数安风向 | 非常3+2，搞定企业数据安全治理体系建设

数据安全治理属于数据治理体系中的一个过程，是从业务到安全、从管理到技术、自上而下全方位与体系融合的综合性专题建设。正是由于数据安全所需考虑的范围广、变量多，才需要治理者综合思考一套行之有效的体系框架，从而使数据安全建设做到有章可循，实现“同步规划、同步建设、同步运营”的数据安全建设目标。

本章介绍的内容是基于山石网科多年网络安全实践经验和科学方法论理解设计的一套包含五大体系的数据安全治理体系框架，希望能够帮助更多的用户科学、合理的完成数据安全治理。

一、背景介绍——客户痛点、咨询

十四五规划落地后，所有的企业都面临着一个相同的问题——如何安全地使用数据，创造更大的价值？那伴随而来，也就形成了企业在数据安全治理过程中的两个主要的驱动力：合规驱动以及结合自身战略的业务需求驱动。

合规驱动：在国家层面，以《网络安全法》、《数据安全法》、《个人信息保护法》为主的一系列法律法规，明确了组织在数据安全各个方面的合规要求；在各个行业层面，基于国家法律法规，以及各自行业特点，也都提出了更进一步的具体行业要求。

结合自身战略的业务需求驱动：伴随着数字化转型的浪潮，在人工智能、大数据、云计算、分布式计算等新型技术飞速发展的过程中，作为被定义为第五大生产要素的数据已经成为各个组织的核心资产，成为企业发展必不可少的战略性生产资料。众多企业将数据视为驱动其业务发展的创新战略资源。以企业战略和实际业务为导向，以数据为中心的安全治理，需要根据企业自身对风险的识别以及决策，做有针对性的数据安全能力体系建设。

二、数据安全体系建设目标

面对数据安全治理在法律法规、行业要求的合规层面，以及根据企业战略制定的数据安全治理愿景方针，结合其实际业务情况，以数据安全为中心，体系化的构建企业在其运行中需要的全面的安全能力。通过聚焦数据全生命周期，结合数据在整个企业业务中的流转状况，规划设计符合企业数据安全愿景的治理策略，不断的提升数据安全管理能力，夯实数据安全技术能力基座，依托于可持续安全运营体系，实现企业在使用数据创造价值的过程中风险可管、可控、可追溯。

三、双维驱动数据安全建设思路

首先我们要提出山石网科的观点，数据安全治理永远不是从零开始的，它一定是基于企业现有的安全能力建设现状，通过以数据为中心的视角，对现有的体系进行扩展以实现对数据的安全治理管控。大多数企业在此前或多或少已有了一定的安全体系，基本上都是围绕着网络环境和信息系统开展的安全防护工作，主要聚焦在了网络安全和信息安全方面。而数据安全是以数据为中心，围绕着数据全生命周期进行建设以提高企业数据安全保障能力，所以通过企业对数据安全愿景的制定，由数据安全管理层根据企业的战略目标以及实际业务情况具体讨论建设方式。

在设计整个的数据治理体系框架的过程中，山石网科是从两个维度进行思考。

第一个大维度是参考DSMM（数据安全成熟度模型），对企业在数据安全建设中的所有控制点进行评估。DSMM是一套围绕数据安全治理的能力分析模型，评估模型又包含了三个不同维度。维度一,能力成熟度等级：根据企业的战略方针、数据治理愿景，结合业务的实际情况，基于一套标准的分级方法，明确了组织在数据治理过程中各个能力域的能力建设目标。维度二,安全能力维度：从组织建设、制度流程、技术工具、人员能力四个关键能力方向，明确了在不同目标等级的前提下，组织应该具备的体系能力。维度三,数据生命周期安全：结合数据全生命周期以及通用安全过程，针对数据流转的不同阶段构建相关的安全过程域体系。

基于DSMM（《数据安全能力成熟度模型》）标准能力的等级要求，一般数据安全能力建设的能力框架如下图所示。

第二个大维度是结合企业实际业务，根据其战略方针，更多的从场景层面出发，满足企业的数据安全目标和愿景。通过有效的数据分级分类，制定安全策略，打通技术能力基座与安全政策的对应关系，通过可持续的安全运营不断提高数据安全治理能力。

四、以数据为中心的安全治理体系

结合上述双维驱动的数据安全建设思路，山石网科提出了以“制度规范体系”、“技术防护体系”、“运营管理体系”为核心，“监督审计体系”、“应急响应体系”为支撑的数据安全治理五大体系架构。

其中通过制度规范体系建设，指引企业在技术防护体系中的构建方向，也指引着运营管理体系中的组织建设和人员能力建设的方向；同时，运营管理体系的建立也确保了制度规范体系的落地执行，和技术防护体系发挥实际作用；而技术防护体系作为关键工具，为制度规范体系和运营管理体系提供了实际的工具抓手。

（1）组织架构建设

自上而下的数据安全治理

无论是数据安全法还是关基条例，都要求数据安全治理要有专门的组织和人员负责，并定岗定责。在数据安全治理的过程中，成立专门的数据安全治理机构是首要条件。该组织结合企业的战略方针，制定符合自身的数据安全治理的政策，并落实和监督政策有效执行。

一般数据安全治理委员会会分为四个层面：决策层、管理层、执行层以及监督层。该机构一般由数据的利益相关者和专家构成，这个机构通常是一个虚拟的机构，但也可根据数据治理的战略形成一个固定组织。

该机构一般由数据的利益相关者和专家构成，这个机构通常是一个虚拟的机构，但也可根据数据治理的战略形成一个固定组织。

安全决策层：决策层是数据安全管理工作的决策机构，建议由数据安全负责人及其它高层管理人员组成，数据安全负责人是组织内数据安全的最终负责人。数据安全负责人应该可以参与到企业的业务发展决策，因为实际业务发展与数据安全是密不可分的关系。除数据安全负责人以外，其他管理人员对于数据安全的重视和决策也是必要的，需要有其他业务部门、研发部门、法务等高管共同组成，形成定期的例会机制，主要职责包括：

• 1.制定组织的数据安全战略、愿景
• 2.对数据安全的策略和规划，规章制度进行发布
• 3.为企业的数据安全建设提供必要的资源支持
• 4.对公司的重大数据安全事件进行协调以及决策

安全管理层：管理层是数据安全组织机构的第二层，基于组织决策层给出的策略，对数据安全实际工作制定详细方案，做好业务发展与数据安全之间的平衡。属于承上启下的部门，也是企业数据安全工作最重要的核心部门。

安全执行层：主要负责聚焦每一个数据安全场景，由信息科技部门、业务部门的数据安全接口人等、风险管理人员、数据负责人、数据安全合作伙伴（也可分为单独一层）组成。负责具体落实和执行数据安全决策。执行层与管理层是紧密配合的关系，对设定的流程进行逐个实现。

安全监督层：数据安全监督层负责定期的监督审核管理层、执行层、合作伙伴对数据安全政策的管理要求的执行情况，并向决策层进行汇报。监督层人员必须具备其独立性、做到权责清晰，不建议由其他管理层、执行层人员兼任。一般最佳实践建议由企业内部的审计部门担任

（2）制度规范体系建设

当数据安全治理委员会建立后，结合法律法规的合规要求，以及企业自身的数据安全治理愿景，首先确定公司的数据安全治理成熟度目标。在成熟度目标确定后，根据企业自身业务特点，可以参考DSMM（数据安全成熟度模型）选定适合于本企业的安全过程域（ProcessArea）。针对选定的安全过程域中相关的规章制度基本实践（BasicPractice），可以得出企业自身在数据安全治理过程中的规章制度现状，以及差距分析。通过补齐、创建新制度，形成符合公司数据治理愿景的完整规章制度。

一般而言制度流程需要分层，层与层之间、同一层不同模块之间需要有关联逻辑，在内容上不能重复或矛盾。

• 一级文件：方针和总纲是面向组织层面数据安全管理的顶层方针、策略、基本原则和总的管理要求等。
• 二级文件：数据安全管理制度和办法，是指数据安全通用和各生命周期阶段中某个安全域或多个安全域的规章制度要求。
• 三级文件：数据安全各生命周期及具体某个安全域的操作流程、规范，及相应的作业指导书或指南，配套模板文件等。
• 四级文件：执行数据安全管理制度产生的相应计划、表格、报告、各种运行/检查记录、日志文件等，如果实现自动化，大部分可通过技术工具收集到，形成相应的量化分析结果，也是数据的一部分。

（3）技术防护体系建设

通过规章制度体系建设，可以确定公司数据安全战略如何在企业落地。根据规章制度制定过程中对于安全过程域的选择，可以确定在关键安全过程域中的技术需求。正如在前面描述中提出的主要观点“数据安全治理永远不是从零开始的”，企业或多或少的都已经完成了一些安全方面的建设，通过对数据安全治理的技术需求的确认，分析企业现有安全建设的基础技术能力，结合数据全生命周期以及通用安全需求，有针对性的进行技术能力补齐，其中主要涵盖的有三个方面：

1. 业务系统

企业的业务系统包括了前台应用、后台数据库和管理平台等。支撑数据的全生命周期（采集、存储、传输、处理、交换和销毁），几乎所有的数据安全技术工具都会对接并使用在这些业务信息系统上。

2. 通用技术工具

通用技术工具是指绝大部分安全过程域都会使用到的技术工具，或者是数据安全管理的基础平台，或者是整合数据安全管理信息的门户网站等。比如身份和权限控制平台，所有业务系统和管理平台要进行统一控制。日志管理平台，需要采集所有业务系统和管理平台的操作日志，方便后续监控和审计。

3. 特定阶段技术工具

针对企业战略选定的过程域适用的技术工具，只对接或者应用到部分的业务系统和管理平台。比如数据分类分级工具，对数据资产进行分类打标签。如数据安全接口管理，对数据库的接口调用进行安全管理。还比如一些数据脱敏技术，加密技术应用在了数据的存储和传输过程中。

（4）运营管理体系建设

基于已经完成的规章制度体系建设，以及技术能力体系建设，根据企业数据安全治理战略选定的安全过程域，确定在组织建设以及人员能力建设方面的具体需求。

数据安全能力建设是一个系统工作，在开展组织架构的建设时，需要考虑组织层面的实体管理团队以及具体的执行团队，同时也要考虑虚拟的联动小组，其中相关业务部门、IT部门、研发部门、HR、法务等部门都需要参与到数据安全的建设中。因为数据治理是一个自上而下的过程，数据安全管理委员会是最先建立的机构，其目的是明确数据安全的政策、落实和监督等工作，以确保数据安全能力建设的有效执行。通过完整体系建设的演进，基于选定的安全过程域，对组织建设提出了更加准确的要求，对整个数据安全治理组织进行补全。

同时，数据安全治理也不只是一个单纯的技术类工作，更多的需要复合型工作能力，对于相关人员的能力也提出的更高的要求。数据安全人员能力主要包括了四个维度，数据安全管理能力、数据安全运营能力、数据安全技术能力和数据安全合规能力。数据安全管理能力目前大部分行业的企业还尚未正式开展数据安全体系建设，也较少有数据安全的专职职能岗位，对人员能力的培养也在初期。

1. 数据安全管理能力

目前大部分行业的企业还尚未正式开展数据安全体系建设，也较少有数据安全的专职职能岗位，对人员能力的培养也在初期。随着《数据安全法》的落地，以及企业实际业务对数据安全的需求，体系的建立与数据安全治理能力的提高成为了高优先级任务，数据安全管理能力是首要解决的问题。

2. 数据安全运营能力

数据安全建设是一个不断持续改进的过程，需要在组织内持续性的落实数据安全的相关制度和流程，并基于组织的业务变化和技术发展不断的调整和优化，安全也是一个不断螺旋上升的过程，因此需要做好数据安全运营工作。数据安全技术能力数据安全的实现，需要技术和工具平台的支撑，来完成安全管控措施的构建，从而实现数据安全能力的建设。

3. 数据安全技术能力

数据安全的实现，需要技术和工具平台的支撑，来完成安全管控措施的构建，从而实现数据安全能力的建设。

4. 数据安全合规能力

在数据安全领域，国内外越来越多的法律法规、标准逐步出台，合规工作成了数据安全领域建设的底线。数据安全的人员能力建设会根据数据安全治理体系中的角色，有针对性的进行构建。对于不同角色的能力要求有侧重也有交叉。通过组织建设和人员能力的针对性构建，形成企业的安全运营能力，以保证企业数据安全治理目标的达成。同时数据安全运营能力也能反过来保障企业的规章制度落地，以及技术能力的有效使用。

（5）应急响应体系建设

随着数据安全的三个核心体系建设完成，企业可以通过建设数据安全态势感知与预警平台，并与上级网络安全信息共享平台对接，构建应急预警平台。针对数据安全事件落实重大事件报告制度和突发数据安全事件应急响应制度，建立健全安全应急预案、应急处置工作指南和处置流程图。常态化开展数据安全攻防演练、应急演练、全员安全培训，组建专家队伍和支撑力量，提升全天侯、全场景、常态化、实战化的网络安全应急处置水平。

（6）监督审计体系建设

企业需要针对数据全生命周期的各阶段的安全管理情况进行监控与审计，以保证数据安全治理可以有效、持续地产生价值。在监督审查体系中可以着重于以下几个方向：预警通报、安全监测和综合评价。

1. 预警通报

通过迭代升级监测预警的技术平台，不断提升隐患时间发现的水平，提高数据安全态势感知能力。建立健全预警、通报、处置、整改、反馈闭环的工作机制，使得数据安全管理运营能力得到可持续的提高。

2. 定期的数据安全审计和综合评估

定期开展数据安全专项审计工作，对规章制度体系，技术防范体系，以及数据安全运营体系的实际运转情况进行检查；同时要配合主管、监管部门开展重要数据处理活动审计工作，通过开放安全相关数据访问、提供技术支持等手段，对组织运作、技术系统、算法原理、数据处理等进行安全汇报，根据检查情况对企业的数据安全治理情况进行综合评估，确保数据安全运营的有效性和可持续提升。