打造更符合国情的企业数据安全管控体系·观安信息 | 直播回顾

近日，由斯元商业咨询主办的“”在云端顺利开启。

观安信息数据安全专家，衡相忠为大家分享了“打造更符合国情的企业数据安全管控体系”的主题演讲。一起回顾下直播的精彩内容。

如下为部分演讲内容的实录，更多精彩内容请观看完整视频。

根据之前我们落地的很多种经验，我们发现必须要把两方面分开看，分开看才能够解释清楚这个事情。

第一个就管控体系。管控体系是什么呢？就是明确相关的对象的保护要求，明确相关这些数据在不同场景下，真正的监测效果或者数据访问相关的风险，形成整体组织里面数据安全一些态势。到底有没有风险，到底哪里有风险啊，这就我们叫做管控。你会发现管控了之后，他其实没有做任何的，大家认为的事件驱动的直接效果。但是我们认为这是重要的，第一步虽然在管控过程中，我们没有做很多特别实质性，或者针对于直接问题，给到这种针对性方案。但是他却让我们去摸明了整个我们所管辖数据里面现在的情况。有了这些情况之后我们就认为有了纲。我们认为整个管控是纲举目张。

那有了这纲之后，我们就可以针对不同的场景和数据进行防护。所以说我们在建设的时候，今天着重介绍也是左边这一部分。就是说为我们构建一个管控体系，让我们知道整个的数据安全形势是什么。企业内部那我们知道风险在哪里，这就管控，针对于这风险我们去分等级，分场景化的去保护它，这叫防护。我们有这两个概念。后面我会着重讲述一下啊，那我们在整个落地过程中，或者是我们针对于现在国内这些企业的现状，我们的管控思路是什么。

提到数据安全管控体系，我们就需要知道数据安全中必然会出现两个角色，这也和其他以前的安全构建方式不太一样。他会有数据持有方在，他不仅仅是一个单纯的安全团队或者安全方参与进来的工作，会有这两个角色。安全方就是我们现在典型的咱有安全责任的相关那些团队，第二个是数据持有方。一个企业内所有数据应该都会有相关的负责人，有可能是他们生产，他们采集或者他们使用的数据，我们要数据持有方。

那管控体系怎么去构建呢？那第一步就是我们可以一个企业里面，一个组织里面，可以以系统为单位，梳理清楚这个系统下挂的哪些资产，这些资产分别是什么，形成资产清单，这资产的责任是什么。那第一步就是资产安全管理。这些资产安全管理可以是我们这种通过技术化手段被动发现的，也可以是有数据持有方去给我们这个备案过来，主动上报备案过来的，

那这第一步就做到资产安全管理。

有了资产安全管理之后，我们就可以引入一些内部的分级分类制度的标准啊，也可以是行业里面向下要求的分类分级制度标准。因为有的数据我们去识别它，我们去根据刚才讲述的步骤，把他的业务信息给发现出来。根据这个业务信息和分类分级相关的制度我们给这些数据打上标签，形成了第二个比较重要的输出，叫做分类分级清单。那有的数据有了分类分分级清单之后，我们就可以在企业内部去针对性提出一些安全管理的一些要求。比如说要具有什么样的身份人我可以访问哪些数据，可以访问访问多少级别的数据。那特别高级的数据我们在组织内部共享的时候，我们应该进行建设什么样的这个安全管控要求。或者在两大组织之间我可能跟我供应链共享相关数据的时候，因为像供应链大家肯定在不同组织之间是有相关数据共享的，甚至有些供应链身份的特殊，比如说他不一定是国内企业，那也会涉及到一些跨境相关的问题。

那针对于不同的使用场景，我们可以制定出符合企业里面的这个分级管控要求。这分级管控要求的其中有一部分就涉及到数据的生命周期识别啊。提到数据安全很多人都会想到数据生命周期，为什么会有这个东西存在呢？因为我们会发现数据他不是安全管理团队可以定义的。他是数据持有方他自己知道我这片数据从哪来的，他是不是采集过来，我自己知道这块数据我有没有使用，他的暴露面，暴露给了谁啊，他有没有一些传输途径在，他会不会共享给其他这些组织。那么数据持有方他自己其实是比较清楚这业务信息的。他就可以根据这些数据本身从开始采集产生到最后我们的销毁整个生命周期针对每一个数据集都可以识别出来。那安全团队或者安全管控方在这个步骤里面其实就扮演了一个针对不同级别，在不同生命周期下提相关要求的一个角色，这样话两者一契合就形成了一个结果。比如说啊，什么级别数据在一个什么周期范围内，我必须要使用什么样的保护手段，这个时候就引入我们刚才说的技术防护管控体系就可以把这些东西提得非常清楚，进而形成数据安全相关的态势。

我们叫做分级管控态势。这个态势就类似于我们作为安全管控方，这个企业里面像所有的数据在哪里，这数据代表着一个什么样业务信息，他在安全层面属于一个什么样的分级标准。这批数据在整个业务层面它具备哪样的生命周期，在这个生命周期和我们的安全管理要求下，现在安全方式使用了多少留在某一个生命周期内。那我要求你ABC三样，这种管控要求你建设了多少啊，建设效果怎么样，就形成了这样一个态势相关的图。

这个态势相关图从另外方面也可以表征一个企业里面数据安全的成熟度，这个成熟度间接就证明了一个组织，一个企业他安全使用数据能力，他有没有能力来保护这些数据。也反过来会验证他能够开展什么样的业务。他如果开展一个比较需要我们有高强度保护能力业务的话，那么这样一个数值就可以提供他参考，当然也可以引导他有方向去补足自己的那些弱项，最后一个是为了整个架构完美性。

那所有这些信息很多是通过管理上这些手段去做的，我们需要通过一些技术手段。作为一个零信任的角度，那我们不信任他上报下来的数据，我必须要double check，从其他角度来看看资产上报的全不全，或者你告诉我有的管控手段，这管控手段是否去建设的，即使建设了，你使用效果怎么样，这样就会有一个完备的体系。在这个完备体系下，整个的管控思路就可以自适应地螺旋上升，不断提高一个组织里面的数据安全相关的一些能力。整个这几个步骤，或在整个推进过程中，整个的推广这些手段就构成了我们前些年积累下来的数据安全管控技术框架。这个技术管控框架也会适用于全行业不同的企业。当想去做数据安全时，都可以利用这个思路这个框架，当然这个框架背后也会有些信息化手段技术平台的支撑，让我们在安全的生产过程中效率更高，效果更好。

关于观安信息

观安信息是一家提供大数据+泛安全产品与服务的高新技术企业。公司聚焦数据安全、网络空间安全、5G安全、人工智能安全、工业互联网安全及公共安全等核心方向，为运营商、政府、金融、电力、公安、医疗等行业用户提供全面的信息安全解决方案。被认定为国家重大活动网络安全保卫技术支持单位、工信部专精特新“小巨人”企业、5G创新企业、上海市高新技术企业。

「国产化替代指南」获取方式如下：

1.关注【安全营销喵喵站】公众号