亚信安全：数据安全治理是先“理”后“治”的循环过程

你信任的亚信安全 2022-08-17

电力革命，在人类真正找到安全地传输、使用电的方法后，开启了持续至今的发展与变革。

下一场变革的爆点在哪儿？无疑，数据已经汇成了这股力量，我们要找到真正能驾驭它的方法。

本月《中华人民共和国数据安全法》出台，并将于今年9月1日实施，这是非常重要的一项举措。保证数据安全，进而推动数据开发提升公共服务质量，这二者间的平衡点需要把控，在数据价值释放过程，我们需要继续探索实现数据安全的均衡治理。

那么，数据安全治理是什么？和数据治理有区别吗？如何构建数据安全治理框架？怎样进行数据安全治理？

先“理”后“治”方能看懂数据安全拼图

作为我国数据安全领域的基本法，《数据安全法》完善了我国数据安全治理体系中最重要的一块拼图。“数据安全治理”是其中的关键词，用户又当如何围绕其构建出全新的安全框架呢？疑虑是正常的，毕竟数据安全治理是一个新生事物。但早在2015年，Gartner公司就提出了数据安全治理这一概念、原则及框架，后续几年Gartner公司多次提及并加以强调，并且认为数据安全治理已成为了数据安全中的“风暴之眼”(The Eye Of Storm)。在国内运营商、金融、政府等行业中，一直或多或少从事数据治理、数据资产的保护，其实都在数据安全治理范畴中，只是尚未体系化和标准化。
Gartner公司对数据安全治理的定义是：数据安全治理不仅仅是一套工具组合的产品级解决方案，而是从决策层到技术层，从管理制度到工具支撑，自上而下贯穿整个组织架构的完整链条。数据安全治理是数字治理的重要部分，贯穿数据治理的全生命过程，聚焦数据的安全属性，保障数据的机密性、完整性和可用性。国内的一些机构认为，数据安全治理是以“让数据使用更安全”为目的，通过组织构建、规范制定、技术支撑等要素共同完成数据安全建设的方法论。我们也可以采用拆字法来理解数据安全治理，治理是先“理”后“治”的循环过程，“理”是梳理，通过落实组织、人员及制度，梳理数据的分布、数据分类分级、数据安全风险等。“治”是治疗，通过部署安全技术措施对数据处理环境和数据全生命周期提供全方位的安全保护。 经过多行业客户实践，亚信安全总结出数据安全治理的框架如下：

本框架是对数据进行安全治理的过程，分为两个环节：

“理”：强调建立数据安全管理机构、落实数据安全管理人员以及制定数据安全规章制度等管理性措施。

在数据资产梳理中，需要明确这些数据如何被存储，数据被哪些系统、人员使用的？以及如何使用？对于数据梳理可采用亚信安全数据资产地图产品进行自动化的数据识别，而对于人员的角色梳理，则需要选择现场调研及人工核实等方式进行。根据企业的实际情况，制定数据分类分级条例，选取自动化工具+人工标注等方式进行数据分类分级，明确重要数据的分布及被使用情况。在数据风险分析环节，采取工具扫描+专家现场评估方式，全面发现用户数据存储（主机、数据库）存在的安全隐患和风险，并根据数据资产价值评估、脆弱性评估和威胁性评估，最终形成数据存储的风险评估。

“治”：主要采用技术措施对数据进行保护，分为数据处理环境安全及数据生命周期安全。

数据处理环境安全，包括物理环境、平台环境、终端环境的安全，物理环境安全强调机房环境安全，平台环境安全的重点是云平台的安全，终端环境安全确保办公终端的全面安全防护（防病毒、防泄密、终端准入等）；数据生命周期安全包括采集安全、传输安全、存储安全、处理安全、交换安全、销毁安全，采集安全关注数据分类分级、数据源鉴别及数据治理管理，数据传输安全关注数据传输加密及网络可用性管理，数据存储安全关注存储介质安全、逻辑存储安全及数据备份和恢复，数据处理安全关注数据脱敏、数据分析安全、数据正当使用及数据处理环境安全，数据交换安全关注数据导入导出安全、数据共享安全、数据发布安全及数据接口安全，数据销毁安全关注数据及介质销毁处置。

“合法”利器——亚信安全数据安全治理平台DSG

9月1日正式实施的《数据安全法》中，很多条款要求都和数据安全治理框架保持一致，如下：

第三条：对数据活动（收集、存储、使用、加工、传输、提供、公开等）进行安全保护
第四条：建立健全数据安全治理体系
第十七条：促进数据安全监测评估
第二十条：建立数据分类分级保护制度
第二十一条：建立数据安全风险评估机制
第二十六条：建立数据安全管理制度，采用技术措施保障数据安全

为帮助企业顺利完成数据安全治理，亚信安全2020年推出数据安全治理平台V2.0（DSG），此产品是以Gartner公司的DCAP（以数据为中心的审计和保护）和DSGF（数据安全治理框架）为基础，经过多省份运营商充分实践的企业级数据安全治理工具， DSG以数据为核心，以数据安全风险分析为大脑，以数据安全策略为控制点，多种数据防护工具为支撑，帮助企业构建自己的数据安全生态，以场景化的联动方案帮助客户完成数据安全治理的具体落地。

数据安全治理，是数据安全建设的一个系统性方法和框架，帮助企业构建一种持续优化改进，保障数据安全使用的数据安全体系。Gartner预测，2022年，将有超过30%的企业将开始实施执行数据安全治理框架。随着《数据安全法》正式发布，国内更多的企事业单位都将开展数据安全治理，包括设立数据安全组织机构及相关人员，制定并发布数据安全管理制度，梳理并实施数据分类分级，部署技术手段来保障数据在全生命周期中使用安全。

为企业安全使用数据保驾护航

当今中国，数字化转型正在各行各业如火如荼的开展，数据安全治理必将在数据安全使用中发挥巨大作用，助力企业顺利完成数字化转型，为企业安全使用数据保驾护航，从而降低业务风险，推动企业IT治理变更。

亚信安全从2014年开始启动数据安全相关产品的研发工作，陆续发布数据脱敏系统、大数据安全管控系统、数据资产地图、数据安全治理平台等产品，其产品成功应用于运营商、金融、政府等行业，取得了很好的防护效果及安全价值。近几年承接多个省市大数据局、金融、电力、民航等行业客户的数据安全咨询和建设项目，开展数据安全成熟度评估，进行个人隐私保护和数据安全治理体系规划，协助客户构建覆盖全生命周期的数据安全防护能力。

行业热点：

亚信安全实力入选「综合实力百强领军者」-中国网络安全百强报告(2021)发布

广西网络安全业务培训班领导参观亚信安全

云力量 | 亚信安全携手南京网信办，构筑网络空间安全保障

了解亚信安全，请点击“阅读原文”