实践数据安全治理的关键路径

安恒信息

网络安全前沿资讯、 应急响应解决方案、技术热点深度解读

关注

1

重新定义数据安全的价值

数据安全新价值，让安全成为生产力。数据安全治理的最终目标是实现数据安全，成为数字经济发展的生产力，更准确的形容应该是相辅相成。

让数据安全成为推进发展的驱动力，而不是障碍

即数据安全做得好意味着有资格得到更多的业务机会。安全在过去一直是成本，所以几乎毫无例外，每一个创新业务、每一个创业公司、每一个创新产品一开始都不愿意做安全，因为大家首先考虑的都是活下来的问题，没有精力和资源管活得好不好的问题，而且若对安全进行投入，可能在竞争中由于开发速度更慢、开发成本更高而失败。甚至很多大型项目系统的建设也不愿意做安全。于是等产品逐渐成熟、业务逐渐做大、工程项目投入运行之后，慢慢发现很多安全的坑已经难以填补了。

在数据安全领域通过建立科学的治理模式可以改变这个现象，要点是让一个组织能处理数据的类型和规模，与其数据安全能力水平挂钩。

例如公共服务行业迫切需要利用大数据技术大幅提升技术和业务水平，造福百姓，但是这类数据又非常敏感，那么行业主管部门可以规定：处理哪些类型或多大数量的数据的组织必须证明其达到相应的数据安全能力级别要求。这样，当一个组织想要使用公共服务数据开展研究或业务之前，就需要先具备足够的数据安全能力。于是数据安全能力越高的企业，意味着有权处理更多类型和数量的数据。这样他们才会积极而且认真地去提升自己的数据安全能力，实现业务竞争力上与安全的正向挂钩。这样也才会带动整个数据安全产业发展和水平逐渐提高。

让提升数据安全水平成为自发需求，而不是被动合规

2018年之前年讲数据安全的人还不多，今天忽然全世界都在讲数据安全了。这其实与很多相关法律出台带来的合规要求有关。

满足合规的要求，是一种被动需求；即便做到合规要求，也不代表一个组织能够很好地应对不断变化的新风险。而真正从自身内在需求出发，不断提升数据安全能力的组织，才能够更好地应对不断变化的风险。如今，越来越多的企业都开始认识到了数据安全的重要性，意识到这是数字经济时代保护企业自身利益以及建立用户对企业信任的重要工作，从而形成了内生需求。如果数据安全治理能让更多组织产生内生的、实实在在提升数据安全能力的动力，而不仅仅是被动满足安全检查时的合规，才会让大家真正直面数据安全威胁，降低数据安全风险。

2

重新定义数据安全问题

从用户的角度来看，当前数据安全至少包括以下三方面问题：

数据被窃取

按照以往安全行业的基本共识，来自外界的安全威胁只占三分之一左右，三分之二的安全威胁是从组织内部发起的。根据我们的调查，在一些特定行业中内鬼窃取数据的比例还要更高。然而迄今依然有很多人把防范外部数据窃取作为数据防窃取的全部内容，而忽视对来自内部的攻击应对。仅仅强调用户侧应用软件的安全、数据通信过程加密、防火墙设个大门等，以为门外管好就行了，这是远远不够的。

数据被滥用

在大数据时代，数据和业务都在高频产生和变化，若对每一次数据访问行为都重新进行权限申请与审核，将直接扼杀业务，用户也无法接受这样的效率。因此数据安全的工作需要包括对数据滥用行为的识别、报警甚至阻止，并且有制度保障对实施滥用行为的员工进行严厉制裁。从目前曝光的数据黑灰产案件中看到，大量案件都是通过买通内部人员滥用数据权限进行数据倒卖的，而这些情况都是案发之后才被调查发现，说明这方面能力的欠缺。

数据被误用

“用户画像”是用在支持个性化服务或者保护用户安全，还是用在满足其他不良动机？在大数据分析加工的过程中，有没有人能够从中窥探到某个特定人的个人信息或者隐私？这些是防误用的内容。当前的技术和管理总体上能够控制大数据加工过程中的误用，使人们在享受大数据带来的好处的同时，把危险关在笼子里。但是现实中，还有很多企业和组织在发展的过程中忽略了这个问题，让用户感到大数据是个恐怖的恶魔。数据防误用的问题，现在被关注得更少。

3

实践数据安全治理的方法论

数据安全能力成熟度模型基于组织的数据生命周期，从组织建设、人员能力、制度流程以及技术工具四个维度，针对组织在大数据环境下的电子化数据（结构化、半结构化、非结构化数据）的数据安全过程管理。（扩展阅读：

行业首发！《数据安全能力建设实施指南》新鲜出炉

）

用数据安全的“能力成熟度”而不是安全风险来衡量一个组织的数据安全能力，能够更好地适应风险的变化情况。如果能力不够，即便今天做到了合规或解决了已知风险，明天出现新规、产品变化、威胁手段变化等还是会导致不合规或风险失控。因此，能力成熟度是更加内在的指标。通过科学的方法衡量一个组织的数据安全能力成熟度等级，用这个等级决定一个组织能够做什么、不能够做什么。当用户选择一个服务的时候，可以根据服务方数据安全能力的等级，判断把自己数据给到对方的风险大小，若可以获得同样功能的情况下他们会更愿意选择数据安全能力成熟度等级更高的服务方。

在数据共享、交换、交易、流通的过程中，可以通过双方数据安全能力成熟度等级的情况分析数据风险的变化，发起方可以据此决定是否要继续与对方进行数据流动。政府建立多部门数据共享流通促进大数据利用的机制时，可以通过组织的数据安全能力成熟度级别决定允许数据流动的方向，从而实现总体数据安全风险可控。

4

数据安全治理最佳实践指引

数据安全治理必须以组织为单位，这里“组织”指的是拥有数据、提供服务的企业或者机构，其具有相对独立和完整的管理，也能够对业务和安全负责。数据在一个组织内的不同产品业务中形成流转闭环，组织是数据流动的最小边界。组织与组织之间通过可控的制度程序或者接口实现数据的跨组织流动、共享、交易等，这时候也可以以单个组织的数据安全能力为基础，进行责任的划分或者数据流动风险的控制。

同步配套如下数据安全运营服务：

5

结束语

今天数据安全的基本思想是，让数据安全成为生产力而不是成本，让数据安全成为内生需求而不是被动合规。技术上以数据为中心，管理上以组织为单位，治理的基本抓手是能力成熟度。数据安全治理的关键是让数据安全能力和组织所能处理的数据类型和规模挂钩。