(xiàn)在適當(dāng)安全保護(hù)下的數(shù)據(jù)自由流動(dòng)。?角色授權(quán)數(shù)據(jù)安全訪問控制核心在于數(shù)據(jù)訪問主體的角色授權(quán)。在數(shù)據(jù)分級(jí)和分類后，明確了數(shù)據(jù)的訪問角色以及數(shù)據(jù)的使用方式，在不影響數(shù)據(jù)資源正常訪問的前提下，針對(duì)不同的角色賦予不同的訪問權(quán)限，實(shí)現(xiàn)數(shù)據(jù)的訪問和使用安全。?場(chǎng)景化安全數(shù)據(jù)安全治理的核心在于場(chǎng)景化安全。不同用戶基于業(yè)務(wù)、訪問途徑、使用需求，會(huì)產(chǎn)生不同的使用場(chǎng)景。在保證數(shù)據(jù)被正常使用的目標(biāo)下，基于不同的使用場(chǎng)景制定相應(yīng)的數(shù)據(jù)安全策略。場(chǎng)景化的數(shù)據(jù)安全治理，能及時(shí)發(fā)現(xiàn)數(shù)據(jù)風(fēng)險(xiǎn)暴露面，使數(shù)據(jù)安全治理更具針對(duì)性，從而實(shí)現(xiàn)數(shù)據(jù)使用更安全。

03數(shù)據(jù)安全治理目標(biāo)

數(shù)據(jù)安全治理長期目標(biāo)思短期目標(biāo)需要從治理體系、安全合規(guī)、技術(shù)支撐三要素進(jìn)行考慮建設(shè)。

治理體系：數(shù)據(jù)安全體系化建設(shè)，使數(shù)據(jù)安全管理更加合理規(guī)范，良好的可視性運(yùn)維機(jī)制和動(dòng)態(tài)協(xié)同能力。

安全合規(guī)：充分了解合規(guī)及行業(yè)要求，建設(shè)滿足合規(guī)性要求同時(shí)，需要考慮靈活性、可擴(kuò)展性及各階段銜接性。

技術(shù)支持：提升事前發(fā)現(xiàn)、事中防護(hù)、事后審計(jì)能力。

04數(shù)據(jù)安全治理體系框架

數(shù)據(jù)安全是數(shù)據(jù)安全治理的目標(biāo)對(duì)象，參考框架是數(shù)據(jù)安全治理的參照對(duì)象。組織可以通過持續(xù)構(gòu)建參照對(duì)象，實(shí)現(xiàn)對(duì)目標(biāo)對(duì)象的有效管理。

依據(jù)團(tuán)體標(biāo)準(zhǔn)T/ISC-0011-2021《數(shù)據(jù)安全治理能力評(píng)估方法》，數(shù)據(jù)案例參考框架包括數(shù)據(jù)安全戰(zhàn)略、數(shù)據(jù)全生命周期安全、基礎(chǔ)安全3部分主要內(nèi)容，如下圖所示。數(shù)據(jù)安全治理參考框架?數(shù)據(jù)安全戰(zhàn)略在組織啟動(dòng)數(shù)據(jù)安全治理工作前，必須制定相應(yīng)的戰(zhàn)略規(guī)劃，明確治理目標(biāo)和具體任務(wù)，匹配對(duì)應(yīng)的資源，使得治理工作能夠有條不紊地展開。數(shù)據(jù)安全戰(zhàn)略可以從數(shù)據(jù)安全規(guī)劃、機(jī)構(gòu)人員管理兩個(gè)能力項(xiàng)入手，前者確立目標(biāo)任務(wù)，后者組建治理團(tuán)隊(duì)。

?數(shù)據(jù)全生命周期安全數(shù)據(jù)安全治理應(yīng)圍繞數(shù)據(jù)全生命周期展開，以采集、傳輸、存儲(chǔ)、使用、共享、銷毀各個(gè)環(huán)節(jié)為切入點(diǎn)，設(shè)置相應(yīng)的管控點(diǎn)和管理流程，以便于在不同的業(yè)務(wù)場(chǎng)景中進(jìn)行組合復(fù)用。

數(shù)據(jù)全生命周期安全包括數(shù)據(jù)采集安全、數(shù)據(jù)傳輸安全、存儲(chǔ)安全、數(shù)據(jù)備份與恢復(fù)、使用安全、數(shù)據(jù)處理環(huán)境安全、數(shù)據(jù)內(nèi)部共享安全、數(shù)據(jù)外部共享安全、數(shù)據(jù)銷毀安全在內(nèi)的9個(gè)能力項(xiàng)，通過對(duì)數(shù)據(jù)全流轉(zhuǎn)過程進(jìn)行規(guī)范和約束以有效降低數(shù)據(jù)安全風(fēng)險(xiǎn)。

?基礎(chǔ)安全基礎(chǔ)安全能力作為數(shù)據(jù)全生命周期安全能力建設(shè)的基本支撐，可以在多個(gè)生命周期環(huán)節(jié)內(nèi)復(fù)用，是整個(gè)數(shù)據(jù)安全治理體系建設(shè)的通用要求，能夠?qū)崿F(xiàn)建設(shè)資源的有效整合。

基礎(chǔ)安全能力包括數(shù)據(jù)分類分級(jí)、合規(guī)管理、合作方管理、監(jiān)控審計(jì)、鑒別與訪問、風(fēng)險(xiǎn)和需求分析、安全事件應(yīng)急等7個(gè)能力項(xiàng)，主要從數(shù)據(jù)安全的保障措施上進(jìn)行定義和要求。

對(duì)行業(yè)數(shù)據(jù)特性及數(shù)據(jù)管理現(xiàn)存問題，從數(shù)據(jù)視角出發(fā)，系統(tǒng)化、規(guī)范化、科學(xué)性的建立數(shù)據(jù)安全治理體系。完整的數(shù)據(jù)安全治理體系應(yīng)包含5個(gè)方面：原則、上層建筑、資產(chǎn)梳理、管理體系、防護(hù)體系。安全治理體系

原則是數(shù)據(jù)安全治理的基本思想與方針，包括：戰(zhàn)略一致、風(fēng)險(xiǎn)可控、運(yùn)營合規(guī)、績(jī)效提升。

上層建筑包括內(nèi)外部策略、部門職責(zé)、動(dòng)態(tài)協(xié)同等，起到安全治理過程中依據(jù)、指引等作用。

資產(chǎn)梳理是以安全治理角度，充分摸清家底，有針對(duì)性、有計(jì)劃性的進(jìn)行治理實(shí)施，主要包括：管理梳理、技術(shù)梳理、場(chǎng)景梳理。

管理體系具有可落地執(zhí)行特性，包含組織體系、執(zhí)行體系及運(yùn)維體系。

技術(shù)體系通過發(fā)現(xiàn)、運(yùn)維、防護(hù)，實(shí)現(xiàn)各階段進(jìn)行快速響應(yīng)。數(shù)據(jù)安全治理框架

05數(shù)據(jù)安全治理實(shí)施步驟一、理清組織安全數(shù)據(jù)現(xiàn)狀通過梳理與評(píng)估，理清數(shù)據(jù)安全現(xiàn)狀，同時(shí)基于數(shù)據(jù)處理活動(dòng)構(gòu)建“靜”、“動(dòng)”結(jié)合的數(shù)據(jù)安全評(píng)估機(jī)制。數(shù)據(jù)安全現(xiàn)狀梳理示例二、構(gòu)建統(tǒng)籌有力的數(shù)據(jù)安全組織機(jī)構(gòu)強(qiáng)化組織領(lǐng)導(dǎo)、明確責(zé)任分工，構(gòu)建統(tǒng)籌有力的數(shù)據(jù)安全統(tǒng)一團(tuán)隊(duì)，推動(dòng)數(shù)據(jù)安全工作持續(xù)、有序、穩(wěn)定地開展。數(shù)據(jù)安全組織架構(gòu)示例三、制定行之有效的數(shù)據(jù)安全制度基于組織數(shù)據(jù)安全現(xiàn)狀，準(zhǔn)確定義數(shù)據(jù)安全管理內(nèi)容和數(shù)據(jù)分類分級(jí)，明確工作職責(zé)和工作要求，完善數(shù)據(jù)安全管理制度和流程，使數(shù)據(jù)安全工作有據(jù)可依，責(zé)任落實(shí)到人。數(shù)據(jù)安全四級(jí)管理體系建設(shè)示例四、夯實(shí)基礎(chǔ)能力，構(gòu)筑全面的數(shù)據(jù)安全防護(hù)能力通過梳理與評(píng)估，摸清組織數(shù)據(jù)安全現(xiàn)狀，結(jié)合業(yè)務(wù)實(shí)際情況，補(bǔ)全能力，從而構(gòu)建全面的數(shù)據(jù)安全防護(hù)能力，實(shí)現(xiàn)數(shù)據(jù)可見、流轉(zhuǎn)可知、風(fēng)險(xiǎn)可識(shí)、數(shù)據(jù)安全狀態(tài)可管、風(fēng)險(xiǎn)趨勢(shì)可控的“五可”能力，實(shí)現(xiàn)數(shù)據(jù)流動(dòng)安全高效管控。數(shù)據(jù)安全防護(hù)能力建設(shè)示例五、搭建管技結(jié)合橋梁，開展常態(tài)化數(shù)據(jù)安全運(yùn)營將數(shù)據(jù)脫敏、數(shù)字水印、數(shù)據(jù)防泄漏、數(shù)據(jù)加密、數(shù)據(jù)銷毀、數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)預(yù)警等數(shù)據(jù)安全防護(hù)措施與數(shù)據(jù)安全管理制度結(jié)合起來，開展數(shù)據(jù)安全常態(tài)化運(yùn)營，確保組織數(shù)據(jù)安全戰(zhàn)略、數(shù)據(jù)安全管控要求有效實(shí)施。常態(tài)化運(yùn)營示例六、定期開展數(shù)據(jù)安全監(jiān)督檢查為確保組織各項(xiàng)數(shù)據(jù)安全戰(zhàn)略、策略方針、管理要求落實(shí)到位，以查促改，完善數(shù)據(jù)安全監(jiān)督檢查體系建設(shè)，形成數(shù)據(jù)安全管控閉環(huán)。一是安全管理部門、內(nèi)審部定期開展數(shù)據(jù)安全審計(jì)工作，在過往安全專項(xiàng)審計(jì)的基礎(chǔ)上，增加數(shù)據(jù)安全審計(jì)內(nèi)容。

二是安全管理部門對(duì)組織內(nèi)部各部門、下屬單位數(shù)據(jù)安全落實(shí)情況進(jìn)行現(xiàn)場(chǎng)監(jiān)督檢查或遠(yuǎn)程監(jiān)督檢查，核查組織內(nèi)部在數(shù)據(jù)安全工作是否組織、落實(shí)到位。七、全員數(shù)據(jù)安全賦能人員是數(shù)據(jù)安全各項(xiàng)要求有效實(shí)施的基石，不同角色人員數(shù)據(jù)安全職責(zé)不同，所需數(shù)據(jù)安全技能也不同；組織應(yīng)根據(jù)具體業(yè)務(wù)情況開展數(shù)據(jù)安全賦能，確保各項(xiàng)數(shù)據(jù)安全戰(zhàn)略、策略方針及管理要求能夠有效落地。數(shù)據(jù)安全培訓(xùn)示例數(shù)據(jù)安全治理體系建設(shè)注重以下四個(gè)方面的工作：1、組織建設(shè)設(shè)計(jì)健全的組織架構(gòu)是數(shù)據(jù)安全治理工作的基礎(chǔ)。組織建設(shè)包括部門職責(zé)與人員角色確定及動(dòng)態(tài)協(xié)同機(jī)制，

（1）部門職責(zé)與人員角色

部門包括：業(yè)務(wù)部門、運(yùn)維部門及安全管理部門。業(yè)務(wù)部門。按單位業(yè)務(wù)職能劃分；運(yùn)維部門。根據(jù)運(yùn)維體系進(jìn)行有效執(zhí)行；安全管理部門。制度指定、技術(shù)迭代、安全檢查與事件處理、安全審計(jì)等。其它：包括第方廠家或者外包的職責(zé)制度。

人員角色可分為：業(yè)務(wù)人員、審計(jì)人員、運(yùn)維人員、安全人員、管理人員等。

（2）動(dòng)態(tài)協(xié)同機(jī)制

建設(shè)完善的動(dòng)態(tài)協(xié)同機(jī)制，充分利用部門資源，解決部門運(yùn)轉(zhuǎn)孤島問題。

明確數(shù)據(jù)訪問人員、數(shù)據(jù)生產(chǎn)人員、數(shù)據(jù)維護(hù)人員等目標(biāo)對(duì)象，以數(shù)據(jù)流轉(zhuǎn)為基礎(chǔ)，對(duì)相關(guān)人員進(jìn)行串聯(lián)，形成動(dòng)態(tài)協(xié)同。

2、資產(chǎn)梳理內(nèi)部資產(chǎn)梳理是數(shù)據(jù)安全治理的核心所在，只有詳細(xì)、真實(shí)的數(shù)據(jù)梳理才能讓數(shù)據(jù)安全治理真正落地執(zhí)行。梳理主要從現(xiàn)有管理、技術(shù)、治理場(chǎng)景三方面進(jìn)行。數(shù)據(jù)資產(chǎn)主要為，機(jī)構(gòu)化數(shù)據(jù)及非結(jié)構(gòu)化數(shù)據(jù)，針對(duì)數(shù)據(jù)需要梳理威脅性、脆弱性及使用權(quán)限確定（包括：訪問控制、權(quán)限授權(quán)情況等）。

針對(duì)結(jié)構(gòu)化數(shù)據(jù)還需明確數(shù)據(jù)類型及基礎(chǔ)信息，如：主機(jī)信息、網(wǎng)絡(luò)信息、數(shù)據(jù)庫品牌、數(shù)據(jù)庫版本信息等；對(duì)數(shù)據(jù)進(jìn)行分類分級(jí)，通過合規(guī)性要求、自身主觀判斷、意外事故影響和第三方使用價(jià)值進(jìn)行數(shù)據(jù)劃分。

3、流程管控完善的管控體系是保障數(shù)據(jù)安全治理可持續(xù)性的關(guān)鍵所在，流程管控主要從組織體系、執(zhí)行體系、運(yùn)維體系等三個(gè)方面進(jìn)行考量。

組織體系：建立決策層、管理層、執(zhí)行層多方面、跨部門有效協(xié)同機(jī)制與制度；

執(zhí)行體系：包括治理方針、規(guī)章制度、治理標(biāo)準(zhǔn)、治理規(guī)范、治理流程等；

運(yùn)維體系：包括維護(hù)、監(jiān)控、評(píng)估、加固、審計(jì)與應(yīng)急、治理評(píng)估等。

4、安全防護(hù)完善

數(shù)據(jù)安全治理離不開安全技術(shù)及安全產(chǎn)品，安全防護(hù)體系能力主要從發(fā)現(xiàn)能力、運(yùn)維能力、防護(hù)能力三個(gè)方面進(jìn)行建設(shè)。

發(fā)現(xiàn)能力：數(shù)據(jù)泄密、數(shù)據(jù)審計(jì)、數(shù)據(jù)安全基線管理、UEBA、數(shù)據(jù)態(tài)勢(shì)感知等；

運(yùn)維能力：綜合性審計(jì)、基于數(shù)據(jù)的漏掃、監(jiān)控與預(yù)警及統(tǒng)一認(rèn)證與授權(quán)等；

防護(hù)能力：數(shù)據(jù)加密、數(shù)據(jù)脫敏、數(shù)據(jù)庫防火墻、數(shù)據(jù)防泄漏、統(tǒng)一策略管理、容災(zāi)備份等。

06數(shù)據(jù)安全治理實(shí)施過程中注意事項(xiàng)

合規(guī)性要求。行業(yè)合規(guī)性要求較多，會(huì)隨著時(shí)間推移發(fā)生變動(dòng)，合規(guī)性文件對(duì)數(shù)據(jù)安全治理過程中有著依據(jù)、指引等作用，如不能深入了解，會(huì)使數(shù)據(jù)安全治理建設(shè)過程反復(fù)。

管理體系。完善可持續(xù)性的管理體系是保障安全治理的先決條件，規(guī)劃好，落地難的管理體系如空中樓閣，使數(shù)據(jù)安全治理效果大大折扣。

資產(chǎn)梳理。資產(chǎn)梳理對(duì)數(shù)據(jù)安全治理尤為重要，需要清除哪些數(shù)據(jù)要防護(hù)、數(shù)據(jù)如何流轉(zhuǎn)、端到端對(duì)象都有誰、數(shù)據(jù)跑的有什么內(nèi)容、現(xiàn)今數(shù)據(jù)載體有什么安全隱患等等問題，資產(chǎn)梳理不到位，難以進(jìn)行后期的體系建設(shè)。

缺乏過程持續(xù)性。數(shù)據(jù)安全治理是一個(gè)持續(xù)性過程，上到管理體系，