证券时报丨《数据安全治理白皮书》（2021）发布 建议全生命周期统筹数据安全治理

---

 

 

【证券时报】日前，山石网科发布了行业内首份《数据安全治理白皮书》。这份白皮书分析了数据安全治理面临的核心挑战，并提出应对解决建议。白皮书指出，信息安全已经从“互联网大蛮荒时代”“网安法时代”走向“大合规时代”。山石网科董事长兼CEO罗东平表示，完整的数据安全治理体系，是一个包含了目标、组织、流程、技术等多维度的复杂系统工程。对于企业来说，未来数据安全治理不是一个可选项，而是一个必选项。不是单个技术突破问题，而是一套完整的治理体系问题。不是仅限于技术单一思考维度，而是多维视角的立体建构能力。不是单一防护点堆砌，而是建立数据全生命周期的多维立体主动防护体系。

 

信息安全走向“大合规时代”

中国数据安全法律体系构建正在提速。继2015年7月颁布《国家安全法》，今年6月以来，《数据安全法》、《个人信息保护法》相继落地实施。三部法律被认为是数据安全领域的“三驾马车”。11月14日，国家互联网信息办公室发布《网络数据安全管理条例（征求意见稿）》，并向社会公开征求意见。

 

白皮书认为，三个数据安全领域的基础性法律落地标志着，信息安全从“互联网大蛮荒时代”“网安法时代”走向“大合规时代”，由“或有”变“刚需”。《条例》作为三个数据安全相关上位法的具体落地条例，指导企业如何迈出第一步，为其做了安全导航。

 

“在实践中，数据安全的分类分级管理是一个重要原则，这已经体现在诸多地方。”山石网科行业规划总监韩冰表示，比如《条例》明确了监督管理的权责分工。国家网信部门负责统筹协调数据安全和相关监督管理工作。**机关、国家安全机关等在各自职责范围内承担数据安全监管职责。工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。

 

11月25日，《上海市数据条例》获表决通过。今年6月，深圳市也通过了《深圳经济特区数据条例》。《工业和信息化领域数据安全管理办法（试行）（征求意见稿）》正在公开征求意见。韩冰预期，后期更地区更行业领域的具体规章制度还将密集落地。

 

数据安全治理面临四大挑战

白皮书指出，当前数据安全治理面临多方面挑战。包括：企业数据安全管理制度不完善；数据权属争议大，管理责任不清；数据安全技术措施零散；数据活动场景复杂，监管效能难提升等。

 

具体来看，很多企业在进行数据安全治理时，注意力更多的集中在对外管理上，造成了“对外铁桶一块，对内千疮百孔”。数据安全管理要解决的最突出的问题之一就是敏感数据的泄露，但造成数据泄露的原因很多情况下都是由于企业内部人员导致的。比如，企业内部人员权限过高导致违规访问、内部人员绕开企业内容安全管控建设，直接登录系统进而窃取信息等。对企业员工内控的忽视是造成安全风险的重要原因。白皮书建议，数据安全管理要落实到每一个参与数据安全执行的执行层面之上，甚至员工身上。

 

同时，数据资产未认责，管理角色的职责边界模糊的问题也较为突出。对此，目前国家施行的法律法规已经要求明确数据责任，通过加大惩罚力度，来提升数据安全防范意识。

 

数据安全技术措施零散则表现在，数据安全产品功能分散和数据安全能力的“孤岛化”。此外，数据全生命周期涉及众多数据技术、数据处理主体，且数据流动范围广，从国家内部的数据流转到跨国界的数据传输，均增大了数据活动场景的复杂性，也提升了数据安全的监管难度。

 

摸清数据资产的底数

山石网科数据安全业务群总经理赵胜表示，当前大多数企业在此前或多或少已有了一定的安全体系，基本上都是围绕着网络环境和信息系统开展的安全防护工作，主要聚焦在了网络安全和信息安全方面。数据安全治理永远不是从零开始的，它一定是基于企业现有的安全能力建设现状，通过以数据为中心的视角，对现有的体系进行扩展以实现对数据的安全治理管控。

 

数据安全治理的前提是对当前数据资产状况有清晰的了解。白皮书建议，企业应该首先参考DSMM（数据安全成熟度模型），对企业在数据安全建设中的所有控制点进行评估。进而结合企业实际业务，根据企业战略方针，更多的从场景层面出发，通过有效的数据分级分类，制定安全策略，打通技术能力基座与安全政策的对应关系，通过可持续的安全运营不断提高数据安全治理能力。

 

“进一步提炼来说，企业数据安全治理工作可以围绕‘四化’开展，也即：数据资产可视化、安全能力集中化、运营分析体系化和制度流程的标准化。”赵胜说。

（本文来源于证券时报，记者：江聃，责任编辑：杨国强）