自2021年6月起，安在征文全新“改版”——“诸子笔会，打卡征文”。简单来说，我们在诸子云社群招募“志愿者”，组成“笔友群”，自拟每月主题，互相督促彼此激励，完成每月一篇原创，在诸子云知识星球做主题相关每日打卡，同时邀请专业作者群内分享，互通交流。我们的目标，不仅是在持续8个月时间里，赢取累计8.8万的高额奖金，更是要探索一种脑力激荡、知识分享的新思路和新玩法。本期发文，即诸子笔会月度主题来稿之一。

文 | 孙琦

孙琦

某上市公司信息安全负责人

我是一位上市公司的信息安全负责人，每天都很忙很忙。熟悉我的人都知道我微信没回复就是我在忙工作了，第二天看到我回复他的消息后会很习惯的和我继续完成之前的对话。是不是很好奇我每天都在忙些什么？我尝试用一个故事的方式来和大家聊一下，看看是不是企业安全负责人真的这么忙吧。

我们的故事发生在上海，主角是张三，一家上市公司的安全负责人，他从零开始构建了公司安全管理体系，前两年他的主要工作是搭建安全技术体系，目前已经小有所成。今年，他的工作重心逐步聚焦在数据安全工作上。

凌晨3点，张三被一通电话吵醒。NOC团队（24*7监控团队）报告我们的系统异常，存在被攻击的情况，需要安全团队介入一起处理问题。由于值班的安全团队成员未能在30分钟内确认是否和攻击有关，张三被叫醒一起介入问题的处理。了解清楚情况，安排安全团队成员从互联网入口相关的安全设备入手检查alert，安排网络团队成员从网络流量入手检查异常，应用团队从受影响的系统本身切入检查是否有异常并仔细排查日志，20分钟后电话会议同步情况。最后的结果是，的确存在攻击的情况，但均已被有效拦截，未发现有透过前端防护措施的迹象，此次异常不是被攻击所导致的。RCA分析完成，确认是应用本身的某一结点存在异常，已紧急将该节点下线，经观察，业务恢复正常。Case生成，剩余部分将在上班后由其他同事继续跟进处理，张三也指定了同事跟进并对此次故障进行全面复盘，同步强化安全团队在发生问题后的应急处理步骤和思路，让这位同事在周会上进行总结并分享。问题处理完，真的是一个十分尴尬的时间，张三选择倒头继续睡，同步通知团队因case处理会晚一点进公司，有急事电话联系。

早上9点45分，张三在公司地库停好车，在电梯里遇到了法务部的辉哥。“张总，你今天什么时候方便，有个事情想要请教一下”，辉哥面带疲倦的和张三聊了起来。“中午一起吃饭吧，我们就在公司食堂边吃边聊”，看着手机中密密麻麻的会议信息，他也只能在中午和辉哥聊聊了，另一个原因是能够在办公室以外聊的事情相对不那么严重。

早上10点，第一场会正式开始，会议的议题是关于xxx项目数据提取的评审会，参会人员包含了PMO、业务、研发、IT基础架构、安全等部门的同事。依据公司数据安全管理制度和个人信息安全管理制度，所有系统在需要使用数据前，都必须进行评审和审批工作，而这场会就是决定这个项目是否有机会通过评审进入下一步审批环节，从而最终获得其想要的数据。

业务方提供了业务说明和详细的系统架构信息，各方信息充分的进行交换。张三尖锐的提出了一些问题：

1.该系统的安全模块现状与文档中的信息存在部分不匹配的问题，需要说明后重新评审

2. 业务部门需要的数据涉及个人信息数据，在业务方未完成必要前置激活步骤前不能使用

3. 业务系统与现有数据中台的对接方式需要增加业务系统测审计模块，数据保留180天以上

4. 系统未完成必要的安全测试工作

张三解释，个人信息保护法明确要求，我们在处理个人信息时要有具有明确、合理的目的；收集个人信息时也要限于实现处理目的的最小范围。这个项目中想用的数据是存量数据，而这部分存量数据并未被明确授权用于本项目的的新业务场景，因此我们必须先获取用户的明确同意后才能使用。

大数据时代，人们早已知晓所谓的“大数据杀熟”现象，这些行为严重侵犯了消费者的权益，如今，我们通过《个人信息保护法》明确禁止了上述类似行为。《个人信息保护法》摘要：“第二十四条 个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。

通过自动化决策方式向个人进行信息推送、商业营销，应当同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。

通过自动化决策方式作出对个人权益有重大影响的决定，个人有权要求个人信息处理者予以说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。“

业务部门的同事脸色不太好看，PMO介入打了一个圆场，大家的目标都是一致的，在满足合法合规的要求下尽力让业务“自由飞翔“。

即将于2021年11月1日实施的《个人信息保护法》、已经实施的《网络安全法》等法律法规的密集出台已经表明了我们国家对于数字安全的重视和严管的态度，作为一个企业安全负责人，你可以选择说“这个差不多可以了“，但我更想说的是你还可以选择说”等问题解决了再说“。

上午11：30分，结束会议的张三回到办公室，喝了一杯水，登陆内部系统进行流程审批。需要审批的流程有堡垒机申请、权限申请、发布申请、请假等等，为什么这些流程不进行优化或者减少流程审批节点呢？因为安全无小事，负责人只能辛苦一些。曾经有一个case，王某希望获取某系统的最高权限，张三安排的同事与其联系确认细节，结果连续3天找不到他，第四天张三直接拒绝掉了这个流程，理由就是“业务部门无法给出合理申请理由”。当天下午，王某来到安全部门说明情况，说自己当时也就是随便一提没想到事情这么严重。当时张三脸上充满了问号，后来才得知，其权限申请的流程被拒绝后王某被其所在BU负责人教育了一番，此中细节不多赘述，有时候学会拒绝也是一个安全负责人必备的技能。

中午12：40分，让法务部的辉哥等了20分钟的张三终于出现在了食堂，这个时间点也是张三平时去食堂的时间点，因为人少。随便点了一碗面，就和辉哥聊了起来。“我们会不会是关基？”辉哥问，张三一脸问号回答“什么是关基？”。“就是关键基础设实呀，我们法务很关心，我们会不会被认为是关键基础设施保护条例的适用对象，因为今年9月1日就要正式施行了。”辉哥略带鄙视的眼神看着张三，好像在说这都不知道，还是做信息安全的人呢。张三顿感无辜，就这个事情啊，果然挺适合在午饭时聊的。

张三拿出手机，搜索关键信息基础设施安全保护条例，将总则第二条拿给辉哥看，继续愉快的吃起了面条。

《关键信息基础设施安全保护条例》摘要：第二条 “本条例所称关键信息基础设施，是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。”

辉哥看完似乎也如释重负，简单聊了两句就先走了。偌大的食堂，只有张三和几个为数不多的同事还在就餐。

下午1：30，回到办公室的张三打开系统，逐一看了一下dashboard和alert。WAF的策略命中情况、NTA的威胁侦测情况、堡垒机的策略命中情况等等数据，逐一扫了一遍后他把注意力放到了DLP的一条alert，安排同事跟进便去开下一场会了。

下午2点，张三和评测机构一起过本次等级保护评测项目的最新进展，最近半年他们一直在努力推进5个系统的等级保护评测工作。张三打算结合《个人信息保护法》和本次评测中发现的问题去更新现有体系制度，同时将《个人信息保护法》中分不同阶梯进行惩罚的理念纳入管理制度中；同时安排了全员的培训来进行宣导，借主管部门的力量更好的去推动《个人信息保护法》在公司内部的落地和宣导，实现企业、主管部门、员工的多方共赢。

下午4点，送走评测机构人员后，张三在楼下咖啡馆小坐片刻，似乎在想着什么。

绝大多数企业已经明确认可数据资产是企业重要的无形资产这一说法，且认可我们的数据资产正面临着各类威胁。企业的数据治理工作说起来很简单，知道自己有什么、知道自己要保护什么、知道用最合适的手段履行保护行为。但做起来就不是这么轻松的了。过去，一些CEO认为数据治理是单独一个部门的事情，比如IT部门。但经历这些年的实践，我们确定的说，企业的数据治理绝对不是一个人、一个团队的事情，而是和企业文化建设一样，需要全员参与。

下午4点15分，叮的一声提醒，距离下一场会仅剩15分了。这次是和内控部门一起开会，会议的内容是更新我们现有的安全管理制度同时跨部门一起完善我们的数据治理工作。

针对我们已有的《xxx公司信息安全管理制度》、《xxx公司个人信息安全管理制度》、《xxx公司数据管理制度》进行修订，主要目标是依据最新的法律法规和公司现状进行适配，同步加强惩罚措施、强化监管力度，强调信息安全部门是集团所有信息安全事务的归口管理部门，以权责对等原则向HR等部门建议增加资源等内容。

针对我们现有的数据分级分类标准，构建多部门参与的联合项目团队，以月度例会的方式向公司高层汇报公司现有的数据资产梳理现状，下一步的工作重点以及希望实现的里程碑目标。

我们达成共识，以满足合法合规为基础后先出一稿，以这份稿件为基础和业务部门再一起过一轮，明确原则和不能修改的部分，剩余的就是让业务尽可能的自由飞翔了。

临近下午6点，陆陆续续有同事下班了。张三回到办公室，把今天没有看完的和明天需要参与的会议进行梳理，回了十几封邮件和钉钉、微信的留言，看了看明天第一场会议是什么时候开始，差不多7点20分左右可以走了。

我们的故事至此也将画上一个句号，不知道这和大家以为的安全负责人的工作相似吗？

数据安全管理是一个系统性的工程，我们也有很多的方法论和指导实践可以参考，这里我比较推荐的是金融数据安全系列的行业标准，比如它的数据安全分级指南等。推荐理由是金融行业的标准往往是趋严的，但其较为完善和体系化，对于一般企业而言能够有较好的参考和借鉴意义。

做好数据安全治理工作需要的是打破现状的果敢和团结各方利益的睿智，借鉴别人的经验固然很好，走出最适合自己的那条路更为重要。

诸子笔会 |8月征文合集《数据安全》

赵锐：世界500强的数据治理实践

刘顺：企业数据安全体系建设实践

刘志诚：祛魅！数据安全认知实践再思考

蔚晨：浅析数据安全治理体系

王振东：数据安全职责浅析

诸子笔会 | 7月征文合集《安全自动化》

张永宏 肖文棣 杨文斌 于闽东 孙琦 

刘志诚 蔚晨 赵锐 季奖公布

诸子笔会 | 6月征文合集《安全数字化》

齐心抗疫 与你同在