《数据安全治理建设指南》精简版

《数据安全治理建设指南》作为数据安全建设落地的指引，以实际经验为基础，将制度规范与技术工具有效融合，从能力维度、执行维度、场景维度三个维度提出数据安全治理建设工作的落脚点。可以为从事数据安全治理体系建设的企业单位和准备建设数据安全治理体系的企业和政府单位，提供参考。

《数据安全治理建设指南》精简版

数据安全治理（Data Security Governance 简称：DSG）,主要目标是“让数据使用更安全”，只有合理的处理好数据资产的使用与安全，政府与企业才能在新的数据时代稳健而高速发展。

围绕“让数据使用更安全”的核心目标，重点关注数据的权限和数据应用的场景，帮助用户完成数据安全治理体系的建设。

数据安全治理并非单一产品或平台的构建，而是覆盖数据全部使用场景的数据安全治理体系建设。因此，需要按步骤、分阶段的逐渐完成。数据安全治理并不是一个项目，而更像是一项工程。为了有效实践数据安全治理，形成数据安全的闭环，我们需要一个系统化的过程完成数据安全治理的建设。

数据安全治理体系框架

数据安全治理不仅仅是一套用工具组合的产品级解决方案，而是从决策层到技术层，从管理制度到工具支撑，自上而下贯穿整个组织架构的完整链条。组织内的各个层级之间需要相互协作，对数据安全治理的目标和宗旨达成共识，并从能力、执行、场景三个维度建设数据安全治理体系，以最有效的方式保护信息资源，数据安全治理体系框架如下图：

●能力维度：完善的组织机构、有针对性和可行的管理制度和规范、全面和先进的数据安全技术，是构建数据安全治理体系的基础。

●执行维度：针对数据使用的各个场景，需要通过梳理来了解数据资产状况和风险；配合制度规范要求，采用不同的安全技术手段进行数据使用过程中的管控，同时要监控使用过程，对访问行为进行稽核，并不断完善。

●场景维度：数据安全治理涵盖数据在日常使用过程中面临的各种场景，具体包含开发测试、运维、共享、分析、应用访问、内部特权访问等场景。

一、能力维度

●组织建设：组织的职责可划分为数据安全策略的决策、数据的安全管理、数据安全使用的监督三类，根据不同职责分配角色和人员。

●治理评估：组织在进行规划过程中，应定期通过业务合规性评估手段开展咨询评估工作，对业务系统和数据安全进行全面检测，并对评估结果进行安全能力分析，从而形成业务系统数据安全能力评估报告。

●制度建设：将制度、规范按照方针政策、制度规范、操作明细、基础模板四类进行分类，形成树状结构，便于管理。

●技术建设：数据安全技术，支撑制度规范的执行与监控，技术工具建议使用标准的数据安全产品或平台，也可以是自主开发的组件或工具；技术工具应覆盖数据使用的各个场景中的数据安全需求。

二、执行维度

●资产梳理

此过程是数据安全治理全维度的基础，因为，只有摸清资产使用部门和角色、数据资产的分布、数据量级、访问权限、数据使用状况，才能够有效的针对数据进行精细化的安全管控。

●行为管控

此过程是结合业务流程，在数据流转中的数据访问、数据运维、数据传输外发、数据存储等各环节做到内外兼顾，并对数据处理/使用环节中的数据进行安全保护。

●治理稽核

稽核是保证数据安全治理规范落地的关键，也是信息安全管理部门的重要职责。因此，此环节是保障数据安全治理的策略和规范能否被有效执行和落地，以及最终实现数据安全治理全流程的闭环。

三、场景维度

数据安全治理的场景，是要明确在数据安全治理的过程中以场景化方式指导安全技术进行落地。所以在场景维度，必须首先分析用户业务场景，包含但不限于如：开发测试、数据运维、数据分析、应用访问、特权访问等场景，然后按照能力维度中所梳理的资产、数据、用户、权限等内容导入到场景化，包括早期策略制定前的数据梳理工具，数据访问过程控制中，采用什么样的技术手段帮助实现数据的安全管理过程，以及在后期对数据安全治理工作进行稽核的过程中采用什么样的技术工具进行辅助监管。结合数据安全治理工具帮助完成数据安全治理工作。

纠正和优化数据安全治理体系

数据安全没有绝对的安全，只是在某一时期相对安全。因此，数据安全治理体系的建设也并非一次可以完成，需要根据信息化建设的变化和政策的要求持续不断的完善，来应对可能发生的数据安全风险，满足政策的要求。

对当前的数据资产情况进行进一步的梳理，看是否有增加的资产或访问角色；对稽核的情况进行梳理，看是否有未纳入管理的数据访问行为；观测最新的相关安全规范的变化情况，看是否有需要新增或移除的外部安全策略；了解新的业务系统或组织结构，看数据的访问权限和行为方式是否改变；根据以上情况，改组当前的数据安全组织结构，修订当前的数据安全策略和规范，持续保证安全策略的落地。

为了消除在数据安全治理体系运行中发现的不符合项，必须及时采取纠正性措施。为此，应采取措施找到问题的原因，消除引发问题出现的根源，防止其再次发生。持续不断的优化数据安全治理过程，从而整体提升企业或政府的数据安全防护能力。