1.数据安全治理背景

随着各行各业信息化不断演变发展，数据已成为基础设施，成为业务发展重要原动力，内部业务与互联网深度融合，利用新媒体，让数据产生更大价值，是近近几年发展的主要趋势。如何提升数据资产价值同时让数据使用更安全，已成为各个行业探讨的方向。

近几年网络安全事件频发，具有商业特性的攻击事件越来越多，地下黑产对个人信息需求异常旺盛。2017-2018年度551起数据泄露事件中，出自各行各业，数据高质量、易获取，已成为不法份子获取利益的最佳途径。

随着横向网络安全法、等保2.0的合规性要求及纵向垂直行业安全要求的需要，对数据存储、使用、运营提出了明确要求，如何更好的对数据进行有效防护，保障数据全生命周期的安全性，如何以事前发现、事中阻止、事后审计、持续加固的方式，提供更好的服务是每个从事安全的行业人员应该深度思考的问题。

2.数据安全治理概述

数据治理包括数据、业务、安全、技术、管理等多个方面，而数据安全治理属于数据治理体系中的一个过程，从业务层到安全层，从管理层到技术层，从左到右，自上而下全方位与体系融合，贯穿始终。

3.数据安全治理目标

数据安全治理长期目标思短期目标需要从治理体系、安全合规、技术支撑三要素进行考虑建设。

治理体系：数据安全体系化建设，使数据安全管理更加合理规范，良好的可视性运维机制和动态协同能力。

安全合规：充分了解合规及行业要求，建设满足合规性要求同时，需要考虑灵活性、可扩展性及各阶段衔接性。

技术支持：提升事前发现、事中防护、事后审计能力。

4.数据安全治理体系

对行业数据特性及数据管理现存问题，从数据视角出发，系统化、规范化、科学性的建立数据安全治理体系。完整的数据安全治理体系应包含5个方面：原则、上层建筑、资产梳理、管理体系、防护体系。

安全治理体系

原则是数据安全治理的基本思想与方针，包括：战略一致、风险可控、运营合规、绩效提升。上层建筑包括内外部策略、部门职责、动态协同等，起到安全治理过程中依据、指引等作用。资产梳理是以安全治理角度，充分摸清家底，有针对性、有计划性的进行治理实施，主要包括：管理梳理、技术梳理、场景梳理。管理体系具有可落地执行特性，包含组织体系、执行体系及运维体系。技术体系通过发现、运维、防护，实现各阶段进行快速响应。

5.数据安全治理实施

5.1 组织建设。设计健全的组织架构是数据安全治理工作的基础。组织建设包括部门职责与人员角色确定及动态协同机制，

（1）部门职责与人员角色

部门包括：业务部门、运维部门及安全管理部门。业务部门。按单位业务职能划分；运维部门。根据运维体系进行有效执行；安全管理部门。制度指定、技术迭代、安全检查与事件处理、安全审计等。其它：包括第方厂家或者外包的职责制度。

人员角色可分为：业务人员、审计人员、运维人员、安全人员、管理人员等。

（2）动态协同机制

建设完善的动态协同机制，充分利用部门资源，解决部门运转孤岛问题。

资产梳理。明确数据访问人员、数据生产人员、数据维护人员等目标对象，以数据流转为基础，对相关人员进行串联，形成动态协同。

5.2资产梳理。 内部资产梳理是数据安全治理的核心所在，只有详细、真实的数据梳理才能让数据安全治理真正落地执行。梳理主要从现有管理、技术、治理场景三方面进行。数据资产主要为，机构化数据及非结构化数据，针对数据需要梳理威胁性、脆弱性及使用权限确定（包括：访问控制、权限授权情况等）。针对结构化数据还需明确数据类型及基础信息，如：主机信息、网络信息、数据库品牌、数据库版本信息等；对数据进行分类分级，通过合规性要求、自身主观判断、意外事故影响和第三方使用价值进行数据划分。

5.3流程管控。完善的管控体系是保障数据安全治理可持续性的关键所在，流程管控主要从组织体系、执行体系、运维体系等三个方面进行考量。组织体系：建立决策层、管理层、执行层多方面、跨部门有效协同机制与制度；执行体系：包括治理方针、规章制度、治理标准、治理规范、治理流程等；运维体系包括维护、监控、评估、加固、审计与应急、治理评估等。

5.4安全防护完善。数据安全治理离不开安全技术及安全产品，安全防护体系能力主要从发现能力、运维能力、防护能力三个方面进行建设。发现能力：数据泄密、数据审计、数据安全基线管理、UEBA、数据态势感知等；运维能力：综合性审计、基于数据的漏扫、监控与预警及统一认证与授权等；防护能力：数据加密、数据脱敏、数据库防火墙、数据防泄漏、统一策略管理、容灾备份等。

6.数据安全治理实施过程中注意事项。

6.1合规性要求。行业合规性要求较多，会随着时间推移发生变动，合规性文件对数据安全治理过程中有着依据、指引等作用，如不能深入了解，会使数据安全治理建设过程反复。

6.2管理体系。完善可持续性的管理体系是保障安全治理的先决条件，规划好，落地难的管理体系如空中楼阁，使数据安全治理效果大大折扣。

6.3资产梳理。资产梳理对数据安全治理尤为重要，需要清除哪些数据要防护、数据如何流转、端到端对象都有谁、数据跑的有什么内容、现今数据载体有什么安全隐患等等问题，资产梳理不到位，难以进行后期的体系建设。

6.4缺乏过程持续性。数据安全治理是一个持续性过程，上到管理体系，下至技术工具，都需进行持续性完善，如治理过程缺乏持续性，则无法形成运维监控、定向审计、问题处置与体系加固等一套有效的运转机制。

7.小结

大数据、云计算、物联网、人工智能的到来，让各个行业发生巨大的改变，各行业对数据数据整合及利用，以互联网进为载体行服务模式转变同时，应充分考虑对数据的安全治理。通过对人、管理、防护产品多个方面进行数据安全治理意识、制度、技术的持续性完善，实现安全、业务与数据有效融合，达到数据安全治理的预期效果。