探寻合规之道，共筑数据保障之堡。专注为数据安全管理者、技术专家、隐私法务、律师等专业人士打造的知识共享与交流平台。

点击 "合规社" > 点击右上角“···” > 设为星标⭐

探索数据安全要塞，守护数字世界。

——《数据守望》专栏

No.033

数据要素流通下，数据安全的十个新特性

▽

新增关注数据处理活动和数据合规性

在早期，数据安全主要集中在安全领域，侧重于数据安全管理和技术，如加密、脱敏、API接口控制等。在业务系统中的实际应用，加密技术的改造成为主要挑战，它涉及到业务流程改造和应用程序调整。

近年来，随着数据要素的流通和“X”概念的提出，进一步关注数据处理活动，包括对数据源的合规性引入、数据产品的对外服务以及与合作伙伴的安全控制。在保障安全的同时，数据合规性也被纳入重点关注，主要聚焦四大方面（如图1），也催生了更多与数据安全合规相关的场景。

图1:数据合规的四大方面（参考DAMA国际数据管理知识体系指南）

►关键词：

数据处理活动、数据合规引入

数据处理活动可简化成“三个阶段”

在数据安全管理的初期，习惯用“数据的全生命周期”的概念，这涵盖了数据的采集、传输、存储、处理、交换和销毁六个环节。国家标准GB/T 37988-2019 《信息安全技术数据安全能力成熟度模型》便是这一概念的典型代表，后来推出了DSMM（数据安全能力成熟度模型）认证体系。总体上全生命周期的概念易于理解，但在实际操作中，对数据的理解很难切割成6个阶段。

图2:早期数据全生命周期的防护体系

《数据安全法》中明确了数据处理活动的范围，包括数据的收集、存储、使用、加工、传输、提供、公开和销毁等。这些活动多聚焦于数据管理和技术层面，数量太多，不利于记忆和广泛传播。

数据逐渐成为业务的核心，数据自身就是一种业务，诸如数据业务、数据运营等概念应运而生。针对数据类业务大量的处理活动，个人理解可简化为数据活动的“三段论”：数据合规引入（外购、采集等）、数据加工处理（大数据平台、数据治理、质量管理等）、数据共享服务（内部共享、外部服务），这样的划分有助于简化理解，并促进数据安全的有效实施。

►关键词：

数据合规引入、数据加工处理、数据服务

图3:数据业务处理活动的“三段论”

以数据为中心，强调数字身份和权限管理

网络安全（非网络空间安全概念）主要聚焦于网络边界的安全防护和构建多层防御体系，以系统为核心，国家层面实施等级保护和测评机制，确保相关系统进行定级备案和测评。

数据安全切换到以数据为中心，关注哪些人、哪些设备、哪些应用会访问数据，重心从系统侧迁移到更加关注数字身份和权限管理，强调数据身份识别、认证，数据权限的授权和鉴权。

通常数据访问的两类主要场景：人访问数据和系统（或应用）访问数据。个人访问数据的场景因角色和需求不同而异，如研发、运维、办公和远程访问等；系统访问数据的场景则依据业务需求不同，包括业务功能应用、数据报表、大屏展示和业务监控等，这种分类有助于更精确地管理和保护数据访问。

►关键词：

数字身份、人访问数据、系统（应用）访问数据

图4:数据访问的两类主要场景

数据安全不仅是技术工作，工作开展难度增大

数据安全颗粒度较细，关注数据处理的全过程活动风险，与业务、合规、数据等紧密关联，极大拓展了所需的知识领域，参与人员需具备广阔的视野，以全面理解问题。

此外，数据安全涉及多个角色，包括@安全合规、@技术安全、@数据开发、@软件开发、@运维、@业务运营等，极大增加了工作的复杂性，使得数据安全工作开展难度加大，需要较多的跨部门横向协同，对人员能力要求更加广泛。比较像“T”或“π”型人才的要求，要求人员的横向面足够宽泛，进行跨部门交流互动，但在数据安全领域又要有一定的专业深度。

►关键词：

横向协调多、复合型人才

图5:T型人才的特性

基础安全SAAS化，更加关注应用安全配置

数据安全需要网络安全作为基础底座，更关注数据从内到外的安全风险。网络安全相关的安全能力逐渐云化，即安全SAAS服务，企业不再需要大量采购安全产品和工具。云计算技术把存储资源、计算资源、网络资源等进行虚拟化，业务系统重点是“用安全、用服务”，安全人员不再需要过度关注基础安全（由基础设施统一提供技术支持），他们更加专注于业务应用的内生安全配置和逻辑管理。

►关键词：

基础安全SAAS化、应用内生安全配置

数据运营工作叠加数据安全运营思路

企业的数据运营活动，包括数据的加工、分析和处理，是其核心业务的重要组成部分，旨在通过数据应用和业务应用来增强企业的竞争力。在这一过程中，数据安全政策和责任制变得至关重要。企业高层，尤其是第一责任人，很多场合都会询问“数据安全是如何管理的？”

数据运营和数据安全运营成为一个并列的事项，整体融合成大运营概念，是一个比较好的解决思路。

网络安全运营侧重于安全领域的各个方面，如IT资产的保护、互联网暴露面的管理、漏洞的检测、情报的收集、告警的处理以及应急响应等。数据安全运营则需更全面地关注数据运营的全过程，包括数据处理活动、执行脚本任务、配置和权限管理，以及数据合规性和服务等非安全方面。

►关键词：

数据运营、数据安全运营

图6:数据安全运营的边界关系

图7：数据安全运营的一些思路（星球有高清版）

数据应用和业务应用是不同的模式

数据即业务的业务系统，是一种新的模式，它以数据应用为主，比如涉及数据产品管理、数据对外服务。

传统以应用功能为主的系统，它以业务应用为主，应用功能是核心，数据是为了辅助于业务实现，这往往导致不同业务系统间的数据难以整合。

现在推行的数字化转型应用，尝试把大量散落的系统整合成大平台，把数据进行统一归集，建立统一应用底座、统一身份认证体系，通过“主数据”把各个业务系统串联起来，简单说就是人少跑路、数据多跑路的理念。比如上海、广东等城市在数字政府方面建设中，推出了面向市民的一网通办、面向城市管理的一网统管应用。

对于以数据业务为核心的系统，数据处理活动尤为显著，涉及大量的数据运营工作，目的是从数据中提取价值，甚至通过数据分析创造新的业务模式。数据应用和业务应用两种不同的数据使用模式，其数据安全管控思路完全不一样，尤其数据业务为主的系统，需要关注数据全域过程的安全，包括线下的合规审核和线上的数据流动等。此外，在处理数据业务时，必须评估和识别数据跨境传输的可能性和风险。

►关键词：

数据业务类、业务应用类

数据应用和业务应用是不同的模式

不同行业因为数据监管要求不同，配套数据安全解决方案差异性极大。即使在同一行业内，也需要使用“大场景思路”进行设计。其中不同的人、不同的系统、不同的数据的交叉，构成了不同的场景，根据场景定制具体的解决方案。

现实中，并没有一个大型综合数据安全平台可以一统天下，一招打遍天下，反而针对业务场景的小痛点提供一些切面式、补充式的方案比较有市场。数据安全工作的复杂性在于其细致的颗粒度和数据的不同状态（如静态、动态、传输中），这使得数据很难被精确控制和保护。

在实际工作中，应从甲方的角度出发，深入理解业务和数据安全的需求，以解决实际问题为首要任务。

这意味着要从实际工作需求和痛点出发，将重点工作常态化，并优先解决关键问题。在这种情况下，数据安全运营的思路变得尤为关键，它指导着如何有效地管理和保护数据，确保业务的顺畅运行和数据的安全性。

►关键词：

场景化思路、深入理解业务、甲方视角嵌入真实工作

图8：安全视角下常见的“大场景”

分类分级是数据安全基础，但及其难做

涉及数据业务的情形，分类分级永远是讨论不完的热点，看着热闹实则几乎难以落地，总体上是一个业务加技术协作的工作，甚至以业务为主导。业务、安全、技术协调不当，容易出现显著的分歧。