数据安全治理支撑体系与典型实践

数据安全从1.0已经走到3.0时代了，1.0时代以库为中心；2.0时代以数据为中心；3.0时代有一个重大的改变，以体系为中心，将领头者、组织，执法机构，防护措施有体系地安排起来。

针对数据安全治理，国家已经开始行动。先后发布《网络安全法》、《个人数据保护法》等10余项法律法规。

其中，安华金和参与了国标《政务信息共享数据安全技术要求》的制定。此标准主要针对政务数据的共享交换安全及对政务大数据平台的数据安全的技术要求。另外，在政务数据分类分级方面，安华金和也开始进行相关研究，政务数据基本上分为九个等级，运营商等多家企业单位已经做了相关的指引。

数据安全整体的治理体系和思路

数据安全治理体系分为四个阶段和三个技术路线。

四个阶段包括：组织建立、能力评估、制度设计、技术设计，这四个阶段需要一步步落实；三个技术路线作为整体技术的支撑，会穿插在四个阶段进行循环往复交错。

1、组织建立

数据安全体系建立过程中，需要有高层领导参与配合，保障组织顺利建设。

很多单位在数据安全治理过程中都设置了监督层，包括监督部门、财务部门、设计部门，对各业务部门绩效进行评估。有了这些部门的参与，数据安全体系就可以逐渐推进下去。

举个例子，很多银行单位设立数据安全治理处，并且高层领导参与其中，规定相应的目标和范围。下属不同部门才可以进行工作协同实现目标。

2、能力评估

组织建立完成，需要基于自身业务情况，对数据安全能力进行评估。在数据安全能力评估的过程中， 第一，要有业务专家去深入参与整个过程；第二，摸清数据所存放的位置，数据的数量，数据的类别、级别；包括人员类型、权限设置，都要重点评估出来。然后结合相关国家的标准评估出差距，这个差距才是指导后续设计的准则。在评估过程中要注意的一点是，一定要基于业务流程进行梳理。

3、制度设计

一定要基于业务设计数据安全的制度，因为设立制度是为了更好的把数据安全落实到业务领域，而不是阻挠业务发展和共享。制度的设计要遵循以下两方面原则：一是要遵循行业和国家内部的相关标准体系和法规；二是要结合管理、技术、业务流程等做一个总体的纲领和规范。

4、技术设计

经过长时间的积累，了解全业务，进而得出技术模型，最后引入技术工具。技术工具并不是最重要的，但是又非常重要。应着重导入流程思路业务风险，做成长期的顶层规划。

三个技术路线包括摸底、管控和稽核。摸底就是要摸下自家数据资产的家底：目前有多少数据，什么应用在访问哪些数据，哪些人用什么方式在对数据进行管理，这些人又拥有什么样的权限；在进行了全面的摸底后，要根据摸底情况按照数据的不同类别、级别对数据进行不同级别的管控手段；最后要对数据管理进行稽核，一方面是要对数据的访问和使用情况进行实时和全面的记录，一方面要为数据安全、制度与管理手段提供依据和指导。

数据安全治理应用实践

在政务大数据共享交换、大数据应用展示、大数据挖掘、个人隐私信息、数据跨境等场景中数据安全治理都有极高的应用价值。

以某政务大数据共享交换平台安全治理为例

关注点：

资产摸底祛僵尸；分类分级促共享；数据审批收权利；行为访问识风险；

安全需求：

1、政务大数据百亿条数据交换需求；

2. 第三方云平台搭建云基础平台，缺乏体系化数据安全解决方案；

3. 数据安全不保障，系统难上线。

解决方案

1、确定范围：确定评估对象是谁；核心系统有哪些；评估数据范围包括什么；核心数据流有几个环节；

2、资产梳理：数据资产底账梳理前，该单位并不清楚实际拥有多少数据库。对现有资产进行梳理，得知目前共285个数据库。其中有85个库缺乏管理；70个高热度库中95%包含隐私和重要数据；

3、安全梳理：针对平台对数据资产进行风险扫描，通过15天大数据平台抽样结果显示，发现高危漏洞15个，数据库违规操作310次；

4、制度设计：此次制度设计由副省级领导牵头做的总纲领，直接提出虚拟组织的情况，部门的分工，绩效的范围及目标情况；

5、安全设计：通过归集、存储、接口、使用、交互、销毁六个环节结合不同的业务层次，全面梳理促进共享，做到全站式的监控；

治理价值：

政务数据全面梳理：针对政务云平台，同步规划、同步建设。摸清建设过程中数据安全风险问题；

促进政务数据交换共享：摸清各委办局数据底账，并进行分类分级，促进数据共享交换；

保障政务数据安全有效使用：针对数据归集、清洗、分发、共享开发等环节进行不同层次的防护。

全周期监控政务数据流转问题：从数据进入到流动到流出，全栈审计不留死角。