随着《网络安全法》、《数据安全法》、《个人信息保护法》,以及《关键信息基础设施安全保护条例》(国务院令第745号)的发布和深入实施,很多行业和组织都陆续开展了数据安全治理工作。数据安全治理与数据治理、网络安全保障工作既有重叠交叉,侧重点又有不同,很多数据运营者开展数据安全治理工作时感觉千头万绪,不知道从何处着手。本文提出了「组织数据安全治理实施 五步走」的方法,供数据运营者开展数据安全治理工作参考。
第一步:数据资产识别
数据治理的第一步就是要识别数据资产,盘点数据资产的家底。组织的数据可能分布在数据库、存储、文件服务器、云端、终端等节点,这就需要对数据资产进行调研和识别。可以按照业务流程、信息系统、数据信息的维度进行梳理。对组织自身数据资产用途、数据类型、分布位置、存储容量、合规及安全要求等实际应用情况进行全面的分析。本阶段可以借助自动化的数据资产识别工具,可以实现主动探测数据源、对数据源进行数据识别等功能。
本阶段的交付物是《数据资产清单》,该清单是数据实际应用情况的综合性登记表单,且应具有唯一性、准确性及全面性的特点。
第二步:数据分类分级
数据分类分级是数据安全治理的前提条件和关键步骤,只有对数据进行有效分类分级,才能避免一刀切的控制方式,在数据的安全管理上采用更加精细的措施,使数据在共享流通和安全之间获得平衡。
数据分类分级可以分为 5 个阶段来进行:
1. 建立分类分级组织体系:建立分类分级工作的跨职能团队,该团队可以是虚拟团队,也可以是实体团队。该团队可以由业务部门、信息安全部门、数据治理部门、 IT 运维部门等部门的人员组成,大家一起制定分类分级的标准和相关制度,以及开展具体的分类分级工作。
2. 制定分类分级标准:由上述团队成员一起编写供组织内部使用的《数据分类分级标准》,用于指导具体开展数据分类分级工作。
3. 建立分类分级管理制度:由上述团队成员一起编写供组织内部使用的分类分级相关的管理制度,如:《分类分级工作的角色及职责》、《数据分类分级流程》、《数据分类分级审核流程》、《数据类别级别变更策略和流程》等,用于指导分类分级工作的开展。
4. 实施分类分级:开展具体的网络数据分类分级工作,可以借助分类分级工具,来实现数据自动化分类分级的工作。
5. 分类分级结果审核:由审核人员对分类分级的结果做最终审核,如若级别不对,则需要重新进行分类分级,若级别合适,则正式批准。
本阶段交付的是《数据安全分类分级标准》以及配套管理制度,和《数据分类分级结果清单》。
第三步:建立数据治理组织机构和制度
数据安全治理和网络安全保障工作类似,都需要建立相应的组织机构、管理制度、人员团队。因此在本阶段,需要成立数据安全治理的工作小组,包括:决策层、管理层、执行层、监督层(也叫审计层),并明确各层的人员职能。并且建立 4 级数据安全管理制度文档体系,包括:方针策略、管理规定、手册指南、表单记录。并要注意和现有的信息安全管理制度要融合。
本阶段交付的是数据安全制度体系文件。
第四步:建立数据安全治理技术体系
本阶段需要建立数据安全治理的技术体系,并形成数据安全治理的技术能力,包括:身份管理和访问控制的能力,建立数据加解密/数据脱敏、数据水印/数据库审计、数据防泄漏/数据备份、数据擦除/商用密码等技术等能力,并通过数据安全治理管控平台( DSMP )进行接口统一对接、能力统一调度、策略统一下发、风险统一监控,实现数据安全治理技术能力的平台化、组件化、敏捷化。
本阶段交付的是数据安全治理管控平台和相应的技术能力组件
第五步:建立数据安全治理运营体系
数据安全治理工作不是一朝一夕的事情,是个长期的工作,因此需要建立数据安全治理运营的长效机制,这就需要建立数据安全运营体系。运营体系的建立,需要人员( People )、流程( Process )、技术( Technology )三者的结合。数据安全运营的内容包括:数据安全的风险评估、风险监测、通告预警、事件处置、安全培训、权限管控、风险可视化等内容。
本阶段交付的是数据安全运营能力。
综上所述,本文提出了「组织数据安全治理实五步走」的实施流程,并简要的说明了每个阶段的工作内容和建设成果,供数据安全运营者参考。
组织数据安全治理实施五步走
作者:杨天识来源:iLaw合规

随着《网络安全法》、《数据安全法》、《个人信息保护法》,以及《关键信息基础设施安全保护条例》(国务院令第745号)的发布和深入实施,很多行业和组织都陆续开展了数据安全治理工作。