寫在開篇

自《黑神話：悟空》問(wèn)世以來(lái)，原著《西游記》再次火爆出圈。在數(shù)字經(jīng)濟(jì)蓬勃發(fā)展的當(dāng)下，企業(yè)猶如踏上西天取經(jīng)路的行者，滿懷憧憬地追尋數(shù)字化轉(zhuǎn)型的“真經(jīng)”。

隨著數(shù)據(jù)的開放共享和開發(fā)利用，數(shù)據(jù)安全問(wèn)題頻發(fā)，企業(yè)仿若歷經(jīng)九九八十一難。黑客攻擊如“妖怪”般兇猛，肆意入侵企業(yè)系統(tǒng)，竊取機(jī)密數(shù)據(jù)；數(shù)據(jù)安全事件則如“白骨精”般變幻莫測(cè)，悄無(wú)聲息卻危害巨大。

在企業(yè)的數(shù)字化征途中，數(shù)據(jù)安全治理便如唐三藏身上那襲“上嵌七寶、水火不侵、防身趨祟”的錦襕袈裟，以其無(wú)上的守護(hù)之力，成為企業(yè)不可或缺的堅(jiān)固后盾。

通過(guò)數(shù)據(jù)安全治理體系化建設(shè)，為企業(yè)編織“數(shù)據(jù)安全袈裟”，是應(yīng)對(duì)數(shù)據(jù)安全挑戰(zhàn)、實(shí)現(xiàn)數(shù)字化轉(zhuǎn)型的關(guān)鍵路徑。天融信從數(shù)據(jù)安全評(píng)估入手，貫穿治理規(guī)劃、能力建設(shè)、治理運(yùn)營(yíng)及監(jiān)督改進(jìn)四個(gè)階段，推動(dòng)企業(yè)構(gòu)建相適應(yīng)的數(shù)據(jù)安全治理能力，進(jìn)而形成完整、持續(xù)且高效的數(shù)據(jù)安全保障機(jī)制。

第一階段 治理規(guī)劃：繪制“袈裟”的藍(lán)圖

在治理規(guī)劃階段，主要確定企業(yè)數(shù)據(jù)安全治理工作的總體定位和愿景，根據(jù)企業(yè)整體發(fā)展戰(zhàn)略，結(jié)合實(shí)際情況進(jìn)行評(píng)估分析，制定數(shù)據(jù)安全規(guī)劃。

01 評(píng)估規(guī)劃：洞察“取經(jīng)路”上現(xiàn)狀與目標(biāo)差距

如同唐僧師徒在踏上取經(jīng)路前需對(duì)自身能力和面臨的困難有清晰認(rèn)知一樣，在治理規(guī)劃階段，企業(yè)應(yīng)形成內(nèi)部評(píng)估工作機(jī)制，識(shí)別業(yè)務(wù)合規(guī)目標(biāo)、明確安全需求、梳理業(yè)務(wù)現(xiàn)狀、分析安全風(fēng)險(xiǎn)，最終識(shí)別出現(xiàn)狀與目標(biāo)的差距。

02 摸清家底：掌握數(shù)據(jù)資產(chǎn)，筑牢“袈裟”根基

通過(guò)全面的業(yè)務(wù)數(shù)據(jù)梳理及安全評(píng)估，確定數(shù)據(jù)的分布、使用情況；明確數(shù)據(jù)流轉(zhuǎn)路徑，包括內(nèi)部不同部門和系統(tǒng)間以及與外部實(shí)體的數(shù)據(jù)流動(dòng)情況；明確數(shù)據(jù)所有者和使用者，確定數(shù)據(jù)的創(chuàng)建者或主要責(zé)任主體，分別列出有權(quán)訪問(wèn)和使用數(shù)據(jù)的內(nèi)部人員、部門和外部合作伙伴，并了解數(shù)據(jù)訪問(wèn)目的和權(quán)限范圍。

03 風(fēng)險(xiǎn)分析：識(shí)別威脅，強(qiáng)化“袈裟”防護(hù)功能

識(shí)別當(dāng)前面臨的主要安全風(fēng)險(xiǎn)，重點(diǎn)關(guān)注關(guān)鍵數(shù)據(jù)資產(chǎn)所面臨的威脅及所在環(huán)境的脆弱性。定期開展數(shù)據(jù)安全風(fēng)險(xiǎn)分析，結(jié)合業(yè)務(wù)場(chǎng)景，基于數(shù)據(jù)全生命周期安全防護(hù)要求，梳理并形成組織風(fēng)險(xiǎn)問(wèn)題清單，明確內(nèi)外部風(fēng)險(xiǎn)形成原因，提煉數(shù)據(jù)安全建設(shè)需求點(diǎn)。

04 策略規(guī)劃：細(xì)化策略，完善“袈裟”設(shè)計(jì)細(xì)節(jié)

細(xì)化明確數(shù)據(jù)安全風(fēng)險(xiǎn)、安全能力差距的具體改進(jìn)方法及控制策略的設(shè)定，根據(jù)主要能力差距及安全風(fēng)險(xiǎn)開展數(shù)據(jù)安全技術(shù)保護(hù)策略的設(shè)計(jì)工作，指導(dǎo)具體的數(shù)據(jù)安全技術(shù)保護(hù)建設(shè)工作，包括：主要任務(wù)及分工、崗位及職責(zé)、管理制度和規(guī)程、考核指標(biāo)、內(nèi)外部協(xié)調(diào)機(jī)制、時(shí)間點(diǎn)要求、控制點(diǎn)及控制能力要求、控制點(diǎn)實(shí)施細(xì)則、監(jiān)督檢查及改進(jìn)機(jī)制等。

第二階段 能力建設(shè)：編織“袈裟”的經(jīng)緯線

在能力建設(shè)階段，主要對(duì)數(shù)據(jù)安全規(guī)劃進(jìn)行落地實(shí)施，建成與企業(yè)相適應(yīng)的數(shù)據(jù)安全治理能力，包括組織架構(gòu)的建設(shè)、制度體系的完善、技術(shù)工具的建立和人員能力的培養(yǎng)等。

01 組織建設(shè)：搭建“袈裟”的支撐架構(gòu)

如同構(gòu)建“袈裟”的骨架，需要為其提供穩(wěn)定的支撐結(jié)構(gòu)。在實(shí)際組織體系建設(shè)時(shí)，應(yīng)該從決策層、管理層、執(zhí)行層、參與層及監(jiān)督層等幾種常見(jiàn)的職責(zé)分配方式組織框架構(gòu)建，并以企業(yè)現(xiàn)有網(wǎng)絡(luò)安全組織架構(gòu)為基礎(chǔ)，進(jìn)行適度的調(diào)整和補(bǔ)充。

02 制度流程：編織“袈裟”的規(guī)則紋理

建立數(shù)據(jù)安全制度流程體系，需從法律法規(guī)合規(guī)性要求、業(yè)務(wù)數(shù)據(jù)安全需求及數(shù)據(jù)安全風(fēng)險(xiǎn)控制需要等方面進(jìn)行梳理。就像確定“袈裟”的編織紋理和圖案規(guī)則一樣，確保每一根線都按照規(guī)定的方式交織，最終確定數(shù)據(jù)安全防護(hù)的目標(biāo)、管理策略及具體的標(biāo)準(zhǔn)、規(guī)范、程序等。

03 技術(shù)工具：嵌入“袈裟”的防護(hù)絲線

依照企業(yè)或組織數(shù)據(jù)安全建設(shè)的方針總則，圍繞數(shù)據(jù)安全生存周期各階段的安全要求，建立與制度流程相配套的技術(shù)和工具，就像在“袈裟”中嵌入具有防火、防水、防蟲等特殊功能的絲線，以增強(qiáng)其防護(hù)性能。

04 人員能力：注入“袈裟”的守護(hù)力量

人員是數(shù)據(jù)安全建設(shè)中最重要的因素，一切數(shù)據(jù)安全管理規(guī)范、技術(shù)措施都是以人員為基礎(chǔ)開展的。從安全意識(shí)提升、制度宣貫、安全能力培訓(xùn)、數(shù)據(jù)安全能力考核等多個(gè)層面，加強(qiáng)對(duì)人員的教育培訓(xùn)，如同為“袈裟”注入守護(hù)的力量，能夠有效提升數(shù)據(jù)安全治理效能。

05 評(píng)估驗(yàn)證：檢驗(yàn)“袈裟”的質(zhì)量成色

能力建設(shè)取得一定成果后，可在組織內(nèi)部開展數(shù)據(jù)安全管理制度和技術(shù)資料收集，定期執(zhí)行檢查工具，進(jìn)行數(shù)據(jù)全生命周期的安全控制策略驗(yàn)證、安全合規(guī)要求符合性檢查和技術(shù)工具能力驗(yàn)證等。如同檢驗(yàn)“袈裟”是否具備預(yù)期的防護(hù)功能，是否符合相關(guān)的標(biāo)準(zhǔn)和規(guī)范，及時(shí)發(fā)現(xiàn)存在的問(wèn)題并進(jìn)行整改，保證數(shù)據(jù)安全治理能力建設(shè)的有效性。

第三階段 治理運(yùn)營(yíng)：身著“袈裟”，勇闖漫漫“取經(jīng)路”

在治理運(yùn)營(yíng)階段，通過(guò)不斷適配業(yè)務(wù)環(huán)境和風(fēng)險(xiǎn)管理需求，針對(duì)風(fēng)險(xiǎn)防范、監(jiān)控預(yù)警、應(yīng)急處理等內(nèi)容形成一套持續(xù)化運(yùn)營(yíng)機(jī)制，并持續(xù)優(yōu)化安全策略措施，強(qiáng)化整個(gè)數(shù)據(jù)安全治理體系的有效運(yùn)轉(zhuǎn)。

01 風(fēng)險(xiǎn)防范：以“袈裟”抵御風(fēng)險(xiǎn)侵襲

建立有效的風(fēng)險(xiǎn)防范手段，對(duì)于預(yù)防數(shù)據(jù)安全事件發(fā)生有重要作用，可以從數(shù)據(jù)安全策略制定、數(shù)據(jù)安全基線掃描、數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估三方面入手。

02 監(jiān)控預(yù)警：讓“袈裟”感知安全隱患

數(shù)據(jù)安全保護(hù)以知曉數(shù)據(jù)在組織內(nèi)的安全狀態(tài)為前提，在數(shù)據(jù)全生命周期各階段開展安全監(jiān)控和審計(jì)，建立數(shù)據(jù)安全監(jiān)測(cè)預(yù)警和數(shù)據(jù)安全事件通報(bào)機(jī)制，以實(shí)現(xiàn)對(duì)數(shù)據(jù)安全風(fēng)險(xiǎn)的防控。

03 應(yīng)急處置：修復(fù)“袈裟”的應(yīng)急措施

制定數(shù)據(jù)安全事件應(yīng)急預(yù)案，包括啟動(dòng)條件、處理流程、恢復(fù)流程以及事后教育和培訓(xùn)等。根據(jù)組織應(yīng)急規(guī)劃和規(guī)程，按照數(shù)據(jù)安全事件的危害程度、影響范圍等因素對(duì)數(shù)據(jù)安全事件進(jìn)行分級(jí)，定期進(jìn)行應(yīng)急預(yù)案演練。

04 評(píng)估發(fā)現(xiàn)：優(yōu)化“袈裟”的持續(xù)改進(jìn)

定期開展數(shù)據(jù)安全事件追蹤溯源、審計(jì)分析、策略優(yōu)化及持續(xù)改進(jìn)工作。對(duì)溯源、審計(jì)及優(yōu)化過(guò)程進(jìn)行綜合分析，作為數(shù)據(jù)安全技術(shù)保護(hù)體系的改進(jìn)依據(jù)，常態(tài)化推進(jìn)體系持續(xù)改進(jìn)。針對(duì)評(píng)估發(fā)現(xiàn)的各能力域弱項(xiàng)、缺項(xiàng)問(wèn)題，制定改進(jìn)計(jì)劃，進(jìn)行查漏補(bǔ)缺，完成問(wèn)題整改及能力提升。

第四階段 監(jiān)督改進(jìn)：守護(hù)“袈裟”，確保持久效力

在監(jiān)督改進(jìn)階段，主要是通過(guò)內(nèi)部評(píng)估與第三方評(píng)估相結(jié)合的方式，對(duì)企業(yè)的數(shù)據(jù)安全治理能力進(jìn)行評(píng)估分析，根據(jù)評(píng)估成效進(jìn)行改進(jìn)，實(shí)現(xiàn)數(shù)據(jù)安全工作的持續(xù)優(yōu)化及閉環(huán)工作機(jī)制的建立。

01 安全審計(jì)：監(jiān)督“袈裟”的日常保養(yǎng)

定期開展數(shù)據(jù)安全監(jiān)督審計(jì)，對(duì)數(shù)據(jù)安全建設(shè)過(guò)程及數(shù)據(jù)安全運(yùn)營(yíng)管理過(guò)程進(jìn)行審計(jì)，建立數(shù)據(jù)安全治理考核指標(biāo)體系，對(duì)各相關(guān)方的數(shù)據(jù)安全工作結(jié)果進(jìn)行評(píng)價(jià)；對(duì)數(shù)據(jù)安全技術(shù)保護(hù)措施的實(shí)際執(zhí)行效果及能力進(jìn)行評(píng)價(jià)，確保數(shù)據(jù)安全治理體系規(guī)劃得到有效的建設(shè)和落實(shí)。

02 評(píng)估改進(jìn)：提升“袈裟”的品質(zhì)韌性

通過(guò)內(nèi)部評(píng)估和第三方評(píng)估，客觀、公正、真實(shí)地反映組織數(shù)據(jù)安全治理能力及自我改進(jìn)能力。目前數(shù)據(jù)安全方面主要的評(píng)估包括：數(shù)據(jù)安全能力成熟度評(píng)估（DSMM）、數(shù)據(jù)安全治理能力評(píng)估、個(gè)人信息影響評(píng)估、數(shù)據(jù)出境安全評(píng)估、數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估等。

實(shí)踐案例：某能源企業(yè)數(shù)據(jù)安全保障體系研究項(xiàng)目

在某能源企業(yè)項(xiàng)目中，天融信以法規(guī)政策為指引，圍繞客戶需求為其定制化打造了數(shù)據(jù)安全治理咨詢服務(wù)，全面覆蓋了客戶4大平臺(tái)及其下的12個(gè)子系統(tǒng)。服務(wù)內(nèi)容包含數(shù)據(jù)資產(chǎn)梳理、應(yīng)用場(chǎng)景流向分析、企業(yè)整體的數(shù)據(jù)安全管理組織架構(gòu)和人員能力分析。

聚焦典型業(yè)務(wù)信息系統(tǒng)數(shù)據(jù)資產(chǎn)，天融信選用STRIDE模型建立數(shù)據(jù)安全風(fēng)險(xiǎn)模型，深度剖析數(shù)據(jù)全生命周期安全風(fēng)險(xiǎn)分析，并且以此為基礎(chǔ)規(guī)劃構(gòu)建數(shù)據(jù)安全保障體系，明確關(guān)鍵舉措和實(shí)施計(jì)劃，制定詳盡的工作指引，協(xié)助客戶精準(zhǔn)識(shí)別薄弱環(huán)節(jié)、明確發(fā)展路徑、制定改進(jìn)措施，持續(xù)提升數(shù)據(jù)安全防護(hù)水平。

在數(shù)字化的漫長(zhǎng)“取經(jīng)路”上，企業(yè)應(yīng)該如同唐僧師徒一樣，將數(shù)據(jù)安全治理視為不可或缺的“袈裟”，從治理規(guī)劃、能力建設(shè)、治理運(yùn)營(yíng)到監(jiān)督改進(jìn)各個(gè)環(huán)節(jié)精心打造、用心呵護(hù)，如此方能克服數(shù)據(jù)安全的重重挑戰(zhàn)，順利取得數(shù)字化轉(zhuǎn)型的“真經(jīng)”。

作為國(guó)家網(wǎng)絡(luò)空間安全建設(shè)的中堅(jiān)力量，天融信將不斷提升技術(shù)實(shí)力和服務(wù)水平，緊跟數(shù)據(jù)安全領(lǐng)域的發(fā)展趨勢(shì)，持續(xù)迭代核心能力與解決方案，幫助企業(yè)靈活應(yīng)對(duì)市場(chǎng)的風(fēng)云變幻，在數(shù)字化的征途中實(shí)現(xiàn)高質(zhì)量、可持續(xù)發(fā)展。