數據安全治理體系建設（內有乾貨）

 

1.數據安全治理背景

隨着各行各業信息化不斷演變發展，數據已成爲基礎設施，成爲業務發展重要原動力，內部業務與互聯網深度融合，利用新媒體，讓數據產生更大價值，是近近幾年發展的主要趨勢。如何提升數據資產價值同時讓數據使用更安全，已成爲各個行業探討的方向。

近幾年網絡安全事件頻發，具有商業特性的攻擊事件越來越多，地下黑產對個人信息需求異常旺盛。2017-2018年度551起數據泄露事件中，出自各行各業，數據高質量、易獲取，已成爲不法份子獲取利益的最佳途徑。

隨着橫向網絡安全法、等保2.0的合規性要求及縱向垂直行業安全要求的需要，對數據存儲、使用、運營提出了明確要求，如何更好的對數據進行有效防護，保障數據全生命週期的安全性，如何以事前發現、事中阻止、事後審計、持續加固的方式，提供更好的服務是每個從事安全的行業人員應該深度思考的問題。

2.數據安全治理概述

數據治理包括數據、業務、安全、技術、管理等多個方面，而數據安全治理屬於數據治理體系中的一個過程，從業務層到安全層，從管理層到技術層，從左到右，自上而下全方位與體系融合，貫穿始終。

3.數據安全治理目標

數據安全治理長期目標思短期目標需要從治理體系、安全合規、技術支撐三要素進行考慮建設。

治理體系：數據安全體系化建設，使數據安全管理更加合理規範，良好的可視性運維機制和動態協同能力。

安全合規：充分了解合規及行業要求，建設滿足合規性要求同時，需要考慮靈活性、可擴展性及各階段銜接性。

技術支持：提升事前發現、事中防護、事後審計能力。

4.數據安全治理體系

對行業數據特性及數據管理現存問題，從數據視角出發，系統化、規範化、科學性的建立數據安全治理體系。完整的數據安全治理體系應包含5個方面：原則、上層建築、資產梳理、管理體系、防護體系。

安全治理體系

原則是數據安全治理的基本思想與方針，包括：戰略一致、風險可控、運營合規、績效提升。上層建築包括內外部策略、部門職責、動態協同等，起到安全治理過程中依據、指引等作用。資產梳理是以安全治理角度，充分摸清家底，有針對性、有計劃性的進行治理實施，主要包括：管理梳理、技術梳理、場景梳理。管理體系具有可落地執行特性，包含組織體系、執行體系及運維體系。技術體系通過發現、運維、防護，實現各階段進行快速響應。

數據安全治理框架

5.數據安全治理實施

5.1 組織建設。設計健全的組織架構是數據安全治理工作的基礎。組織建設包括部門職責與人員角色確定及動態協同機制，

（1）部門職責與人員角色

部門包括：業務部門、運維部門及安全管理部門。業務部門。按單位業務職能劃分；運維部門。根據運維體系進行有效執行；安全管理部門。制度指定、技術迭代、安全檢查與事件處理、安全審計等。其它：包括第方廠家或者外包的職責制度。

人員角色可分爲：業務人員、審計人員、運維人員、安全人員、管理人員等。

（2）動態協同機制

建設完善的動態協同機制，充分利用部門資源，解決部門運轉孤島問題。

資產梳理。明確數據訪問人員、數據生產人員、數據維護人員等目標對象，以數據流轉爲基礎，對相關人員進行串聯，形成動態協同。

5.2資產梳理。 內部資產梳理是數據安全治理的核心所在，只有詳細、真實的數據梳理才能讓數據安全治理真正落地執行。梳理主要從現有管理、技術、治理場景三方面進行。數據資產主要爲，機構化數據及非結構化數據，針對數據需要梳理威脅性、脆弱性及使用權限確定（包括：訪問控制、權限授權情況等）。針對結構化數據還需明確數據類型及基礎信息，如：主機信息、網絡信息、數據庫品牌、數據庫版本信息等；對數據進行分類分級，通過合規性要求、自身主觀判斷、意外事故影響和第三方使用價值進行數據劃分。

5.3流程管控。完善的管控體系是保障數據安全治理可持續性的關鍵所在，流程管控主要從組織體系、執行體系、運維體系等三個方面進行考量。組織體系：建立決策層、管理層、執行層多方面、跨部門有效協同機制與制度；執行體系：包括治理方針、規章制度、治理標準、治理規範、治理流程等；運維體系包括維護、監控、評估、加固、審計與應急、治理評估等。

5.4安全防護完善。數據安全治理離不開安全技術及安全產品，安全防護體系能力主要從發現能力、運維能力、防護能力三個方面進行建設。發現能力：數據泄密、數據審計、數據安全基線管理、UEBA、數據態勢感知等；運維能力：綜合性審計、基於數據的漏掃、監控與預警及統一認證與授權等；防護能力：數據加密、數據脫敏、數據庫防火牆、數據防泄漏、統一策略管理、容災備份等。

6.數據安全治理實施過程中注意事項。

6.1合規性要求。行業合規性要求較多，會隨着時間推移發生變動，合規性文件對數據安全治理過程中有着依據、指引等作用，如不能深入瞭解，會使數據安全治理建設過程反覆。

6.2管理體系。完善可持續性的管理體系是保障安全治理的先決條件，規劃好，落地難的管理體系如空中樓閣，使數據安全治理效果大大折扣。

6.3資產梳理。資產梳理對數據安全治理尤爲重要，需要清除哪些數據要防護、數據如何流轉、端到端對象都有誰、數據跑的有什麼內容、現今數據載體有什麼安全隱患等等問題，資產梳理不到位，難以進行後期的體系建設。

6.4缺乏過程持續性。數據安全治理是一個持續性過程，上到管理體系，下至技術工具，都需進行持續性完善，如治理過程缺乏持續性，則無法形成運維監控、定向審計、問題處置與體系加固等一套有效的運轉機制。

數據安全治理流程

7.小結

大數據、雲計算、物聯網、人工智能的到來，讓各個行業發生巨大的改變，各行業對數據數據整合及利用，以互聯網進爲載體行服務模式轉變同時，應充分考慮對數據的安全治理。通過對人、管理、防護產品多個方面進行數據安全治理意識、制度、技術的持續性完善，實現安全、業務與數據有效融合，達到數據安全治理的預期效果。