數(shù)據(jù)安全治理體系研究和實踐運用,安全法論文摘要：隨著(中國數(shù)據(jù)安全法〕的深切進入施行和數(shù)據(jù)要素市場化深切進入發(fā)展，數(shù)據(jù)安全治理相關(guān)技術(shù)與實踐也將得到持續(xù)發(fā)展．但是當(dāng)前為止業(yè)內(nèi)對于數(shù)據(jù)安全治理的相關(guān)實踐還未構(gòu)成統(tǒng)一的認識，相關(guān)國家及行業(yè)標(biāo)準(zhǔn)也沒有能推出，嘗試從數(shù)據(jù)安全治理實現(xiàn)目的與方式方法等方面探尋求索一種行之有效的數(shù)據(jù)安全治理實踐．提出了一套數(shù)據(jù)安全治理體系架構(gòu)，圍繞數(shù)據(jù)安全治理實踐機制的管理、技術(shù)、評估和運營等幾個方面要求逐一展開進行具體講明，并重點對數(shù)據(jù)安全治理實踐所牽涉的關(guān)鍵措施及技術(shù)要求進行了介紹．本文關(guān)鍵詞語:數(shù)據(jù)安全;數(shù)據(jù)安全治理;數(shù)據(jù)濫用;數(shù)據(jù)安全風(fēng)險控制;數(shù)據(jù)安全運營;Abstract：Withthein-depthimplementationofthe“DataSecurityLaw〞andthefurtherdevelopmentofdataelementmarketization,thetechnologiesandpracticesrelatedtodatasecuritygovernancewillalsodevelopcontinuously.However,sofar,neitheraunifiedunderstandingoftherelevantpracticesofdatasecuritygovernancehasbeenformedwithintheindustry,norrelevantnationalandindustrialstandardshavebeenintroduced.Thispaperattemptstoexploreaneffectivedatasecuritygovernancepracticefromtheaspectsofdatasecuritygovernanceobjectivesandmethods.Thispaperalsoputsforwardasetofdatasecuritygovernancesystemarchitecture,anddescribesindetailonebyonetherequirementsofdatasecuritygovernancepracticemechanismintermsofmanagement,technology,evaluationandoperation,etc.,withkeymeasuresandtechnicalrequirementsinvolvedinthepracticeofdatasecuritygovernanceintroduced.Keyword：datasecurity;datasecuritygovernance;dataabuse;datasecurityriskcontrol;datasecurityoperation;業(yè)內(nèi)等待已久的(中國數(shù)據(jù)安全法〕[1]〔下面簡稱(數(shù)據(jù)安全法〕〕在2021年6月10日正式頒布，數(shù)據(jù)產(chǎn)業(yè)發(fā)展迎來有法可依的法治發(fā)展時代．(數(shù)據(jù)安全法〕中明確提出應(yīng)“建立健全數(shù)據(jù)安全治理體系，提高數(shù)據(jù)安全保障能力〞，數(shù)據(jù)安全治理也已經(jīng)獲得業(yè)內(nèi)廣泛的關(guān)注．1、業(yè)務(wù)背景數(shù)據(jù)安全治理從治理范圍來看能夠分為國家數(shù)據(jù)安全治理和組織數(shù)據(jù)安全治理．中國信息通信研究院發(fā)布的(數(shù)據(jù)安全治理實踐指南〔1.0)〕[2]針對數(shù)據(jù)安全治理概念提出了廣義和狹義2個定義，廣義是針對國家戰(zhàn)略層面落實數(shù)據(jù)開發(fā)利用和數(shù)據(jù)安全統(tǒng)籌發(fā)展的策略，狹義則是基于數(shù)據(jù)生命周期建立涵蓋組織保障、制度規(guī)范、安全技術(shù)和人才建設(shè)等多重維度的策略．本文聚焦在組織層面的數(shù)據(jù)安全治理探尋求索，即在某個組織內(nèi)部，或者多個有數(shù)據(jù)關(guān)聯(lián)的組織之間的數(shù)據(jù)安全治理工作．一個典型的業(yè)務(wù)場景就是當(dāng)下數(shù)字建設(shè)經(jīng)過中所力推的政務(wù)數(shù)據(jù)分享．如省級政務(wù)數(shù)據(jù)分享一般都是以省大數(shù)據(jù)局或省大數(shù)據(jù)中心作為省級政務(wù)數(shù)據(jù)分享平臺建設(shè)和運營方，來拉通省內(nèi)各部門及地市單位的數(shù)據(jù)分享，以及與國家數(shù)據(jù)平臺的數(shù)據(jù)分享等．在這個場景下，政務(wù)數(shù)據(jù)的治理業(yè)務(wù)范圍就牽涉省級政務(wù)數(shù)據(jù)分享平臺，以及介入政務(wù)數(shù)據(jù)分享的各個部門及地市單位的數(shù)據(jù)業(yè)務(wù)系統(tǒng)，也包括省級政務(wù)數(shù)據(jù)分享平臺與國家平臺之間的數(shù)據(jù)分享接口的安全等．當(dāng)前數(shù)據(jù)安全治理業(yè)內(nèi)并沒有達成一個統(tǒng)一共鳴，本文嘗試從數(shù)據(jù)安全治理實現(xiàn)目的與方式方法等方面探尋求索一種行之有效的數(shù)據(jù)安全治理實踐方案．2、數(shù)據(jù)安全治理現(xiàn)在狀況2.1、業(yè)內(nèi)數(shù)據(jù)安全治理研究及實踐情況2022年發(fā)布的GB?T37988—2022(信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型〕國家標(biāo)準(zhǔn)〔簡稱“DSMM〞)[3]對于推動數(shù)據(jù)安全治理發(fā)展起到了非常積極的作用．DSMM標(biāo)準(zhǔn)提煉了一套數(shù)據(jù)安全能力成熟度評估體系，該體系涵蓋了數(shù)據(jù)安全能力、數(shù)據(jù)安全經(jīng)過和能力成熟度等級的3個維度，和1～5共5個成熟度等級，以及覆蓋采集、傳輸、存儲、處理、交換、銷毀等數(shù)據(jù)生存周期的30個數(shù)據(jù)安全經(jīng)過域等相關(guān)內(nèi)容．阿里巴巴等單位也針對性地發(fā)布了(數(shù)據(jù)安全能力建設(shè)施行指南V1.0〔征求意見稿〕〕[4]用于指導(dǎo)各單位基于DSMM標(biāo)準(zhǔn)進行數(shù)據(jù)安全相關(guān)能力的建設(shè)．(基于精準(zhǔn)治理的大數(shù)據(jù)安全治理體系創(chuàng)新〕[5]提出了一種大數(shù)據(jù)安全治理運行框架，該框架包括基于主體精準(zhǔn)化的多元共治體系、基于流程精準(zhǔn)化的科學(xué)預(yù)判體系、基于手段精準(zhǔn)化的分類處置體系和基于保障精準(zhǔn)化的動態(tài)保障體系等方面，涵蓋了組織、流程、手段和制度等大數(shù)據(jù)安全治理的主要方面．(數(shù)據(jù)安全治理實踐指南〔1.0〕〕提出了一套涵蓋規(guī)劃、建設(shè)、運營、評估等系統(tǒng)建設(shè)的各個經(jīng)過，并基于數(shù)據(jù)全生命周期的數(shù)據(jù)安全治理實踐總體視圖，覆蓋了基礎(chǔ)安全、數(shù)據(jù)全生命周期安全和數(shù)據(jù)安全戰(zhàn)略的數(shù)據(jù)安全治理參考框架，同時指南還給出了當(dāng)前業(yè)內(nèi)多家單位的典型實踐方案．另外(數(shù)據(jù)安全法〕中對開展數(shù)據(jù)安全保衛(wèi)及治理工作給出的詳細要求包括：建立健全全流程數(shù)據(jù)安全管理制度，組織開展數(shù)據(jù)安全教育培訓(xùn)，采取相應(yīng)的技術(shù)措施和其他必要措施，保障數(shù)據(jù)安全．國家網(wǎng)信辦2022年發(fā)布的(數(shù)據(jù)安全管理辦法〔征求意見稿〕〕[6]進一步明確了建立數(shù)據(jù)安全管理責(zé)任和評價考核制度，制定數(shù)據(jù)安全計劃，施行數(shù)據(jù)安全技術(shù)防護，開展數(shù)據(jù)安全風(fēng)險評估，制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，及時處置安全事件，組織數(shù)據(jù)安全教育、培訓(xùn)．總之，當(dāng)下業(yè)內(nèi)對于數(shù)據(jù)安全治理應(yīng)該涵蓋組織機構(gòu)、管理制度、安全技術(shù)及專業(yè)人員幾個方面是具有統(tǒng)一認識的．中國互聯(lián)網(wǎng)協(xié)會發(fā)布的團體標(biāo)準(zhǔn)T?ISC-0011—2021(數(shù)據(jù)安全治理能力評估方式方法〕[7]給出了一套數(shù)據(jù)安全治理能力評估框架，框架涵蓋了數(shù)據(jù)安全戰(zhàn)略、數(shù)據(jù)生命周期安全和基礎(chǔ)安全3個層面的共18個數(shù)據(jù)安全能力項，并對于每個能力項又細分為基礎(chǔ)、優(yōu)秀和先進3個等級．Gartner曾提出了一個DCAP〔以數(shù)據(jù)為中心的審核和保衛(wèi)〕的數(shù)據(jù)安全治理理念，基于該理念業(yè)內(nèi)提出過很多的以數(shù)據(jù)為中心的數(shù)據(jù)安全解決方案，這些解決方案的一個共性就是對數(shù)據(jù)進行發(fā)現(xiàn)和標(biāo)識化〔數(shù)據(jù)分類分級〕，并基于這些數(shù)據(jù)標(biāo)識進行相應(yīng)的安全策略控制．2.2、數(shù)據(jù)安全治理存在的一些主要問題業(yè)內(nèi)對數(shù)據(jù)安全治理經(jīng)過及關(guān)鍵途徑基本都有一定共鳴，并進行了一些相關(guān)實踐．但是當(dāng)前數(shù)據(jù)安全治理研究及實踐存在一些典型問題，主要有下面幾個方面．2.2.1、數(shù)據(jù)安全合規(guī)不等同于數(shù)據(jù)安全保障安全行業(yè)一個重要業(yè)務(wù)目的就是“合規(guī)〞，即遵守國家各類安全相關(guān)法律法規(guī)的要求，在數(shù)據(jù)安全領(lǐng)域也是如此．?dāng)?shù)據(jù)安全領(lǐng)域牽涉的合規(guī)要求除了既要遵守網(wǎng)絡(luò)安全相關(guān)的法規(guī)，還要遵守數(shù)據(jù)安全專有的法規(guī)．典型的數(shù)據(jù)安全法規(guī)包括：2021年剛發(fā)布的(數(shù)據(jù)安全法〕和(個人信息保衛(wèi)法〕[8]，另外國家網(wǎng)信辦發(fā)布的(網(wǎng)絡(luò)安全審查辦法〔修訂草案征求意見稿〕〕[9]也專門增補了數(shù)據(jù)安全相關(guān)要求，正式發(fā)布后也將是各關(guān)鍵信息基礎(chǔ)設(shè)施數(shù)據(jù)處理者所應(yīng)重點遵守的法規(guī)之一．另外還有很多其他法規(guī)〔如(中國民法典〕等〕也牽涉數(shù)據(jù)安全相關(guān)規(guī)定，同時有些部委和地方也會出臺面向行業(yè)或區(qū)域的數(shù)據(jù)安全相關(guān)法規(guī)，比方銀保監(jiān)會發(fā)布的(中國銀保監(jiān)會監(jiān)管數(shù)據(jù)安全管理辦法〔試行〕〕[10]、工信部發(fā)布的(移動互聯(lián)網(wǎng)應(yīng)用程序個人信息保衛(wèi)管理暫行規(guī)定〔征求意見稿〕〕[11]、天津市發(fā)布的(天津市數(shù)據(jù)安全管理辦法〔暫行〕〕[12]等．?dāng)?shù)據(jù)安全合規(guī)工作非常重要，合規(guī)也是從事數(shù)據(jù)處理事項的基本前提條件．但是數(shù)據(jù)安全合規(guī)不能等同于數(shù)據(jù)安全保障，即便符合各種相關(guān)的數(shù)據(jù)安全法規(guī)要求，不能以為數(shù)據(jù)安全就萬無一失．我們知道，數(shù)據(jù)安全防護本質(zhì)符合“木桶原理〞，即數(shù)據(jù)安全防護水平取決于數(shù)據(jù)安全所牽涉各個方面的安全防護水平的最低點，合規(guī)僅確保這個最低點能到達基本要求，也就是底線要求．另外數(shù)據(jù)安全合規(guī)檢查的粒度也直接決定了合規(guī)結(jié)果與安全效果能否一致，就算拿到了合規(guī)證明也很難確保系統(tǒng)到達數(shù)據(jù)安全防護能力要求．比方數(shù)據(jù)安全法規(guī)要求數(shù)據(jù)采集必須經(jīng)過充分受權(quán)，但實際執(zhí)行經(jīng)過是得到明示同意還是只單純進行公示．?dāng)?shù)據(jù)處理者對數(shù)據(jù)必須進行分類分級，但是實際執(zhí)行分類分級的粒度能否涵蓋了所有重要數(shù)據(jù)，能否能確保重要數(shù)據(jù)都得到有效防護．這些情況在數(shù)據(jù)安全合規(guī)評估和檢測中未必能得到充分確認．同時數(shù)據(jù)安全合規(guī)評估和檢測也與執(zhí)行評估和檢測人員本身水平及采用的評估和檢測的工具能力也有很大關(guān)系．因而，數(shù)據(jù)安全合規(guī)只能作為數(shù)據(jù)安全防護的基礎(chǔ)和底線的要求，要做好數(shù)據(jù)安全保障還需要做更多工作．2.2.2、數(shù)據(jù)安全方案不等同于數(shù)據(jù)安全防護數(shù)據(jù)安全治理還經(jīng)常存在重視數(shù)據(jù)安全設(shè)計方案和建設(shè)方案，但卻忽視數(shù)據(jù)安全防護效果的問題．編制數(shù)據(jù)安全方案是幾乎所有數(shù)據(jù)安全建設(shè)項目所必需的要求，但是很多項目都存在重建設(shè)輕運營的問題，即數(shù)據(jù)安全方案編制得比擬全面，實際建設(shè)也按方案要求進行了部署和應(yīng)用，但是數(shù)據(jù)安全治理效果能否能發(fā)揮出來、數(shù)據(jù)安全策略能否到達方案預(yù)期效果等數(shù)據(jù)安全運營階段所應(yīng)重點考察的指標(biāo)往往被忽視．2.2.3、數(shù)據(jù)安全運維不等同于數(shù)據(jù)安全運營數(shù)據(jù)安全治理實踐經(jīng)常是重視運維，很多項目基本都會要求配置駐場運維人員，但是對數(shù)據(jù)安全運營不是非常重視，甚至有些項目還經(jīng)常把運維和運營2個概念混淆不清．?dāng)?shù)據(jù)安全運營的目的是把數(shù)據(jù)安全的價值挖掘出來，但是在平常業(yè)務(wù)中，數(shù)據(jù)安全運營與數(shù)據(jù)安全運維、數(shù)據(jù)安全管理等既有部分重疊，又各有側(cè)重點．?dāng)?shù)據(jù)安全運維的核心目的就是維護好數(shù)據(jù)安全相關(guān)軟硬件產(chǎn)品，確保數(shù)據(jù)安全軟硬件產(chǎn)品正常運轉(zhuǎn)，相關(guān)故障、告警得到及時處置．通俗來講，數(shù)據(jù)安全運維是確保產(chǎn)品用起來，數(shù)據(jù)安全運營則是確保產(chǎn)品用好．以數(shù)據(jù)庫防火墻產(chǎn)品為例：數(shù)據(jù)安全運維確保防火墻運行狀態(tài)正常，沒有死機、沒有故障、沒有異常等；數(shù)據(jù)安全運營則是確保防火墻的安全防護規(guī)則始終有效，并及時剔除失效的策略．另外，數(shù)據(jù)安全運維人員技能更多強調(diào)對數(shù)據(jù)安全軟硬件產(chǎn)品的使用及維護等方面，數(shù)據(jù)安全運營人員技能則更多是側(cè)重數(shù)據(jù)安全防護與詳細業(yè)務(wù)方面．2.2.4、數(shù)據(jù)安全技術(shù)不等同于數(shù)據(jù)安全治理經(jīng)太多年研究發(fā)展，當(dāng)前已經(jīng)有很多的數(shù)據(jù)安全相關(guān)技術(shù)逐步成熟，比方加密、脫敏、數(shù)字水印、數(shù)據(jù)庫審計等等，這些技術(shù)也在絕大部分數(shù)據(jù)安全治理實踐中得以落實．但是還存在一些項目重視技術(shù)、輕視治理的問題，數(shù)據(jù)安全技術(shù)不等同于數(shù)據(jù)安全治理．?dāng)?shù)據(jù)安全技術(shù)的實踐除了依靠數(shù)據(jù)安全技術(shù)本身的技術(shù)成熟度，同時還深度依靠數(shù)據(jù)安全技術(shù)應(yīng)用的業(yè)務(wù)場景，以及數(shù)據(jù)安全技術(shù)產(chǎn)品運營人員的技能、熟練程度及責(zé)任心等．3、數(shù)據(jù)安全治理體系研究3.1、數(shù)據(jù)安全治理目的本文研究的數(shù)據(jù)安全治理目的還是限定在1個或多個組織機構(gòu)內(nèi)，面向重要數(shù)據(jù)或敏感信息的數(shù)據(jù)安全管理與控制等相關(guān)措施．典型的業(yè)務(wù)場景就是數(shù)字中各部門的數(shù)據(jù)安全治理，既包括各部門內(nèi)部數(shù)據(jù)安全治理，也包括跨部門的數(shù)據(jù)分享層面的數(shù)據(jù)安全治理．?dāng)?shù)據(jù)安全治理主要目的包括下面方面：1〕數(shù)據(jù)安全合規(guī)目的．必須知足國內(nèi)各類數(shù)據(jù)安全法規(guī)的要求，包括國家、地方及相關(guān)行業(yè)方面的法律和法規(guī)．2〕數(shù)據(jù)安全防護目的．必須確保數(shù)據(jù)安全治理所涵蓋的業(yè)務(wù)系統(tǒng)的重要數(shù)據(jù)運行安全，包括數(shù)據(jù)可靠性要求、數(shù)據(jù)防泄露要求以及數(shù)據(jù)防濫用要求等．3〕數(shù)據(jù)安全治理目的．提供涵蓋技術(shù)與管理等多層次的數(shù)據(jù)安全治理體系，確保數(shù)據(jù)安全與數(shù)據(jù)業(yè)務(wù)持續(xù)同步發(fā)展．3.2數(shù)據(jù)安全治理體系架構(gòu)本文提出一套集管理、技術(shù)、評估和運營為一體的數(shù)據(jù)安全治理體系架構(gòu)，從多個維度提出數(shù)據(jù)安全治理實踐機制，詳細架構(gòu)如此圖1所示．?dāng)?shù)據(jù)安全治理機制主要涵蓋4個維度的數(shù)據(jù)安全治理實踐機制：1〕數(shù)據(jù)安全管理機制．主要包括數(shù)據(jù)安全治理所牽涉的組織建設(shè)、人力保障和相應(yīng)的規(guī)范制度等．2〕數(shù)據(jù)安全治理技術(shù)．牽涉數(shù)據(jù)安全治理所牽涉的各個領(lǐng)域的技術(shù)及工具，主要包括數(shù)據(jù)發(fā)現(xiàn)、分類分級、數(shù)據(jù)安全防護策略、安全風(fēng)險控制及安全運營等方面．3〕數(shù)據(jù)安全治理評估．詳細牽涉評估和評價，以及針對評估和評價后的結(jié)果進行改良與提升方面的內(nèi)容．4〕數(shù)據(jù)安全運營．主要包括數(shù)據(jù)安全事件應(yīng)急處置、數(shù)據(jù)安全風(fēng)險隱患排查、數(shù)據(jù)安全威脅預(yù)警通報及數(shù)據(jù)安全審計等．圖1數(shù)據(jù)安全治理實踐機制4、數(shù)據(jù)安全治理實踐探尋求索4.1、數(shù)據(jù)安全治理管理機制數(shù)據(jù)安全治理離不開組織和人力方面的投入，因而數(shù)據(jù)安全治理管理機制需要重點落實下面方面的工作．4.1.1、組織建設(shè)需要制定數(shù)據(jù)安全治理組織機構(gòu)，明確數(shù)據(jù)安全治理所牽涉業(yè)務(wù)范圍的相關(guān)組織團隊在數(shù)據(jù)安全治理工作中的相關(guān)職責(zé)和詳細要求，建議至少應(yīng)制定下面幾個數(shù)據(jù)安全治理組織角色：1〕數(shù)據(jù)安全決策層．由整個組織高級管理人員或數(shù)據(jù)安全官等組成，負責(zé)整個組織的數(shù)據(jù)安全目的與規(guī)劃、數(shù)據(jù)安全治理全經(jīng)過的資源保障及重大事件協(xié)調(diào)與決策等職責(zé)，承當(dāng)整個組織數(shù)據(jù)安全最終責(zé)任．2〕數(shù)據(jù)安全管理層．由整個組織內(nèi)各個詳細業(yè)務(wù)部門管理人員等組成，負責(zé)詳細業(yè)務(wù)部門數(shù)據(jù)安全措施與決策的執(zhí)行，包括但不限于制定數(shù)據(jù)安全管理規(guī)范、組織制定及落實數(shù)據(jù)安全技術(shù)方案、組織數(shù)據(jù)安全業(yè)務(wù)及技能培訓(xùn)等，承當(dāng)詳細業(yè)務(wù)部門數(shù)據(jù)安全的責(zé)任．3〕數(shù)據(jù)安全執(zhí)行層．由各個詳細業(yè)務(wù)部門承當(dāng)數(shù)據(jù)安全執(zhí)行的人員組成，主要負責(zé)詳細數(shù)據(jù)安全治理相關(guān)的技術(shù)及管理措施的落實，包括但不限于數(shù)據(jù)安全技術(shù)方案與數(shù)據(jù)管理管理制度執(zhí)行、數(shù)據(jù)安全產(chǎn)品部署及運維、數(shù)據(jù)安全事件監(jiān)控及處置、數(shù)據(jù)安全漏洞排查及修復(fù)、數(shù)據(jù)安全事件溯源及分析等．4〕數(shù)據(jù)安全監(jiān)督層．由組織內(nèi)與業(yè)務(wù)部門沒有從屬關(guān)系的第三方人員組成，主要負責(zé)數(shù)據(jù)安全治理經(jīng)過與結(jié)果的監(jiān)控和審計，確保數(shù)據(jù)安全治理組織執(zhí)行的效果．4.1.2、人力保障數(shù)據(jù)安全治理除了需要相關(guān)的技術(shù)工具和產(chǎn)品，也離不開相應(yīng)的人員保障，組織建設(shè)中明確的各個數(shù)據(jù)安全治理組織角色都需要明確詳細人員保障，并制定相關(guān)人員的職責(zé)和考核要求，以及為了確保人員數(shù)據(jù)安全業(yè)務(wù)技能符合數(shù)據(jù)安全治理要求所應(yīng)該開展的人員技能培訓(xùn)及職業(yè)發(fā)展規(guī)劃等．4.1.3、規(guī)范制度數(shù)據(jù)安全治理牽涉多方面的規(guī)范制度，主要包括：1〕(數(shù)據(jù)安全管理制度〕明確各個業(yè)務(wù)系統(tǒng)所牽涉的數(shù)據(jù)安全管理范圍及責(zé)任人，以及相應(yīng)的組織保障機制等．2〕(數(shù)據(jù)分類分級規(guī)范〕對組織內(nèi)的各類業(yè)務(wù)數(shù)據(jù)，尤其是個人信息和重要數(shù)據(jù)，明確數(shù)據(jù)類別和安全級別．3〕(數(shù)據(jù)安全管理規(guī)范〕明確不同類別、不同級別數(shù)據(jù)的安全管理措施，建立涵蓋數(shù)據(jù)采集、傳輸、存儲、處理、交換、銷毀等數(shù)據(jù)生存周期的安全管理規(guī)范．4〕(數(shù)據(jù)安全運營管理規(guī)范〕明確數(shù)據(jù)安全風(fēng)險監(jiān)控措施、數(shù)據(jù)安全風(fēng)險響應(yīng)和應(yīng)急處置措施、數(shù)據(jù)安全漏洞排查、數(shù)據(jù)備份恢復(fù)等相應(yīng)措施要求．5〕(數(shù)據(jù)安全培訓(xùn)管理制度〕明確數(shù)據(jù)安全人員培訓(xùn)等相關(guān)要求．4.2、數(shù)據(jù)安全治理技術(shù)方案數(shù)據(jù)安全治理技術(shù)根據(jù)DCAP“以數(shù)據(jù)為中心的安全〞技術(shù)理念，圍繞數(shù)據(jù)的生命周期經(jīng)過，重點針對數(shù)據(jù)流轉(zhuǎn)經(jīng)過實現(xiàn)數(shù)據(jù)安全防護．?dāng)?shù)據(jù)安全治理主要的技術(shù)包括數(shù)據(jù)發(fā)現(xiàn)技術(shù)、數(shù)據(jù)分類分級技術(shù)、數(shù)據(jù)安全防護策略技術(shù)、數(shù)據(jù)安全風(fēng)險控制技術(shù)及數(shù)據(jù)安全運營技術(shù)等．4.2.1、數(shù)據(jù)發(fā)現(xiàn)技術(shù)數(shù)據(jù)安全治理的對象是數(shù)據(jù)，因而準(zhǔn)確高效發(fā)現(xiàn)需要進行數(shù)據(jù)安全治理的核心數(shù)據(jù)尤為關(guān)鍵．當(dāng)前業(yè)內(nèi)靜態(tài)數(shù)據(jù)發(fā)現(xiàn)技術(shù)〔如數(shù)據(jù)爬蟲〕已經(jīng)有很多成功應(yīng)用，當(dāng)下對于動態(tài)數(shù)據(jù)〔流轉(zhuǎn)中的數(shù)據(jù)〕的發(fā)現(xiàn)和監(jiān)控以及精準(zhǔn)辨別出個人敏感信息和重要數(shù)據(jù)的相關(guān)技術(shù)還存在一些技術(shù)挑戰(zhàn)，動態(tài)數(shù)據(jù)發(fā)現(xiàn)依靠于數(shù)據(jù)血緣等大數(shù)據(jù)相關(guān)技術(shù)，精準(zhǔn)數(shù)據(jù)辨別主要依靠于正則表示出式等特征匹配技術(shù)，這些技術(shù)手段當(dāng)下還存在如誤判、漏判以及性能瓶頸等相關(guān)問題．4.2.2、數(shù)據(jù)分類分級技術(shù)數(shù)據(jù)安全治理的基礎(chǔ)就是對數(shù)據(jù)進行合理的分類分級，不同類別級別數(shù)據(jù)進行不同程度的數(shù)據(jù)安全控制，有助于避免對所有數(shù)據(jù)進行無差異不同的安全措施，降低整體數(shù)據(jù)安全治理成本，到達對關(guān)鍵數(shù)據(jù)進行精準(zhǔn)控制的目的．?dāng)?shù)據(jù)分類分級的前提是制定數(shù)據(jù)分類分級標(biāo)準(zhǔn)，然后是對數(shù)據(jù)進行類別級別的數(shù)據(jù)打標(biāo)．該技術(shù)實現(xiàn)的難點在于數(shù)據(jù)標(biāo)簽怎樣能在不影響正常數(shù)據(jù)業(yè)務(wù)的前提下隨數(shù)據(jù)流轉(zhuǎn)經(jīng)過進行標(biāo)簽流轉(zhuǎn)，并確保數(shù)據(jù)流轉(zhuǎn)經(jīng)過中數(shù)據(jù)標(biāo)簽不會被業(yè)務(wù)丟棄或篡改．4.2.3、數(shù)據(jù)安全防護策略技術(shù)數(shù)據(jù)安全治理的關(guān)鍵措施就是對不同類別級別數(shù)據(jù)執(zhí)行不同的數(shù)據(jù)安全防護策略，常見的數(shù)據(jù)安全防護策略包括數(shù)據(jù)加密、數(shù)據(jù)脫敏、數(shù)字水印、數(shù)據(jù)訪問控制等．?dāng)?shù)據(jù)安全治理中的數(shù)據(jù)安全防護策略需要做到數(shù)據(jù)全生命周期的安全防護，即需要基于數(shù)據(jù)分類分級標(biāo)簽，基于類別和級別進行相應(yīng)的數(shù)據(jù)安全防護策略控制，確保數(shù)據(jù)流轉(zhuǎn)經(jīng)過中各個階段能采用完全一致的數(shù)據(jù)安全控制措施，如在數(shù)據(jù)分享經(jīng)過中，部門A數(shù)據(jù)分享給部門B，部門B需要基于數(shù)據(jù)的類別與級別采取與部門A一樣的安全控制措施．但是怎樣確保安全措施的一致性，詳細實踐方案能夠考慮采用部署集中數(shù)據(jù)安全控制中心的方案，對整個組織內(nèi)的數(shù)據(jù)安全防護策略進行統(tǒng)一控制和施行．4.2.4、數(shù)據(jù)安全風(fēng)險控制技術(shù)數(shù)據(jù)安全防護策略并不能保證數(shù)據(jù)的絕對安全，尤其是對于數(shù)據(jù)濫用方面，常見的數(shù)據(jù)安全防護策略很難防備，因而基于大數(shù)據(jù)技術(shù)的數(shù)據(jù)安全風(fēng)險控制技術(shù)能夠進行有效補充．?dāng)?shù)據(jù)安全風(fēng)險控制技術(shù)主要通過在數(shù)據(jù)流轉(zhuǎn)的各個關(guān)鍵環(huán)節(jié)部署數(shù)據(jù)探針等采樣數(shù)據(jù)，同時結(jié)合數(shù)據(jù)業(yè)務(wù)提煉數(shù)據(jù)安全業(yè)務(wù)模型，對數(shù)據(jù)流轉(zhuǎn)經(jīng)過中潛在的數(shù)據(jù)泄露、數(shù)據(jù)濫用行為進行防備．?dāng)?shù)據(jù)安全風(fēng)險控制技術(shù)還能夠與安全威脅情報相結(jié)合，對于可能泄露到外網(wǎng)的關(guān)鍵數(shù)據(jù)進行風(fēng)險分析與預(yù)警．4.2.5、數(shù)據(jù)安全運營技術(shù)數(shù)據(jù)安全運營是數(shù)據(jù)安全治理不可或缺的一個環(huán)節(jié)，數(shù)據(jù)安全運營環(huán)節(jié)牽涉很多詳細技術(shù)，華而不實數(shù)據(jù)安全態(tài)勢分析和預(yù)警通報是最常用的技術(shù)措施之一．?dāng)?shù)據(jù)安全態(tài)勢分析主要采集數(shù)據(jù)安全防護及數(shù)據(jù)安全風(fēng)險控制產(chǎn)品相關(guān)安全風(fēng)險數(shù)據(jù)，對數(shù)據(jù)安全風(fēng)險進行匯總分析，并結(jié)合安全風(fēng)險對數(shù)據(jù)業(yè)務(wù)影響程度進行風(fēng)險優(yōu)先級排序，確保高風(fēng)險的安全事件得到最優(yōu)先的處置．同時數(shù)據(jù)安全態(tài)勢分析還需要實現(xiàn)數(shù)據(jù)安全事件處置的閉環(huán)跟蹤，即需要能夠關(guān)聯(lián)數(shù)據(jù)安全事件處置責(zé)任人，并對一些基本的安全事件進行自動緊急處置〔如關(guān)閉業(yè)務(wù)等〕．?dāng)?shù)據(jù)安全預(yù)警通報核心是基于數(shù)據(jù)安全漏洞排查、數(shù)據(jù)安全威脅情報等信息對組織內(nèi)的數(shù)據(jù)業(yè)務(wù)系統(tǒng)存在的潛在數(shù)據(jù)安全威脅進行風(fēng)險辨別及預(yù)警通報，提早防備相關(guān)數(shù)據(jù)安全威脅．4.3、數(shù)據(jù)安全治理評估機制數(shù)據(jù)安全治理評估機制是檢查數(shù)據(jù)安全治理效果的最有效措施，評估機制主要包括評估與評價措施和改良與提升措施2個方面．?dāng)?shù)據(jù)安全評估措施主要包括：確定評估的目的數(shù)據(jù)及所牽涉的應(yīng)用系統(tǒng)和人員，梳理數(shù)據(jù)全生命周期經(jīng)過及所牽涉的數(shù)據(jù)安全技術(shù)與管理措施，分析各個數(shù)據(jù)流轉(zhuǎn)環(huán)節(jié)數(shù)據(jù)安全措施的有效性，輸出數(shù)據(jù)安全評估分析報告．?dāng)?shù)據(jù)安全評價措施在數(shù)據(jù)安全評估措施的基礎(chǔ)上對數(shù)據(jù)安全治理能力和效果進行打分評價．另外DSMM標(biāo)準(zhǔn)能夠作為數(shù)據(jù)安全評估和評價措施的一個重要參考材料，該標(biāo)準(zhǔn)提煉出的30個安全經(jīng)過域基本涵蓋了數(shù)據(jù)安全評估經(jīng)過的各個環(huán)節(jié)，標(biāo)準(zhǔn)對數(shù)據(jù)安全能力成熟度模型的定級可以以作為評價結(jié)果的重要參考．對于數(shù)據(jù)安全評估與評價發(fā)現(xiàn)的問題需要及時采取相應(yīng)的改良與提升措施，詳細工作包括：明確改良與提升的責(zé)任人，制定數(shù)據(jù)安全改良與提升方案及工作計劃，對于改良與提升后的結(jié)果進行審計和總結(jié)等．?dāng)?shù)據(jù)安全治理評估機制不是一個一次性的任務(wù)，而是需要根據(jù)數(shù)據(jù)業(yè)務(wù)發(fā)展情況定期或不定期開展．假如數(shù)據(jù)業(yè)務(wù)發(fā)展比擬平穩(wěn)，能夠考慮1個季度開展1次評估；假如某段時間較多數(shù)據(jù)業(yè)務(wù)上線，或者某個重要數(shù)據(jù)業(yè)務(wù)出現(xiàn)較大變更等情況可以以及時進行數(shù)據(jù)安全評估．4.4、數(shù)據(jù)安全治理長效運營數(shù)據(jù)安全治理與數(shù)據(jù)業(yè)務(wù)發(fā)展嚴(yán)密相關(guān)，這也導(dǎo)致數(shù)據(jù)安全治理不是一個短期的一蹴而就的工作，而是需要長期持續(xù)運營．?dāng)?shù)據(jù)安全治理運營的核心工作包括應(yīng)急處置、隱患排查、預(yù)警通報和安全審計等幾個方面．4.4.1、應(yīng)急處置對于數(shù)據(jù)安全治理經(jīng)過中發(fā)現(xiàn)的各類數(shù)據(jù)安全事件和威脅隱患能夠及時進行閉環(huán)處置，確保數(shù)據(jù)安全威脅得到解除，降低數(shù)據(jù)安全事件對數(shù)據(jù)業(yè)務(wù)的影響程度．?dāng)?shù)據(jù)安全應(yīng)急處置詳細措施需要根據(jù)數(shù)據(jù)安全事件根本原因進行針對性處理，常見措施包括修復(fù)數(shù)據(jù)業(yè)務(wù)系統(tǒng)安全漏洞、改良數(shù)據(jù)處理業(yè)務(wù)流程、完善數(shù)據(jù)管理措施與制度等．4.4.2、隱患排查數(shù)據(jù)安全隱患排查工作需要定期或基于數(shù)據(jù)安全威脅情報實時開展，主要是針對數(shù)據(jù)業(yè)務(wù)系統(tǒng)及數(shù)據(jù)處理流程中能否存在數(shù)據(jù)泄露、數(shù)據(jù)損毀或數(shù)據(jù)濫用等方面的漏洞進行檢查，隱患排查還能夠借助相關(guān)數(shù)據(jù)安全漏洞掃描等工具輔助進行．4.4.3、預(yù)警通報預(yù)警通告要求數(shù)據(jù)安全運營人員對未發(fā)生的各類數(shù)據(jù)安全威脅進行提早處置，詳細措施能夠借助數(shù)據(jù)安全運營相關(guān)技術(shù)工具進行威脅預(yù)測分析及漏洞檢測．4.4.4、安全審計安全審計是數(shù)據(jù)安全措施合規(guī)及有效性的根本保障，數(shù)據(jù)安全審計一方面要求配置獨立的安全審計人員，另一方面也要求保障審計工作的規(guī)范性和專業(yè)性．?dāng)?shù)據(jù)安全審計規(guī)范性要求主要具體表現(xiàn)出在審計經(jīng)過的嚴(yán)謹性和審計材料的可靠性〔不會被隨意篡改或損毀〕等方面，數(shù)據(jù)安全審計專業(yè)性則要求審計人員具備專業(yè)的數(shù)據(jù)安全業(yè)務(wù)知識，能夠?qū)?shù)據(jù)安全管理、技術(shù)等處置措施的規(guī)范性及結(jié)果有效性進行準(zhǔn)確研判．5、結(jié)束語近年來數(shù)據(jù)已經(jīng)成為國家重要的新型生產(chǎn)要素[13]，數(shù)據(jù)要素的數(shù)據(jù)安全治理還處于初期研究階段，同時針對人工智能等新型技術(shù)領(lǐng)域的數(shù)據(jù)安全治理研究也在持續(xù)深切進入[14]，一些相關(guān)的技術(shù)〔如隱私安全計算、數(shù)據(jù)安全溯源等〕還處于發(fā)