数字安全 | 数据安全治理规划

从组织构建到持续改善是一个系统化的建设步骤，可有效指导数据安全治理全面建设的落地。

组织构建：组建专门的数据安全团队，是作为数据安全治理建设的首要任务，是保证数据安全治理工作能够持续执行的基础。

资产梳理：资产梳理是数据资产安全管理的第一步，通过资产梳理能够掌握数据资产分布、数据责任确权、数据使用流向等，使数据资产安全管理更全面。

策略制定：掌握了数据资产概况后，需要制定安全策略作为数据资产管控的安全规则。通过数据分类分级与重要数据识别，区分人员角色权限及场景，制定针对性的安全策略，能够实现对敏感数据进行分级管控，使数据在生命周期中安全流动。

过程控制：策略制定后需要将安全规则落地，通过数据安全管理体系、技术体系、运营体系的有效配合，能够帮助组织进行数据资产安全管理的过程控制。要对数据的访问过程进行审计，要判断这些数据访问行为过程是否符合所制定的安全策略;要对数据的安全访问状况进行深度评估，看在当前的安全策略有效执行的情况下，是否还有潜在的安全风险。数据安全需要动态跟踪，持续改善。可通过资产梳理，持续掌握数据资产动态;通过预警演练，提升应急响应能力;通过数据安全评估，了解数据安全管控现状，持续优化安全策略等。

依据上述指导性的建设步骤，数据运营者可根据组织的业务关注点、风险容忍度等实际情况，首先考虑核心业务且易实施、见效的防护手段先行实践，然后在治理深度上逐步构建形成体系化、全周期的数据安全防护体系，再在治理广度上逐步覆盖到数据运营全业务，并在过程中持续优化。

数据安全治理规划建设，围绕收集、存储、使用、加工、传输、提供、公开等数据处理活动，分为三个阶段建设：

基础阶段：基础防护建设，主要以咨询服务为主，包括资产管理、数据分类分级、安全评估、管理制度建设、安全策略建设、方案规划。

优化阶段：策略优化及能力提升建设，主要以产品为主，依据管理流程和安全策略部署自动化防护工具，解决业务风险。

运营阶段：数据安全管控平台建设，主要基于管理流程、安全策略、业务场景和防护积累的经验，形成行为特征库、安全事件知识库、结合业务场景的积累,形成风险分析模型,建立数据安全管控平台，有监测、有预警、有管理、有控制、有审计、有运维、可感知。

在数据安全治理实践中,一次性建立完整的数据安全体系存在方案复杂、投入高、周期长，见效慢、效果不可控等问题,且各单位数据安全建设基础情况不一,宜循序渐进地开展数据安全治理建设工作。用户需坚持以业务数据资产为核心，基于当前的数据安全现状。数据安全治理体系的建设划分为多个阶段，并将管理+技术+运营的建设思想贯穿在每一个阶段的建设任务中，快速达成阶段性目标，再由前一个阶段的建设成果指导下一个阶段的建设目标，一步步证明路线选择的正确性，通过“小步快跑，不断迭代”的方式，横向形成应用全面纳管，纵向持续优化防护策略，逐步建成数据安全闭环管控体系。

扫码进星球下载公众号文件