背景

? ? ? ?隨著國(guó)家提出數(shù)字要素以及各行業(yè)信息化的發(fā)展，數(shù)據(jù)已經(jīng)成為業(yè)務(wù)發(fā)展的驅(qū)動(dòng)力。但是隨著數(shù)據(jù)的流通的越來(lái)越廣，產(chǎn)生的價(jià)值越來(lái)越高，如何在數(shù)據(jù)產(chǎn)生價(jià)值的過(guò)程中保證數(shù)據(jù)的安全，已經(jīng)成為各行業(yè)重點(diǎn)關(guān)注方向。

????????國(guó)家驅(qū)動(dòng)：數(shù)據(jù)安全上升為國(guó)家戰(zhàn)略

????????政策驅(qū)動(dòng)：數(shù)據(jù)安全政策法規(guī)的出臺(tái)

????????事件驅(qū)動(dòng)：數(shù)據(jù)安全事件頻發(fā)

????????企業(yè)驅(qū)動(dòng)：自身現(xiàn)狀以及合規(guī)需求

數(shù)據(jù)安全運(yùn)營(yíng)體系建設(shè)思路

????????依照經(jīng)典的 PDCA 模型，強(qiáng)化數(shù)據(jù)安全運(yùn)營(yíng)體系在數(shù)據(jù)安全治理中的軸心作用，有效上承管理體系，下接技術(shù)體系，落實(shí)數(shù)據(jù)流動(dòng)性帶來(lái)的持續(xù)、動(dòng)態(tài)、閉環(huán)管理。

????????首先制定數(shù)據(jù)安全規(guī)劃（P），通過(guò)對(duì)組織應(yīng)遵循的法律法規(guī)和行業(yè)標(biāo)準(zhǔn)進(jìn)行解讀，結(jié)合組織的業(yè)務(wù)情況，輸出并持續(xù)更新數(shù)據(jù)資產(chǎn)分類分級(jí)知識(shí)庫(kù)和組織數(shù)據(jù)安全合規(guī)庫(kù)，并進(jìn)行數(shù)據(jù)資產(chǎn)梳理及分類分級(jí)，摸清數(shù)據(jù)資產(chǎn)家底，評(píng)估風(fēng)險(xiǎn)暴露面缺陷，再依照合規(guī)性要求，針對(duì)風(fēng)險(xiǎn)點(diǎn)設(shè)定分動(dòng)態(tài)分級(jí)防護(hù)策略，然后落實(shí)全生命周期安全防護(hù)（D），依據(jù)規(guī)劃制定的安全策略，面向不同級(jí)別的敏感數(shù)據(jù)對(duì)象，構(gòu)建覆蓋數(shù)據(jù)全生命周期節(jié)點(diǎn)的按需、動(dòng)態(tài)防御技術(shù)能力體系，其次，展開(kāi)風(fēng)險(xiǎn)監(jiān)測(cè)與防護(hù)效果評(píng)估（C），實(shí)時(shí)監(jiān)測(cè)數(shù)據(jù)安全運(yùn)行風(fēng)險(xiǎn)，對(duì)安全事件進(jìn)行響應(yīng)處置，并對(duì)安全防護(hù)效果進(jìn)行合規(guī)性綜合評(píng)價(jià)，最后，根據(jù)風(fēng)險(xiǎn)監(jiān)測(cè)和防護(hù)效果評(píng)估結(jié)果，結(jié)合業(yè)務(wù)變革，進(jìn)行持續(xù)改善、優(yōu)化（A），迭代驅(qū)動(dòng)下一個(gè)安全規(guī)劃（P）。

數(shù)據(jù)安全治理框架

數(shù)據(jù)安全治理框架：有微軟的DGPC和Gartner的DSG，目前大多是參考DSG進(jìn)行實(shí)施的。

微軟DGPC

人員、流程、技術(shù)

DGPC框架由微軟于2010年提出，圍繞數(shù)據(jù)生命周期、核心技術(shù)領(lǐng)域、數(shù)據(jù)隱私和機(jī)密性原則三個(gè)核心元素構(gòu)建

DGPC框架提供了一種以隱私、機(jī)密性和合規(guī)為目標(biāo)的數(shù)據(jù)安全治理框架，以數(shù)據(jù)生命周期和核心技術(shù)領(lǐng)域?yàn)橹攸c(diǎn)關(guān)注點(diǎn)，DGPC主要是從方法論層面明確數(shù)據(jù)安全治理的目標(biāo)，缺少對(duì)在數(shù)據(jù)生命周期各環(huán)節(jié)落實(shí)數(shù)據(jù)安全治理措施的詳細(xì)說(shuō)明。

Gartner的DSG

????自上而下，不能跳過(guò)數(shù)據(jù)摸底等工作

• 企業(yè)戰(zhàn)略：數(shù)據(jù)安全治理應(yīng)保持與企業(yè)戰(zhàn)略的制定和實(shí)施的統(tǒng)一

• 治理：數(shù)據(jù)安全需要開(kāi)展深度的治理工作（另一種解讀：管理：與現(xiàn)有管理手段結(jié)合）

• 合規(guī)：考慮企業(yè)需要面臨的合規(guī)要求

• IT策略：與企業(yè)整體IT策略同步

• 風(fēng)險(xiǎn)容忍度：企業(yè)對(duì)安全風(fēng)險(xiǎn)的容忍度是多少

????????DSG要求在數(shù)據(jù)安全治理時(shí)，要先從業(yè)務(wù)入手，按治理目標(biāo)和相關(guān)合規(guī)需求，明確自身對(duì)存在風(fēng)險(xiǎn)的容忍度，平衡業(yè)務(wù)風(fēng)險(xiǎn)與合規(guī)的關(guān)系。

????????然后明確選擇需要治理的對(duì)象，優(yōu)先選擇重要數(shù)據(jù)進(jìn)行數(shù)據(jù)安全治理工作（可以通過(guò)數(shù)據(jù)梳理、分類分級(jí)等手段，完成數(shù)據(jù)資產(chǎn)盤點(diǎn)和篩選）。

????????再根據(jù)梳理的結(jié)果、自身的現(xiàn)狀和要求制定相關(guān)的安全策略

• 訪問(wèn)關(guān)系：數(shù)據(jù)訪問(wèn)者、訪問(wèn)對(duì)象、訪問(wèn)行為。（對(duì)應(yīng)人、數(shù)據(jù)、分析）

• 安全策略：根據(jù)場(chǎng)景制定針對(duì)性安全策略

?????? ?再根據(jù)數(shù)據(jù)不同生命周期，選取不同的數(shù)據(jù)安全技術(shù)/工具

????????最后在安全產(chǎn)品上進(jìn)行數(shù)據(jù)安全策略集中管理、同步下發(fā)。策略執(zhí)行對(duì)象應(yīng)包括關(guān)系型數(shù)據(jù)庫(kù)、大數(shù)據(jù)類型、文檔文件、云端數(shù)據(jù)等數(shù)據(jù)類型。

Tips:求個(gè)關(guān)注和點(diǎn)贊呀~