数据安全建设阶段主要对数据安全规划进行落地实施，建成与组织相适应的数据安全治理能力。然而，数据安全治理的建设是一项需要长期开展和持续投入的工作，无法一蹴而就。为了快速响应不同数据安全场景下不同的数据安全要求，促进数据价值安全有序释放，组织需全面评估数据安全场景面临的安全风险，基于数据安全风险及场景特点，规划具有差异化和针对性数据安全管控方案，有效的平衡数据使用便捷性和安全防护关系，逐步推动数据安全治理体系在组织内的全面落地。

本指南梳理了场景化数据安全治理建设的总体思路，如图所示。

1.全面梳理数据安全场景

梳理数据安全场景是组织进行场景化数据安全治理建设的前提，可以帮助组织了解数据安全治理对象全貌，为组织场景化数据安全治理提供行动地图。目前，对数据安全场景的划分尚未有统一的标准，本指南根据对数据安全供应侧及需求侧的调研，将场景划分方法归类为基于数据安全合规义务的场景划分和基于业务运行环境的场景划分两种。

基于数据安全合规义务的场景划分，是指组织根据国家法律法规要求进行数据安全合规义务场景的识别，如《数据安全法》中提到的数据分类分级场景、数据安全风险评估场景、数据安全事件应急场景等。同时，对于各行业领域，还应该结合主管部门数据安全相关监管要求进行行业领域特色场景的梳理和建设，如金融领域相关发文中提到的外部数据引入场景、数据对外提供场景、人工智能使用场景等。组织可以识别数据安全合规义务，并将其作为数据安全建设的重点场景，按照监管紧迫度和合规优先级，有序进行落地。

基于业务运行环境的场景划分，是指根据业务运行所处的具体环境和条件，对数据安全场景进行分类和归纳。各组织的业务虽然各有不同，但是其业务运行环境的划分基本类似。例如，可以根据典型的业务运行环境，结合不同数据应用主体，将数据安全场景划分为办公场景、生产场景、研发场景、运维场景和外部共享场景等。

2.评估数据安全场景风险

全面评估数据安全场景的数据安全风险是指针对具体场景，综合考虑合规要求、业务重要性、数据资源重要程度，通过绘制数据流图明确业务场景所涵盖的系统资源、数据资源及上下游合作方，充分分析数据处理活动过程中是否存在合规、泄漏、篡改、仿冒等数据安全风险，按照威胁程度明确数据安全风险等级，形成数据安全风险全景视图，并将其作为数据安全治理建设需求的输入，为制定场景化数据安全解决方案提供依据。

3.确定数据安全场景治理优先级

依据数据安全场景风险评估结果，结合组织业务特点和安全资源投入情况明确数据安全场景治理的优先级。数据安全治理是一项与业务深度融合的工作，必须要获得组织高层支持平衡公司资源，协调安全、业务、合规等多个团队共同参与推动，因此数据安全场景治理优先级可按照“合规、高风险场景优先，同步推进基础业务场景治理”的原则，首先确保业务安全合规，避免由于不合规或严重数据安全事件影响业务正常运行，其次要优先落实基础性数据安全工作为数据安全治理后续工作的做好基础支撑。

4.进行数据安全场景治理建设

依据数据安全场景的风险评估结果，结合业务自身特点，从制度文件、管控机制、技术工具和人员能力等维度系统地进行建设。一方面，明确具体场景的管控机制，并建设技术工具支撑管控机制的落地实施。另一方面，根据需要形成制度文件，并对相关操作人员进行培训，以形成具体场景的规范化管理。同时，要注意在业务便捷性和安全防护寻找平衡点，实现数据安全建设投入资源效益最大化。

5.完善数据安全场景管控措施

各场景的数据安全治理需要不断的迭代、优化、扩展才能适应外部数据安全发展态势、政策法规变化、组织发展。为此，组织要面向各场景建立常态化运营机制动态跟踪数据安全管控效果，不断发现其中安全管控措施的缺失和不足，实现数据安全管控措施持续完善和优化，使得管控措施更贴近、更适合组织业务特性，让数据安全管控措施发挥最大价值，促进整体数据安全治理水平提升。

点击“阅读原文”，可获取。