高端访谈｜吉大正元张念彬：全栈式数据安全治理之道

吉大正元数据安全事业部总经理 张念彬

张念彬简介

张念彬，长春吉大正元信息技术股份有限公司数据安全事业部总经理，工信部电子标准院专家库成员。曾参与《数据安全法实施指南》分类分级和风险评估部分的编写; 熟悉基于大数据的安全技术及产品的应用部署及方案设计; 熟悉各类安全标准和框架; 参与过智慧城市的顶层设计与国家重大项目; 熟练掌握数据安全治理、数据安全合规等方法论和具备数据全生命周期技术工具实施经验。

随着数字经济悄然来临，数字化转型迫在眉睫。在数字化转型过程中，数据已成为数字经济发展的核心生产要素，是国家重要资产和基础战略资源，其重要性不言而喻。随着数据价值的愈发凸显，数据滥用、数据泄露、数据窃取、数据伪造、数据破坏等数据安全风险与日俱增，日益成为影响产业发展、网络空间安全甚至国家安全的重要因素。

当前，加强数据安全治理不仅是社会经济数字化转型中的痛点问题，更是维护国家安全和国家竞争力的战略需要。面对数据安全威胁日益严峻的态势，亟需探索数据安全治理体系，着力解决数据安全领域的突出问题，有效提升数据安全治理能力，防范和化解风险挑战，有效实现数据安全与经济发展的统筹协调。

作为国内知名的信息安全产品、服务及解决方案的提供商，长春吉大正元信息技术股份有限公司（以下简称“吉大正元”，股票代码：003029）结合多年来在密码技术领域、身份与信任领域积累的技术优势，研发了具有自主知识产权的数据安全产品，打造出“一体两翼”数据安全合规智能管控平台的整体解决方案，助力政府及企事业单位在数字化转型过程中数据安全合规建设和快速发展。

近日，记者与吉大正元数据安全事业部总经理张念彬围绕数据安全治理思路、数据安全治理效果、数据安全体系建设、未来数据安全治理常态等内容进行了详细的沟通和探讨。

记者：请您谈谈，现阶段我国数据安全治理的现状。

张念彬：首先，我们来探讨一下对数据治理和数据安全治理的理解，数据治理和数据安全治理经常被混为一谈。事实上，数据治理和数据安全治理有一定的关联，但从本质上来说并没有直接的从属关系。数据治理重点是关注数据本身，本质是建立一套企业的“数据法规”，由这些法规来规范企业所有人员的数据活动。而数据安全治理则以人和数据为中心，专注于数据的全生命周期安全，在侧重数据的业务属性基础上，重点对数据进行分级分类，建立以数据为中心的安全架构体系。

其次，从数据安全治理现状来讲，一是提升数据安全能力的培训市场不断兴起。随着《中华人民共和国数据安全法》的施行，数据安全及治理的基本框架随之确立，明确规定相关机构与企业要开展的数据开发利用技术，以及与数据安全相关的教育和培训。不管是从事信息化安全的生产厂商，还是作为甲方的政企单位，在数据安全领域始终缺少一个完整的知识脉络来帮助企业和从业者梳理数据安全建设的内在逻辑、数据安全风险的控制方式，以及数据安全能力建设的演进路线，进而催生出繁荣的、可提升数据安全能力的培训市场。二是基于Gartner DSG 数据安全治理框架得到业界的广泛认可。DSG 数据安全治理框架，强调根据企业的业务战略、监管合规等诉求，制定数据安全治理战略。在此基础上，中国信通院推出了具有中国特色的、国内首个市场化数据安全治理能力评估标准，涵盖了数据安全战略、数据全生命周期安全和基础安全 3 个层面的共 18 个数据安全能力项，对当前业内关于数据安全治理应该涵盖的组织机构、管理制度、安全技术及专业人员几个方面的认识进行了统一规划，为企业建设、度量、改进自身的数据安全治理体系提供了方法论和操作指南。三是行业性数据安全合规体系正在不断建设与完善。基于《中华人民共和国数据安全法》的数据安全治理框架是以数据的合规安全应用为目标，引导行业提升数据合规意识，加强数据合规管理，提高企业的抗风险能力，同时也彰显出各行业数据合规建设的紧迫性，数据合规一跃成为各行业合规体系建设的重中之重。鉴于此，各行业积极推出了基于自身业务特性且与数据安全治理有关的意见、规范、白皮书等，不断加快对构建数据合规管理体系，提升数据合规风险识别和应对能力的探索。

记者：请您谈谈，数据安全治理体系建设的思路与方法。

张念彬：数据安全治理可以从 3 个维度来理解，一是战略维度。对企业而言，大数据是重要的商业资源和生产要素，数据安全治理能力已成为企业的重要竞争力，需要企业对数据安全治理进行统一的战略规划和资源协调。二是组织保障维度。数据安全治理不仅仅是一套用工具组合的产品级解决方案，而是从决策层到技术层，从制度到工具支撑，自上而下贯穿整个组织架构的完整链条。三是制度保障维度。通过对数据安全组织架构、策略规范、技术保障、人员建设、风险控制等过程和能力的建设，最终达成整个数据安全治理有效运行。

在进行数据安全治理时，结合治理与防护两方面内容，从数据的全生命周期角度来进行数据安全治理。一是进行数据清洗，对数据进行重新审查和校验，删除重复信息，纠正错误信息，以保证数据的真实、准确。二是进行分类分级，找准数据保护和利用之间的平衡点。三是与业务结合起来，平衡数字化业务发展与数据安全综合治理的思路，是数据安全治理的精髓所在，即“安全贯穿发展”。四是以数据安全战略的视角去执行，这就需要在数据安全组织保障的基础上，严格按照数据安全制度去落地实施。

经过多年与专家和客户的沟通交流，对于数据安全治理，主要围绕以下几方面进行：一是以人和数据为中心。依据法律要求和国家规范，搭建数据安全管理与监控技术框架体系，保障数据的全生命周期安全。二是平衡业务与数据风险。要把数据安全作为一个整体来考虑，考虑数据在每个系统中流转时的性能，每份数据的适用范围和群体，每个系统的特点，每个节点可能产生的风险，以及系统运行的便捷性等。三是使管理技术与流程实现融合。综合业务、安全、网络等多部门多角色的诉求，总结归纳为系统化的思路和方法，建立自动化、持续性、自适应的安全体系。四是提升数据安全技术与平台保障能力。数据安全治理是一个体系，不是一个产品，数据安全技术与平台保障能力也非单一能力，而是体系化、协同性、综合性能力。五是建设好数据安全运营管控。无论是数据安全治理，还是数据安全防护，最终都要以运营为核心，持续提高数据安全保护能力。

通过数据安全治理，一方面，能够符合法律法规以及监管的合规要求，对于企业而言，合规是安全防护中最重要的基础工作，合规基线是信息系统必须满足的最低安全要求，否则会带来巨大的安全风险；另一方面，对于中小企业来讲，能够协助其构建起数据安全治理的整体防线。一般来讲，中小企业业务架构简洁，网络复杂性低，缺少网络安全的整体性思考，在面对恶意攻击时，较短的攻击路径使得核心数据更容易暴露和失窃。此外，还能够帮助数据敏感型企业，增强用户对其数据安全防护能力的信心；帮助大型企业和机构，梳理数据资产状况并规划安全使用方式。

记者：请您谈谈，吉大正元在数据安全治理方面的技术优势。

张念彬：长期以来，吉大正元专注拓展网络安全、数据安全市场，在深研数据安全法律法规的基础上，研发了具有自主知识产权的数据安全产品和解决方案，保障客户的数据安全合规，并成立了专门的数据安全事业部，打造了以“数据安全合规智控平台”技术支撑为主体，以“数据安全培训基地”服务和“数据安全治理咨询及数据全生命周期安全防护”服务为支撑的“一体两翼”创新项目服务平台。

吉大正元数据安全事业部将围绕数据采集、处理、应用、传输、开放、共享、运维等关键业务场景，打造数据安全合规智控平台，打通数据安全管理和技术措施，提供数据采集、数据梳理、敏感数据识别、分类分级、风险评估、数据脱敏、数据加密、数据防泄露和水印溯源等统一的数据安全服务能力，建立数据全生命周期的安全合规管控流程，以流程管控数据安全，实现敏感数据可视化，数据流转可视化，有效防控数据安全风险。

此外，数据安全事业部组织建设数据安全培训基地，开设相关培训课程，包括《数据管理能力成熟度模型》《数据安全能力成熟度模型》《数据安全治理》《云数据安全》《基于密码的数据安全》和《零信任下的数据安全》等内容，数据安全事业部还建设了数据安全治理咨询和数据全生命周期安全防护体系。将结合人工智能技术，打造以敏感数据发现、分类分级和风险评估为基础的智能数据安全治理平台，基于数据全生命周期，分别从数据采集、存储、传输、处理、交换和销毁等方面，自研相关的技术产品，确保数据全流程安全并形成闭环。

吉大正元的数据安全治理策略以数据处理、数据治理、数据分析、数据挖掘等技术为核心，通过对政务及行业现状与问题分析，整合业务数据，以综合利用和共享为目标，进行统一规划、制定数据标准、规范数据处理、构建数据模型，实现数据整合、交换、共享和分析，为用户提供全方位的、多角度的数据展现，为领导的辅助决策提供数据支撑。

记者：请您谈谈，吉大正元在数据安全治理与防护方面的成就。

张念彬：成立 20 余年来，吉大正元长期聚焦于数据安全，以体系化、智能化和实战化的思路为指引，以大数据、人工智能、密码技术为支撑，构建面向政务、金融、能源等行业场景，覆盖数据采集、传输、存储、处理、交换和销毁等数据全生命周期的安全产品和服务体系，从数据安全治理和数据安全防护方面进行服务，制定数据安全策略，对数据分级分类，从技术到产品、从策略到管理，提供完整的产品与服务支撑。

作为行业领先厂商，吉大正元帮助政府、企事业单位提升数据安全合规意识和数据安全保障能力。多年来，其产品和服务深受政府部门和央企的信赖，已经为 40 个以上中央国家机关及部委提供了信息安全解决方案或服务，客户包括国家医保局、应急管理部、中石化等众多部委和央企客户。此外，在 2022 年的北京冬奥会上，吉大正元的网安产品也经受住了考验，取得了零事故的优异表现。公司的交付团队在中国银行北京中心和内蒙古中心的后端赛场，用连续 56 天的 7×24 现场值守服务和精湛的技术保障了用户系统的安全。

凭借雄厚的技术实力，自成立以来，吉大正元已经先后参与建设了 1 000 多个国内知名的大中型信息安全项目，为国家“金盾工程”“金财工程”等众多“金”字工程及北京奥运会、载人航天工程等多项具有重大社会影响的大型项目提供过信息安全解决方案及保障。未来，吉大正元将不断发挥自身在密码领域的技术、服务及资源优势，持续提高技术的创新研发能力，为各个行业提供成熟的数据安全解决方案，护航企业数字化转型，为建设数据安全产业新生态贡献力量。

记者：王　超