持续演进的数据安全体系实践路径思考

城投类企业正经历从“钢筋水泥”到“数据要素”的蜕变，作为城市基建的主力军，其掌握的基建项目、市政、能源等重要数据已成为新型战略资源，然而在数据安全建设中，却面临着如下诸多考验：

（一）标准模型与业务实践脱节

城投类数据安全较大的风险为采用的数据安全标准模型和安全策略没有与业务场景深度融合。数据安全领域存在众多的框架和标准，如DSMM、ISO 27001、GDPR等保2.0等。这些标准虽然为数据安全建设提供了系统的理论框架和指导原则，但往往是通用普适性的、内容繁多，缺乏对具体业务场景进行适配。在数据安全解决方案实际落地过程中，没有根据组织的业务特点进行裁剪，形成恰当的实践体系框架，使安全策略切实落地。例如，某企业将智慧停车数据套通用的等保三级标准，并未针对动态车流特征设计差异进行加密策略，导致实时调度系统频繁发生数据泄露。

（二）安全建设呈碎片化

企业在进行数据安全建设时，往往根据当前面临的安全威胁或合规要求，分阶段、分模块地进行安全措施的部署。例如，某企业首先部署网络边界的防护防御外部攻击，一段时间后内部发生越权行为需要增加数据加密和访问控制，最后因政策要求再次增加安全审计、脱敏等。这种分散的因事件触发的安全建设缺乏有机的联系和协同，无法形成一个完整的、相互支撑的数据安全体系。另外，不同的安全产品和服务提供商往往只关注自己负责的部分，缺乏与其他环节的沟通和协作，也形成了产品项目阶段性的割裂。

（三）缺乏持续演进机制

安全威胁是动态的，威胁形态日新月异，新的攻击手段和技术不断出现，例如，近年来勒索病毒、供应链攻击等新型安全威胁日益猖獗；数据安全技术方面也在不断发展，如零信任架构、数据沙箱等新技术层出不穷；数据安全相关的法律法规和政策标准也在不断更新和完善，这对企业的数据安全管理提出了更高的持续性要求。常见的数据安全解决方案往往解决当前阶段问题，缺乏考虑持续演进方面机制。

在推进城投类企业的数据安全体系进程中，需以数据的“全生命周期管理”和“多层防护”为核心，遵循数据安全治理的法律法规、安全方法论及评估标准。

（一）筑牢法律基石

在数据安全治理中，法律法规是不可或缺的基石，需遵循“三法三条例”。“三法”即《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》，初步构建形成了我国数据安全的顶层法律框架。“三条例”即《网络安全等级保护条例（征求意见稿）》《关键信息基础设施安全保护条例》《网络数据安全管理条例》，进一步强化了对关键信息基础设施和网络安全事件的防范和应对。

（二）遵循方法论与评估标准

GARTNER的数据安全治理框架（DSG）作为方法论，是数据安全治理体系的关键支撑。DSG侧重于从风险出发，构建数据安全防护体系。

数据安全治理评估标准为企业提供了具体的操作指南和技术依据。本文采用标准规范为国家标准GB/T 37988-2019《信息安全技术 数据安全能力成熟度模型》（DSMM），为企业提供评估和改进数据安全能力的工具。

传统数据安全建设，采用多点“城堡式防御”的方式，难以应对日益多变的数据环境，亟须一种既能贴合业务场景、又能实现闭环管理与持续优化演进的新型解决方案。一方面，要从标准模型与实际业务的适配性入手，解决标准模型与业务实践脱节问题，实现安全策略与业务的融合。另一方面，树立数据安全全局观念，形成一个相互支撑、协同运作的数据安全体系。此外，还需建立一套完善的持续演进机制，以应对持续变化的安全威胁挑战。

基于融合DSMM数据安全标准的安全能力四个维度（组织建设、制度流程、技术工具、人员能力）并进行裁剪，笔者提出以数据为核心，内层以“管理+技术+运营”三位一体为实践的框架；外层以DSG方法论、DSMM数据安全成熟度模型为评估框架的数据安全治理的思路，构建持续演进的数据安全防护实践路径。该指导思路强调组织建设、制度流程、技术工具与运营能力的综合作用。

图1：以数据为中心的数据安全指导思路

（一）外层DSG/DSMM评估标准指导

DSMM从多个维度对组织的数据安全能力进行全面评估和分级，清晰地呈现出组织当前的数据安全能力水平。不仅能帮助组织明确自身在数据安全实践中的优势，更能精准地识别出存在的问题和差距，从宏观层面的评估和规范为后续的改进和提升指明方向。

（二）内层“三位一体”协同闭环实践框架

数据安全是一个持续演进的过程，具有动态性、持续性和不断演变发展的特点，根据数据安全环境变化，构建以“管理体系、技术体系、运营体系”为核心的协同闭环实践框架。“三位一体”协同闭环实践框架能够清晰地规划出从制度建设、技术选型部署以及持续运营维护各个阶段的每一个内容，明确各个体系的具体目标和工作流程，使得数据安全建设工作有章可循，指导在实际场景中落地，保障数据安全能力持续提升。

图2：数据安全实践体系框架图

管理体系建设：主要解决的是对企业数据资源的评估，通过摸底和评估，帮助组织建立合规策略和规范制度，形成对后续实践落地的指导。

技术体系建设：主要部署符合数据安全管理制度、规范和流程相关的技术监控体系，通过部署安全产品及实施安全服务手段实现设定的策略目标，保证日常数据的使用、运维、分析、共享符合数据安全管理规范，使得监控体系与管理制度的完美融合，融入具体的日常工作流程中。

运营体系建设：主要解决持续性安全保障及整体安全演进问题。这一体系阶段需要从数据资产安全运营、安全策略的运营、事件监测和处置运营、风险分析这四个方面持续运营和优化，同时要通过定期渗透测试、加固服务、应急服务、培训宣贯等安全服务提供运营服务的支撑。运营体系是实现持续演进的关键驱动力，通过运营工作实时威胁感知和数据分析，识别安全策略的盲点和薄弱环节；其次，运营体系将风险评估结果反馈至管理端和技术端，形成"评估－优化－再评估"的闭环。

在数据安全实践框架的支撑下，数据安全落地需根据企业战略，阶段性设置目标，遵循严谨步骤逐步整体推进去实现，从而避免数据安全建设割裂。笔者提出的整体实践步骤依次为管理制度建设、数据梳理及分级分类、数据安全评估及策略制定、策略执行与实施、风险再评估、持续优化运营 6个步骤，各步骤前后关联，共同构建起动态发展的数据安全防护体系。

图3：数据安全实践路径图

（一）管理制度建设

管理制度为所有工作提供制度保障、合规与规范的行动指南。在此阶段，企业需要根据自身的业务特点、数据类型以及法律法规要求，建立组织制定数据管理制度、实施细则、操作规范等一套全面且细致的数据安全管理制度，指导后续分类分级、操作执行等操作。管理制度的建设，首要明确数据管理的责任主体，其次制定管理制度流程、操作流程、安全标准遵循等，以便在操作规范设置详细的数据访问权限管理规则。

（二）数据分类分级

建立完善的管理制度之后，对企业数据及业务模式进行全面识别、梳理，清晰掌握数据的来源、存储位置、使用方式及频率等信息，并根据所属行业特点进行细致分类分级管理，从而识别数据的重要性及敏感性，进而准确识别潜在的数据安全风险点，如未授权的数据存储、过期数据的残留等。

（三）数据安全评估及策略制定

依据分类分级的结果，对企业数据安全现状进行全面评估，并制定数据安全防护策略。

1.数据安全评估。安全评估运用专业的评估工具和方法，深入了解业务，从技术、管理、人员等多个维度对数据安全风险进行识别、分析和评价，找出数据安全管理中存在的薄弱环节和潜在风险，如通过流量行为分析发现企业数据共享平台上API接口存在越权访问风险，客服账号共享行为可能引发订单信息泄露等。

2.安全策略制定。根据以上风险评估结果，结合企业的数据安全目标和业务需求，制定针对性的数据安全策略，涵盖不限于技术防护措施、安全服务增强、管理流程优化以及人员培训等方面。例如，若评估发现数据审计存在安全漏洞，制定审计防火墙、堡垒机系统等技术防护策略；若评估发现员工安全意识不足，制定加强安全培训的策略，提升员工的数据安全防范意识和技能等。

（四）策略执行与控制

通过数据安全评估制定数据安全策略后，关键步骤在于策略的执行、实施及控制。这一阶段需要组织调配人力、物力和财力资源，确保各项策略能够得到有效落实。

1.技术层面，按照设定的策略目标要求，执行采购和部署数据安全工具产品，如脱敏系统、API安全审计系统、访问控制工具等，融合业务使其能够正常运行并发挥作用。

2.管理层面，根据新的管理流程和制度，对数据的采集、存储、传输、使用和销毁等环节进行严格管控，确保数据处理活动符合安全规范与要求。

3.安全培训方面，通过提供安全服务加强对员工的培训和指导，强化安全意识，掌握加密技术的使用方法和注意事项，使其能够按照策略要求正确操作，确保数据在存储和传输过程中得到有效加密保护。

（五）实施风险再评估

在策略执行与实施一段时间后，需要实施回溯并评估。数据安全环境是动态变化的，新的安全威胁和风险可能随时出现，同时已实施的策略在实际运行过程中也可能暴露出一些问题。风险再评估更侧重于对策略实施效果的检验和新风险的识别，通过风险再评估，能够及时发现新的风险点和策略实施过程中的不足之处，并进一步优化策略。

（六）持续优化运营

数据安全是一个持续的过程，没有一劳永逸的解决方案。持续优化运营是确保数据安全防护体系始终保持有效性的关键。根据风险再评估的结果，对数据安全管理制度、技术措施和管理流程进行优化和改进。同时，关注行业最新的数据安全动态和技术发展趋势，及时引入新的安全理念和技术手段，提升组织的数据安全防护能力。此外，通过日常运营加强对数据安全运营情况的监控和分析，开展常态化安全运营服务，及时发现并处理安全风险，定期对数据安全事件进行总结和复盘，从中吸取经验教训，不断完善数据安全管理体系。例如，定期对数据安全设备进行更新和升级，优化数据备份策略，提高数据恢复的效率和成功率，确保数据安全防护体系能够适应不断变化的安全环境。

某人社单位根据DSMM指导落实实践框架，通过以上数据安全步骤持续开展了两年的数据安全运营服务项目，项目提供数据安全管理制度服务、数据安全风险评估服务、数据安全审计服务、数据脱敏服务、数据加密服务、API安全监测服务、数据溯源服务、应急演练服务、培训服务等服务。

在持续演进运营中，不断强化数据安全薄弱环节，逐步优化整个数据安全体系，如在第二期的服务中增加了API监测、安全溯源等服务，通过2025年第一季度环比，敏感数据泄漏风险行为的识别发现能力提升200%以上，数据库高风险操作次数减少88%。数据安全防护能力大幅提升，有效保障了该单位信息安全重要业务的稳定运行，为该单位对外服务工作筑牢了数据安全防线。

图4：通用数据安全技术体系部署示意图

在数字化转型背景下，数据安全已成为企业的核心战略需求。城投类企业需结合自身企业特性，系统分析数据安全建设的痛点，构建以数据为中心，“管理+技术+运营”为实践框架、DSMM数据安全为评估框架的数据安全治理体系，打破传统多点构建“城堡式防御”的僵局，实现数据安全能力与业务发展的同步进化，遵循持续演进数据安全防护实施路径，破解数据安全标准与业务融合难、建设阶段式碎片化、安全能力缺乏演进等难题，形成一个动态循环、持续演进的防护闭环，助力城投类企业在数据安全的能力跃迁。

参考资料：

1.中关村网络安全与信息化产业联盟，数据安全治理专业委员会编著《数据安全治理白皮书4.0》；2022年

编辑丨罗   金

校对丨邹欣容

免责声明：

本公众号的文章仅供学术交流，不可视为详尽说明。对于因阅读、使用或转发本公众号内容所产生的任何直接或间接后果，广州城投研究院不承担任何法律责任 。

本文仅代表作者本人观点，与广州城投研究院无关，文责自负。

关于本公众号的原创文章，广州城投研究院享有独家版权，如需转载须附注以上全部声明，且不得用于其他商业用途。

长按二维码识别立即关注

广州城投研究院