数据安全治理问题：究竟是什么问题？

发布时间:[2020-07-06] 来源: 点击量:

随着大数据技术的快速发展，大数据应用的不断普及，数据已成为企事业单位的战略资产，这一点已经成为公认的事实。但随着大数据应用给我们工作和生活带来方便快捷的同时也带来了诸多风险，人们也深度认识到数据安全的重要性。相信在以往企事业单位开展数据安全的建设过程中，肯定遇到了不少的难题或走了不少的弯路。

今天，我们就来帮助数据治理新手们，梳理一下关于数据安全治理所需要把握的基本点。

现阶段，大数据安全治理方面主要面临以下几个方面的问题：

基于以上问题，我们接下来将介绍一个体系化的思路来进行解决，具体来说可以分为几个阶段：

第一阶段：需求识别及确定目标阶段

数据安全治理的需求，主要来自于合规需求、业务数据保障需求、数据风险防范的需求，通过对法律法规及行业监管要求的梳理，明确出组织内数据安全治理的合规要求，同时需深度结合业务特点，对信息系统进行整体评估，分析业务保障要求及数据风险现状，最终归纳出整体数据安全治理的目标。

第二阶段：建立组织体系、策略体系及评价体系

该阶段可通过专业咨询服务来实现。

首先需要确定数据安全治理的组织体系，数据安全治理，是业务部门与IT部门的共同职责，且数据安全治理是组织的整体行为。

因此确保数据安全治理的有效开展，需由高层领导直接参与，成立数据安全治理领导小组，该小组在信息化领导小组之下，主要成员需包括IT部门及各业务部门领导组成，明确领导小组的相关职责，同时成立数据安全治理办公室，主要负责开展数据安全治理的相关工作，明确其部门职责。

该部门可落实在实体部门，也可以是虚拟团队，但相关成员必须包括IT技术人员和各业务部门的相关人员。为了保障数据安全治理的有效性及实际效果，成立数据安全治理的审计部门，该部门成员不可以由数据治理管理办公室成员兼职，对数据安全治理的相关工作进行审计与监督。

策略体系建设方面，是指数据安全治理具体的安全管理制度体系的建设和执行，总体应包括数据安全治理的方针和总纲、数据安全治理规范、数据安全操作指南和作业指导，以及相关的模板及表单等。

评价体系建设，主要由监督审计部门负责建立相关的评价指标体系，并通过相关的工具对数据安全治理的相关工作进行检查和评价，并最终给出下阶段的持续改进建议。

第三阶段：技术实现阶段

在技术实现阶段，需要结合数据的生命周期进行全过程的有效管控，且在这之前，需要确定保护的是哪些数据，哪些数据的安全等级采取何种技术去实现，因此这个过程中，就需要运用到数据的分类分级，数据分类分级将主要包括两个层面：

一个是单位总体层面，其次是在单位总体的数据分类分级的原则下，结合关键业务场景制定数据分类分级的具体实施细节，在数据具体的分类分级原则中，关注数据分类分级的业务属性、合规属性及安全属性，同时建立数据分类分级的建立与变更审核流程，需要明确数据分类分级的详细操作流程及审核机制。

整体来说，数据分类分级是数据安全治理最为基础，也是最为关键的工作，是实现数据靶向防护的核心。

对数据分类分级后，将结合数据的安全属性、合规属性开展全生命周期的过程管控。

总体来说，将主要结合的安全技术有：数据源认证、数据提取、数据内容识别、数据加密、数据脱敏等技术。

对应到具体安全产品来说，包括数据发现与敏感标记系统、数据鉴权系统、终端及网络数据防泄漏系统、敏感数据监控与预警系统、数据脱敏系统、敏感信息检查评估系统等。

第四阶段：运行维护及监督检查阶段

数据安全治理工作完成后，数据安全治理管理办公室将需要开展数据安全治理的持续化工作，主要结合数据安全治理的管理体系中的具体要求进行运行管理，同时监督审计部门，通过定期的数据安全治理的风险评估及技术检查，发现数据安全治理过程中存在的问题，并提出持续的改进建议。