企业数据安全治理实践方法

       在“没有网络安全就没有国家安全”、“实施互联网+计划和国家大数据发展战略”等政策要求的时代背景下，国家层面越来越重视数据安全的发展。根据2019年《中国数字经济白皮书》指出，数字经济占全国GDP总和的36%，随着每年各行各业的数据量成几何倍的速度增长，可以预见在未来数据将会是国家发展、民族复兴的重要资源。为此，数据的安全也是当下数据治理的一个重要组成部分。

       最近因为工作原因一直在思考数据安全治理到底该怎么做，在写之前，需要明确一下数据治理与数据安全治理之间的关系：

       数据治理：数据治理是对数据资产管理行使权力和控制的活动。是将原始、离散的数据通过梳理、清洗、归集等方式形成有价值的数据目录。通过数据治理可以提升数据的价值。

       数据安全治理：属于数据治理中的一个重要组成部分，通过数据资产识别、分类分级、数据管理，提升数据使用过程中的安全性避免数据丢失、泄露、篡改。

       在理清这两个概念的关系后，下面笔者阐述一下自己对数据安全治理的理解：“ 数据安全治理的最终目的是要确保数据全生命周期过程中的安全性”。为实现这一目的，主要分为以下几步，按顺序介绍如下：

       往往我们在做信息化安全建设时，一个固定的思维是：直接怼设备进用户业务网络，不断网+业务正常就大功告成。事实上这样做完全没有考虑到用户业务和管理现状。

       对于数据安全治理而言，切忌第一步不可直接告诉客户上安全设备，这样只会让客户觉得你是来推销产品，而不是帮他解决问题的。一般都是先了解清楚用户现场情况，包括业务情况、组织架构、安全制度等信息。建立一个领导层、管理层、执行层都十分重视数据安全的组织架构，为接下来的步骤打好基础。

       就像我们在给用户规划网络安全要做分区分域一样，数据安全治理也需要做识别数据资产、分类分级。

       做分级分类前先将用户网络内所有的数据尽可能的搜集上来，避免发生遗漏。在对数据进行识别挖掘的时，可按照以下3步开展工作：

       然后对数据进行分类分级，一般是需要先分类，将不同数据归类到不同的组织目录内，这样才能更好的实施安全防御策略。例如参照《贵州市数据分类分级指南》，其将政府数据按照主题、行业和服务三个维度进行归类，每个维度内又划分了大类、中类、小类三个类型。

       分级是在分类的基础上，按照数据的敏感程度进行划分，一般定义敏感程度是参照数据发生破坏或者泄露时产生的影响，可分为公开、半公开、不公开数据。

       在分类分级过后，需要针对这些数据可能存在的威胁进行风险评估，可以从以下几个角度进行分析：

      针对上述存在的风险，数据安全治理需要从两个角度出发，一个传统安全建设，另外一个是数据安全建设：

       1）传统安全建设，可以参照等级保护的标准来，按照安全的通信网络+安全的区域边界+安全的计算机环境结合安全的管理中心，实现“主动防护，纵深防御”的安全体系。

       2）针对数据安全，重点关注数据生命周期过程中的安全防护，例如：

       部署运维人员、安全专家，将上述安全设备活用起来，针对不同数据制定相应的策略，并通过统一的安全平台做集中管理，形成一个持续性运营的状态。

       最后，安全策略部署好之后不是一尘不变的，需要根据被保护对象状态进行及时的调整，例如，一条敏感数据由于政策原因变成可以公开的信息，原本针对敏感数据的策略，例如数据脱敏，可以适当进行调整，使其可以被正常使用。

      来源：FreeBuf、数据学堂