重磅启「新」 | 亿赛通“分·放·管·服”数据安全建设理念V2.0版，焕新出发

随着数字经济的快速发展，围绕数据安全的《中华人民共和国数据安全法》、《数据出境安全评估办法》、《网络数据分类分级要求》等法律法规和标准的陆续颁布，数据安全发展的政策趋势越来越明朗，但要落实到企业实践当中，还必须有科学的方法做为指导，才能让数据安全和业务融合在一起，数据跑的放心，安全做的有价值。

2020

亿赛通全新提出“分·放·管·服”核心数据安全建设理念，分别从制度和技术角度为客户建立数据安全防线,制度主建, 技术主战,对数据和人实现分权分责分风险,形成放权管责相结合的态势,做到要素服务保支撑,持续安全可运营,确保数据安全流转产生价值,共建数据安全大生态。

2023

亿赛通 “分·放·管·服”数据安全建设理念V2.0版正式发布，以“数据和人”为对象构建的数据治理、防护、流转、运营的双闭环体系，帮助企业形成扎实可靠的综合数据安全能力，为企业数据资产从产生价值到保值、增值的建立重要保障。

第一个闭环是从业务源头落实对数据分类分级、对人分权分责，制定和实施不同的策略，通过放管结合，构建动态的、主动的、智慧的、可运营的数据安全服务于业务的体系，形成“分放管服”的正反馈闭环。

第二个闭环是从制度层和技术层同时入手，制度主建指导数据安全体系建设，做到有规可依，技术主战保障制度实施，做到有规必依，违规必纠；通过技术不断发现风险补制度漏洞，优化制度，通过制度对技术创新提要求，形成制度和技术的循环优化闭环。

分

“分”有多重含义，首先要把管人和管数据分开，制定不同的制度，应用不同的技术。对于数据要进行分类分级，识别数据属性、所有权，依法并依据企业实际业务归类，根据敏感或重要程度分级，逐渐形成重要数据资产化，重要信息敏感化，然后根据类和级定策略进行保护。不同行业数据模型有很大差别，基本原则是一样的。对于人要区分对象，分清职责和权限，权责对等，并减少特权账户，根据职责和权限匹配业务策略，匹配数据策略，确保权责和数据重要程度匹配，和业务的重要性匹配，有利于保障业务在保证数据安全的情况下畅通运行。“分”是源头，非常重要。对数据和人的“分”做好了，就为后面的“放”和“管”打好了基础。

放

“放”是明确数据自由流动程度及合规账户能做什么，“放”的目的是为了业务的便利性，让数据快速高效的运转服务于业务。最基本的安全意识告诉我们不能随便对任何数据和行为进行放行，一定建立在“分”的基础上，即做好了数据分类分级、账户分权分责之后制定“放”的策略，并且配备有识别机制根据策略选择放行，不是无脑放行 。“放”一定是有规则和标准以及事后管理的，一般数据和合规行为可以放行，但要配备事后要进行审计，发现问题要追溯，就像道路通行有标线有红绿灯也要配备摄像头一样。

审计的目的有三个：

一是防止新的数据和账户未做好合适的分类分级和分权分责；

二是防止特殊审批造成数据和账户权限超出安全底线；

三是审计由量变到质变引发的安全问题。

“放”是相对的，要和“管”结合来做。

管

制定制度是“管”的依据和行政工具，上安全产品是“管”的技术工具，分类分级和分权分责是确定对象和范围，用行政工具和技术工具管确保对象（数据和人) 在约定的范围内按制度运作就是“管” 。

“管”的技术工具有很多种，比如 DLP、加密、合规审查工具、脱敏、隔离交换、血缘分析工具等等，管理工具和业务场景及业务重要性匹配非常重要，“管”最大的问题是适度，不能一管就死，影响业务发展，影响数据流转，也不能太松，等于没管。所以做好数据安全必须充分了解业务，管控强度和业务重要性进行适配，一般数据进行放行和弱管控，重要数据需要强管控，合法合规行为可以弱管控，合法合规行为滥用必须强管控。

放管结合

“放”和“管”是动态结合的，面对复杂的业务场景、多种类大批量的数据以及频繁变化的接触数据的人，需要及时调整“放”和”管”的策略，通过放管结合化被动为主动。数据爆炸性增长，由静态数据安全管理做到动态数据安全管理，由被动数据安全管理做到主动数据安全管理，由单一数据安全管理手段做到智慧综合数据安全管理，是非常难的，需要一个不断持续加强的过程。这就需要能够时时监测到数据状态的变化以及针对数据的行为，需要“服”来完成。

服

“服”指的是数据安全制度体系和技术手段都是为企业业务服务的，业务数据是核心，确定数据的所有权、使用权和经营权，让数据能够合理合法的被使用和交易，确保数据信息不泄露、数据资产不流失，让数据在保证安全的情况被使用和交易，这就是围绕数据做安全在业务层面的意义。当然数据确权还在国家层面的积极推进当中。为了能更好地为业务本身服务，需要搭建数据安全运营管理平台，建立数据识别能力、防护能力、监测处置能力，搭配安全策略，形成综合运营能力。通过“服”发现的问题，可以为“分放管”提供更好的实战经验和依据，从而优化“分放管”，形成闭环。

亿赛通提出的“分·放·管·服”和“制度技术循环优化”双闭环建设理念，结合自身多年的数据安全建设经验，在实战中总结提炼而来，做到要素服务保支撑，帮助企业形成扎实可靠的综合数据安全能力，希望能为数据安全的发展起到借鉴作用。