企业建设数据安全保护体系的整体思路：最基础的安全管理体系关注什么？

我想通过一系列的文章大体说明一下企业建设数据安全保护体系或者信息安全体系的整体思路。本文是第三篇，最基础的安全管理体系需要关注什么？

前面讲了，数据安全体系/信息安全体系的建设是一个持久性的工作，很难一蹴而就。但哪些是一个企业保证最基础的安全能力所最需要关注的呢？也就是说，怎样能够用最小功耗实现企业安全能力提升的最大化？虽然不同企业的信息安全建设目的不同（参考本系列第一篇），但对于最小级别来说，绝大部分的企业的建设思路实际上是类似的。

我认为一个最小化的有效的信息安全体系包括如下三个方面，访问控制与权限管理（以及日志管理）、安全漏洞管理、终端安全监控三块，以及一个复合PDCA（Plan、Do、Check、Action）的持续改善机制。

访问控制和权限管理指的是对于高敏感数据要能够采取有效的方式限制人员的访问和数据的获取。为了最小化管控成本，首先要能够识别和定义高敏感数据。不要被这个工作吓到，实际上高敏感数据很难做全，但却很容易定义。通常情况下，一个企业的高敏感数据包括两类，一些是高度机密的业务数据（如未发布的报表数据、薪酬数据、未发布的董事会决议、研究设计文档等），还有一类是客户（用户）信息（如身份证信息、银行卡信息等）。这些文件通常会散落在各个业务平台（或数仓平台），因此信息安全管理工作者首先要识别哪些是公司的核心业务平台（承载公司关键业务数据和功能的平台），然后识别这些核心业务平台和数仓平台的数据库、数据库服务器、服务器所在的网络环境和物理环境的访问管理有效。所谓访问管理有效，无非是账号申请/权限变更/账号删除有一个基本的审批流程并且能留痕（有日志记录），特权账号（如管理员账号、有批量导出高敏感数据权限的账号）能够由指定人员持有，账号的密码能够有一定的复杂度，同时所有的操作都能够由日志记录。无论是物理层、网络层、数据库层、数据库服务层都能够遵循上述基本的要求。

第二块是安全漏洞管理，安全漏洞管理主要防范外部风险。虽然安全漏洞管理是一个相对专业的领域，但好在无论是外部还是内部已经有多重安全扫描和评估公司。对于一个企业来讲，关键是具备安全漏洞管理机制，包括定期漏扫和上线扫描机制（这块涉及开发安全SDLC，后续专门介绍）

第三块比较重要的终端安全。终端安全看起来不起眼，但实际是最有风险和高管、员工最有感知的一块。这块管理重于技术。一方面需要加强整个信息安全/数据安全文化对宣传，也就是让员工认识到，敏感数据是不能随意放松的，公司是有监控的，从而让安全尽可能落地到每一个人，从安全部门走出去。当然，这块的管控比较常见的是使用数据防泄漏设备（DLP设备），通过监听关键字的方式对数据的外发和敏感事件进行监控。

以上是从实务角度出发提出的信息安全/数据安全管理的关键要素。结合这些要素，叠加一个体系层面的持续改善流程（也就是要有检查、改善的动作），不断优化，不断调优，企业就可以逐渐搭建起复合自身业务特点的信息安全/数据安全管理体系。