數(shù)據(jù)安全治理 從概念走向落地

■本刊記者 趙志遠

4月26日，第三屆中國數(shù)據(jù)安全治理高峰論壇在京舉辦，本屆峰會以“共享數(shù)據(jù)價值·共擔安全責任”為主題，并發(fā)布《數(shù)據(jù)安全治理白皮書》2.0和《數(shù)據(jù)安全治理建設(shè)指南》，助力企業(yè)機構(gòu)提升數(shù)據(jù)安全防護能力，讓數(shù)據(jù)安全治理從概念走向落地。

當前，隨著互聯(lián)網(wǎng)+的快速推進，IT系統(tǒng)與企業(yè)業(yè)務(wù)深度融合，數(shù)據(jù)正成為企業(yè)業(yè)務(wù)的核心資產(chǎn)，也越來越受到重視。與此同時，針對數(shù)據(jù)的威脅也在與日俱增，特別是近年來持續(xù)爆發(fā)的勒索軟件攻擊事件尤為突出。

安華金和創(chuàng)始人兼CEO 劉曉韜

數(shù)據(jù)保護成為業(yè)界關(guān)注的重點，相關(guān)法律法規(guī)的出臺，也在政策導(dǎo)向上為數(shù)據(jù)安全治理帶來規(guī)范，幫助企業(yè)實現(xiàn)數(shù)據(jù)安全合規(guī)，提升

數(shù)據(jù)安全防護與資產(chǎn)管理能力。

數(shù)據(jù)治理離不開企業(yè)、用戶、監(jiān)管機構(gòu)的共同努力，特別是近年來數(shù)據(jù)安全治理理念的提出到實踐落地，逐步開花結(jié)果，更是各方力量共同協(xié)作的結(jié)果。

從歷屆中國數(shù)據(jù)安全治理高峰論壇的發(fā)展歷程可以看到，數(shù)據(jù)安全治理經(jīng)歷了從無到有，從概念到落地的深入推進過程。據(jù)安華金和創(chuàng)始人兼CEO劉曉韜介紹，在第一屆論壇時，數(shù)據(jù)安全治理還處于概念的階段，人們的認知度并不是很高，但時至今日，勒索病毒的大爆發(fā)，給企業(yè)機構(gòu)帶來巨大損失，同時，網(wǎng)絡(luò)安全法、歐盟的GDPR等法律法規(guī)的出臺，以及個人信息保護法和數(shù)據(jù)安全法也已提上立法計劃，對數(shù)據(jù)安全來說，其認知度和保護工作都上升到新的高度。

數(shù)據(jù)安全治理是通過組織構(gòu)建、規(guī)范制定、技術(shù)支撐等要素共同完成的數(shù)據(jù)安全建設(shè)的方法論。劉曉韜表示，組織、技術(shù)、規(guī)范是數(shù)據(jù)安全治理的鐵三角（如圖1所示）。因此，數(shù)據(jù)安全治理需要國家及行業(yè)監(jiān)管機構(gòu)、國家及行業(yè)規(guī)范、產(chǎn)品技術(shù)公司三方面的通力合作。

圖1 數(shù)據(jù)安全治理的鐵三角

在行業(yè)落地上，就特別需要相關(guān)組織機構(gòu)、相關(guān)法律規(guī)范及行業(yè)規(guī)范的建立和制定。在劉曉韜看來，政府、金融等行業(yè)由于存在完善的組織機構(gòu)，相關(guān)的數(shù)據(jù)保護法律規(guī)范的制定和落地都較為成熟，例如銀保監(jiān)會發(fā)布了《銀行業(yè)金融機構(gòu)數(shù)據(jù)治理指引》等。在醫(yī)療、教育等行業(yè)，相關(guān)規(guī)范也在逐步完善。但在企業(yè)側(cè)，相對來說還缺乏統(tǒng)一的管理措施，很難從行業(yè)的法規(guī)角度落地，數(shù)據(jù)保護工作的落地還較為困難，尚有許多工作要做。

從企業(yè)規(guī)模來看，大、中、小型企業(yè)數(shù)據(jù)安全治理理念是不同的。大型企業(yè)往往具備足夠的資金、技術(shù)及專業(yè)人員等的優(yōu)勢，數(shù)據(jù)保護體系相對較為完善；而中小企業(yè)特別是小企業(yè)，由于客觀條件限制，數(shù)據(jù)安全工作推進較為困難。因此，劉曉韜認為，小型企業(yè)無需做過度體系化的防護，而應(yīng)抓住核心問題，如合規(guī)和審計，防范外部攻擊外，還需部署數(shù)據(jù)庫防火墻等產(chǎn)品，在核心業(yè)務(wù)數(shù)據(jù)上加強防護；中型企業(yè)除以上部署外，還應(yīng)考慮第三方運維的安全管控、第三方數(shù)據(jù)共享的脫敏問題等。

針對第三方產(chǎn)品的供應(yīng)鏈安全問題，安華金和還將與SaaS廠商合作推出應(yīng)用系統(tǒng)公有化、數(shù)據(jù)存儲私有化的數(shù)據(jù)安全解決方案，以保障企業(yè)核心數(shù)據(jù)安全。

數(shù)據(jù)安全治理理念自2016年安華金和在國內(nèi)首次提出后，歷經(jīng)三年發(fā)展，已經(jīng)獲得越來越多的關(guān)注和認可，數(shù)據(jù)安全治理需要方法論，更需要實踐落地。論壇上發(fā)布的《數(shù)據(jù)安全治理白皮書》2.0同1.0相比進行了更多完善，并系統(tǒng)探討國內(nèi)外數(shù)據(jù)安全相關(guān)標準與框架，匯集了多個行業(yè)標桿數(shù)據(jù)安全治理實踐，通過方法與實踐的結(jié)合，可以為企業(yè)進行數(shù)據(jù)安全建設(shè)的設(shè)計與實施提供參考方案及案例實踐。

數(shù)據(jù)安全治理近年來得到了越來越多的實踐落地，但數(shù)據(jù)保護的道路還很漫長，也希望有更多企業(yè)組織的參與，為數(shù)據(jù)安全保障匯聚力量。