数据安全实践指南④—数据安全治理实践路线（下）

基于前文数据安全治理实践理念，可以按照体系化和场景化相结合的思路推进实践过程。一方面，体系化思路，以数据安全战略规划为指导，以规划、建设、运营、优化为主线，围绕构建数据安全治理体系这一核心，从组织架构、制度流程、技术工具和人员能力四个维度构建全局建设蓝图。另一方面，场景化思路，针对各业务场景敏捷落地相关数据安全能力点，通过实际业务场景中数据安全的建设落地实践，反向总结输出相应管理规范，并由点及面应用至相似场景，以强化管理对业务的下沉指导。以上实践过程可以有效避免管理和技术的“两张皮”问题。

( 三 ) 数据安全运营持续加强

数据安全运营阶段通过不断适配业务环境和风险管理需求，持续优化安全策略措施，强化整个数据安全治理体系的有效运转。运营体系的构建可以从运营对象、管控流程两个方向进行切入建设。

1. 从运营对象的角度

（1）数据的运营

数据作为数据安全的主要管理对象，必然是数据安全运营的关键内容。通过对数据的运营，可以全面掌握数据的分布及流转情况，为数据安全的策略制定、风险排查等提供有效输入。一般来说，数据运营可以从数据资源目录、数据分布地图、数据流转视图等几个方面开展工作。

数据资源目录。将梳理的数据资源情况进行统一的纳管，明确数据来源、数据属主、数据类型等情况，形成数据资源的统一目录视图。一方面有助于解决数据重复、不一致等数据质量问题，另一方面可以作为数据分类分级工作的范围参照和数据输入。

数据分布地图。数据作为业务的共生体，存在于组织的不同部门、不同系统、不同存储资源中。当发生数据泄露、篡改等安全事件时，清晰的数据分布地图有助于快速定位受影响的系统和数据，提高数据安全措施的针对性，提升事件的应急响应效率。同时也能够快速为业务指明目标数据资源所在，加快数据协同。

数据流转视图。流动是发挥数据价值的重要环节，也是数据安全风险的源头之一。数据流转视图一方面呈现了业务流过程，有助于业务流程优化，另一方面有助于呈现数据使用情况，为数据流动过程的风险防范提供视角。

（2）合规的运营

合规工作是组织数据安全治理的底线要求，如何将法律条文、监管要求内化为组织可落地的管理指标，并定期开展检查及整改工作是合规运营的主要内容。因此，可以从合规库管理、合规检查、合规监管处置三方面开展工作。

合规库管理。明确的合规要求以及清晰的合规理解，是合规实践工作的重要前提，因此各机构需要依据国家法律法规、行业监管要求等建立合规知识库，并动态更新管理。与此同时，数据安全部门、合规部门等需要将以上要求分解为业务可用的数据安全指标，为数据安全运营活动提供输入与参照。

合规检查。合规检查主要基于合规库，面向组织数据处理活动的安全合规情况进行定期检查，包括对数据脱敏、数据采集、访问控制等活动的合规性检查，判断数据安全合规现状与检查指标的符合程度。

合规监管处置。合规整改是合规运营的重要一环，主要实现对合规检查结果的公布与处理，也可兼顾给上级监管机构的合规数据报送等工作。

（3）安全的运营

安全是发展的保障，发展是安全的目的。对数据安全的有效运营才能促进业务更健康的持续发展。通过分析产业界数据安全运营相关工作，安全策略运营、安全能力管理、协同管理关联分析都是安全运营的重要工作。

安全策略运营。风险的防范离不开相应策略的制定与实施，因此构建一套安全策略的运营机制是实现风险治理的前提。针对不同的数据安全风险，需要具备成熟的安全管理策略，同时能从数据安全事件中吸取经验教训，反哺安全策略的升级。

安全能力管理。据《2022年数据安全行业调研报告》显示，44%的组织已应用了5~8项的数据安全技术产品，产品的堆叠与管理不仅为组织带来困扰，不同产品之间的壁垒也为安全作用的发挥带来了阻碍。因此针对多个数据安全产品的接入与集成管理成为运营工作的关键。集成的安全能力管理有助于实现不同安全策略的编排、下发，实现联动防御。

协同关联分析。安全运营通过采集各安全设备和第三方厂商安全事件信息进行关联分析，建立资产画像、身份画像等威胁模块，提升风险感知效率，加快风险处置进程。

2. 从管控流程的角度

（1）事前风险防范

数据安全治理的目标之一是降低数据安全风险，因此建立有效的风险防范手段，对于预防数据安全事件发生有重要作用，可以从数据安全策略制定、数据安全基线扫描、数据安全风险评估三方面入手。

数据安全策略制定。一方面，根据数据全生命周期各项管理要求，制定通用安全策略，另一方面，结合各业务场景安全需要，制定针对性的安全策略。通过将通用策略和针对性策略结合部署，实现对数据流转过程的安全防护。

数据安全基线扫描。基于面临的风险形势，定期梳理、更新相关安全规范及安全策略，并转化为安全基线，同时直接落实到监控审计平台进行定期扫描。安全基线是组织数据安全防护的最低要求，各业务的开展必须满足。

数据安全风险评估。通过将日常化定期开展的数据安全风险评估结果与安全基线进行对标，发现不满足基线要求的评估项，再通过改进业务方案或强化安全技术手段的方式实现风险防范。

（2）事中监控预警

数据安全保护以知晓数据在组织内的安全状态为前提，需要组织在数据全生命周期各阶段开展安全监控和审计，以实现对数据安全风险的防控。可以通过态势监控、日常审计、专项审计等方式对相关风险点进行防控，从而降低数据安全风险。

态势监控。根据数据全生命周期的各项安全管理要求，建立组织内部统一的数据安全监控审计平台，对风险点的安全态势进行实时监测。一旦出现安全威胁，能够实现及时告警及初步阻断。

日常审计。针对账号使用、权限分配、密码管理、漏洞修复等日常工作的安全管理要求，利用监控审计平台开展审计工作，从而发现问题并及时处置。审计内容包括但不限于表1所示内容。

表1 日常审计项目示例

专项审计。以业务线为审计对象，定期开展专项数据安全审计、个人信息保护合规审计等工作。审计内容包括数据全生命周期安全、隐私合规、合作方管理、鉴别访问、风险分析、数据安全事件应急、个人信息保护合规性等多方面内容，从而全面评价数据安全工作执行情况，发现执行问题并统筹改进。

（3）事后应急处理

一旦风险防范及监控预警措施失效，导致发生数据安全事件，组织应立即进行应急处置、复盘整改，并在内部进行宣贯宣导，防范安全事件的再次发生。

数据安全事件应急处置。根据数据安全事件应急预案对正在发生的各类数据安全攻击警告、数据安全威胁警报等进行紧急处置，确保第一时间阻断数据安全威胁。

数据安全事件复盘整改。应急处置完成后，应尽快在业务侧组织复盘分析，明确事件发生的根本原因，做好应急总结，沉淀应急手段，跟进落实整改，并完善相应应急预案。

数据安全应急预案宣贯宣导。根据数据安全事件的类别和级别，在相关业务部门或全线业务部门定期开展应急预案的宣贯宣导，降低发生类似数据安全事件的风险。

( 四 ) 数据安全评估助力优化

数据安全评估优化阶段主要是通过内部评估与第三方评估相结合的方式，对组织的数据安全治理能力进行评估分析，总结不足并动态纠偏，实现数据安全治理的持续优化及闭环工作机制的建立。

1. 内部评估

组织应形成周期性的内部评估工作机制，内部评估应由管理层牵头，执行层和监督层配合执行，确保评估工作的有效执行，并应将评估结果与组织的绩效考核挂钩，避免评估流于形式。常见的内部评估手段包括评估自查、应急演练、对抗模拟等。

评估自查通过设计评估问卷、调研表、定期执行检查工具等形式，在组织内部开展专项评估，主要评估内容至少应包括数据全生命周期的安全控制策略、风险需求分析、监控审计执行、应急处置措施、安全合规要求等内容。

应急演练通过构建内部人员泄露、外部黑客攻击等场景，验证组织数据安全治理措施的有效性和及时止损的能力，并通过在应急演练后开展复盘总结，不断改进应急预案及数据安全防护能力。应急演练可采用实战、桌面推演等方式，旨在验证数据安全事件应急的流程机制是否顺畅、技术工具是否实用、安全处置是否及时等，进一步完善应急预案，补足能力短板。

对抗模拟通过搭建仿真环境开展红蓝对抗，或模拟黑产对抗，帮助组织面对内外部数据安全风险时实现以攻促防，沉着应对，并在这个过程中不断挖掘组织数据安全可能存在的攻击面和渗透点，尤其是面对组织内部数据泄露风险，可以有针对性的完善数据安全治理工作机制和技术能力。

2. 第三方评估

除了内部评估外，组织还应引入第三方评估。第三方评估以法律法规、监管要求、标准文件等为执行准则，能客观、公正、真实地反映组织数据安全治理水平，实现对标差距分析。如中国信息通信研究院2020年推出的国内首个数据安全治理能力评估服务，结合业务场景和全生命周期数据流，从组织架构、制度流程、技术工具、人员能力的建设情况入手，综合考察组织数据安全治理能力的持续运转及自我改进能力。目前该评估服务已在金融、电信、互联网、汽车等多个行业领域获得广泛认可，是组织进行全面摸排、横向对比的重要抓手。

【结语】

为帮助企业度量其自身数据安全能力水平，发现数据安全治理能力不足，指明企业数据安全治理能力提升路径，中国信息通信研究院云大所数据安全团队（简称：云大所数据安全团队）牵头制定了。截至2023年底，已完成23家企业的25次数据安全治理能力评估工作（简称：DSG评估），参评企业广泛分布于金融、电信运营商、互联网、汽车等领域。

在评估测试基础上，云大所数据安全团队结合国家法律法规，行业监管要求以及同业最佳实践，为多家大型银行、保险机构、知名企业提供了咨询提升服务，协助企业开展数据安全治理体系建设。

2024年云大所数据安全团队将持续围绕数据安全治理话题，开展框架研究、技术探索、评估评测等相关工作，欢迎业内共同致力于数据安全治理研究的专家、学者、同人咨询数据安全治理服务及数据安全风险评估服务，共话数据安全治理，携手护航企业数据的安全利用。

行标首批贯标单位火热征集中！诚邀有意向的单位踊跃参与。

联系人：刘雪花  18500238315（微信同号）