盛世集团

云大物移飞速发展，为业务数字化转型带来新机遇，数据成为业务发展的重要资源要素，成为新时期的“石油”，但新技术、新需求、新场景也给组织数据安全带来新的压力与挑战，被泄漏、被窃取、被滥用风险与日俱增
。

国家对数据安全问题已经高度重视、大力部署，《网络安全法》、《数据安全法》、《个人信息；しā饭餐槌闪斯谑荼；ち煊虻摹叭萋沓怠
。越来越多的政府部门、企事业单位、金融机构等各行各业，对数据安全合规的需求日益增多，纷纷开始数据安全治理体系的建设和探索
。

那么，数据安全治理到底该怎么做？近日，盛世集团安全实验室负责人刘隽良线上进行《实践视角下的数据安全治理经验分享》
。

一、数据安全的现实痛点

1.数据资产量级不清

不了解数据资产是否与实际资产相符，不知敏感数据在哪里、被谁访问；

2.数据资产安全状况未知

组织有意识提升数据安全防护能力，但不知具体风险有哪些、在哪里；

3.数据安全建设无头绪

缺少切实有效的数据安全管理制度流程为抓手，数据安全难落实稽核；

4.数据安全建设成果无感知

采购了一批安全产品，但是否有效无评价机制，对新产生的风险无法感知
。

过去甚至现在，绝大多单位组织普遍重视网络侧防御，或数据安全建设中沿用自下而上的“堆产品”思维，烟囱式建设，导致数据安全普遍存在上述管理制度体系不健全、数据资产权责不清晰等问题挑战，且这些问题随着新业务开展、数据大范围流动共享、强监管态势不断放大
。

数据安全建设亟需与时俱进，体系化开展
。数据安全治理则提出了一整套可行的解决途径
。数据安全治理目的是保障数据在安全可控的情况下使用并发挥价值，强调以数据为中心、安全与业务发展兼顾、从业务层到安全层，从管理层到技术层，自上而下全方位与体系融合，最终实现数据安全保障能力持续提升
。

二、数据安全治理框架与思路

基于十余年数据安全领域研究，盛世集团科技充分汲取Gartner数据安全治理框架（DSG）、Microsoft数据安全治理框架（DGPC）、DSMM数据安全能力成熟度模型、以及零信任2.0数据安全架构，形成一整套可落地实践的数据安全治理服务解决方案，并在实践中不断优化，让数据安全治理这项复杂而系统的工程，在不同行业、不同场景中有效落地
。

图 1盛世集团数据安全治理服务解决方案

1．数据安全治理建设思路

●以数据为中心：综合考虑数据属性、存储分布、流转、使用等状况，掌握厘清数据与业务的关系
。

●以组织为单位：提升整个组织的数据安全安全能力，使数据安全管理更加合理规范、完善可持续
。

●以合规为驱动：充分了解合规及行业监管要求，满足合规性要求的同时，兼顾业务实际发展状况
。

●以能力成熟度模型为抓手：基于数据生命周期定义数据安全过程域和基本实践，满足能力成熟度等级安全要求
。

2.数据安全治理建设目标

数据安全治理实现分为4个阶段，通过厘清数据资产、风险摸清安全现状，通过规划数据安全架构和建设路径，补齐短板实现短期数据安全规划目标，进行常态化数据安全监管以及持续有效的支撑和防范夯实基础，逐步实现数据安全全域可管、风险全局可视，以及数据安全可信的目标，最终达成“让数据更安全，更有价值”
。

图 2盛世集团数据安全治理建设目标

三、数据安全治理实践路径

图 3盛世集团数据安全治理实践路径

1.现状调研

采用资料收集、问卷调研、现场访谈、系统演示和工具探查的方式，全面了解数据安全管理现状（如：组织架构、数据安全相关的政策、制度和规范、业务特征、网络拓扑、数据存储情况等），明确主要痛点问题，提炼出数据安全建设的总体目标、主要方向和具体工作思路
。

图 4现状调研方式

2.数据资产梳理

●数据资产盘点：通过专业团队+自动化工具方式梳理数据资产情况，形成数据资产清单
。

●数据权限现状：对不同用户权限现状进行全面梳理，从用户维度和对象维度进行权限描述
。

●数据流向梳理：盘点数据从采集、传输、共享交换到销毁的流向，形成数据流向图
。

●数据分类分级：结合国家、行业及自身特点，以数据最稳定的特征和属性为依据，完成数据分类和分级
。

图 5盛世集团数据分类分级流程

3.数据安全风险评估

●基础风险评估：通过安全基线检查、漏洞扫描、渗透测试等方式，发现数据处理环境中存在的安全漏洞
。

●数据安全能力差距评估：依据数据安全能力成熟度模型，分析和评估当前组织安全能力现状，明晰组织数据生命周期各阶段的能力现状与目标的差距
。

●数据安全合规评估：全面解读和分析《数据安全法》、《个人信息；しā芬约暗胤桨旆ㄌ趵谌，通过联合对标分析，评估合规风险
。

●数据全生命周期风险评估：参考信息安全风险分析方法，从资产和风险两大视角出发，基于数据分级结果，建立组织风险评估模型，识别组织面临的数据安全风险
。

图 6数据全生命周期风险评估

4.数据安全建设规划

●数据权限设计：基于用户/角色和权限现状，在合规目标的指导下，结合数据分类分级结果，定制符合组织实际业务场景的数据安全权限
。

图 7盛世集团数据安全建设规划流程

●组织架构设计：定义决策层、管理层、监督层、执行层的安全职责及动态协同机制
。

●管理制度体系规划：制定数据安全管理办法、应急管理等标准规范健全制度体系，明确各个阶段的管理要求和规章制度，健全组织数据安全制度规范体系
。

●技术体系建设规划：从安全防护和可用性两大视角出发，针对具体场景进行数据安全防护建设，包括事前防护、事中阻断、事后追溯的全链路安全技术体系
。其中，数据安全技术建设规划可分阶段进行，包括数据内控合规、数据全域管控、风险全局可视、数据安全可信：

图 8盛世集团数据安全技术解决方案

1.  数据内控合规阶段：通过敏感数据发现、数据动/静态脱敏、数据库日志审计、权限管控和数据资产；ぁ⑸矸菁穑ㄈ恕⒅斩恕⒂τ茫⒏呶２僮鞣阑ぁ⒎梦士刂啤⑻厝ü芾淼，加强内部安全管控；
2.  数据全域管控阶段：更加侧重组织数据安全全面可管理，基于已有的网络安全和内控安全保障，防御外部和数据流动风险，主要包括入侵防护、漏洞防御、访问控制、误操作恢复、数据加密、计算环境安全、溯源管理、数据加密等，通过数据安全管理平台整体实现数据全域管理；
3.  风险全局可视阶段：以日志信息、风险操作、告警、数据库运行状态等大数据为基础，从全局视角提升对数据安全威胁的发现识别、理解、分析和响应能力的防护方式；
4.  数据安全可信阶段：通过制度、人员、工具、流程等逐步达到数据全域可管和风险全局可视的中长期目标，最终以建立可信的数据源、可信的数据传输环境和存储环境，达到数据安全可信阶段，释放数据价值
。

数据安全无小事，为数据使用创造一个安全好用的环境，让数据使用者放心大胆的专心致力于数据价值的挖掘，在数据安全治理和建设实践中，盛世集团积累总结了丰富的经验，并能够提供全面完整的咨询和建设服务，为组织数据安全治理提供可靠落脚点
。