

数安智库 | 数据安全不应是单个部门的文艺汇演

数智安全行动计划

2022-10-19

数安智库

专家简介

关中华：DSI数安智库专家，安徽辰图大数据科技有限公司数据安全业务负责人。14年安全从业经验,2019年推动完成了数据安全治理体系在城市级政务场景下的落地成功。当前主要领域方向为跨向业务的数据安全落地能力研究。

近年来，数据安全需求伴随数据价值的放大和国内监管体制的逐步完善而不断上浮，据《IDC TechScape：中国数据安全发展路线图，2022》预测，中国数据安全市场以年复合增长30.2%在2026年增至28.72亿美元。数据安全市场的甲乙双方在各自赛道、领域积极的尝试、创新、探索、跨越、共识，千企千面，百花齐放。

对于甲方，相较于早期数据安全，治理能力建设已有共识之势。然而看似成熟的理论基础，但能力达成过程却实属艰难和漫长，从信息部门被安排挑起大旗，就是一系列问题的开始，责任与权力失衡，部门间业务理解隔阂，最终往往演化为信息部门的举步维艰、谨小慎微。

对于乙方，相较于早期较单一解题方案场景，数据全生命周期安全已普遍共识，“咨询+体系+技术+运营”成为当前主流解题思路。然而技术理论基础未突破数字化创新发展节奏，伴随深化的交付，技术落地的复杂度叠加于复杂业务之上，团队的体系建构能力与长效能力保障受到极大考验，最终往往虎头蛇尾，草草收场。

以我多年从业的视角来看数据安全的体系化能力建设，它既复杂又不复杂。复杂是绝对的，数据安全千头万绪，伴生于业务与行业，上层细小调整甚至会带动下层全局变化；而不复杂是相对的，若有长期战斗的决心与勇气，战略上藐视、战术上重视，并生发出自适应的实战方法，数据安全可控并非无底深渊。

我们结合以往经验，凝练总结的数据安全“三分四立”的落地方法，在相对清晰的业务战略目标之下，用相对具象的战术手段来与之应对，以保障数据安全工作的长期性。

三分，指数据的分层、分类、分级，是对数据的认知理解。

数据分类分级是数据安全治理成败的前置条件，而此项工作的实施难度是DSI调研下来业界普遍的痛点难点。我们认为数据分类分级缺少方法模型，安全团队对业务理解缺少维度，业务团队对安全理解缺少事实数据基础。

通过三分的方法，引入分层环节，黏合于分类与分级之间，使业务与安全间的衔接更为顺畅与紧密。

数据分层，侧重对组织数字化战略视角的深入理解，是以数据价值维度对业务视角下数据逻辑组合形式的直观体现；
数据分类，实则为组织战术视角的体现，是组织对数据认知深化的策略，是数据属性的业务观感；
数据分级，则为组织成本视角的体现，是在业务合规红线基础之上，安全投入成本的最优度量；

四立，指四个核心能力的建立，是数据安全长效可控的有机结合。

数据安全体系能力的驱动力需要使巧劲、需要借力打力，这就需要抓准阻碍能力增长的命门，要依托各部门协作和人员协同，通过自身改变形成内驱力，借助“三分”过程的催化作用，达成能力跨越式迭代的战略预期。

以法律及行业合规遵从为核心能力，建立组织的协同安全管理体系。通过合规条款转化为合规指标，由指标转化成跨越组织部门的控制流程和措施，将责任分解为任务，量化合规目标，达成组织数据安全治理能力底座建设的目标。
以安全风险感知与防御为核心能力，建立组织的安全技术体系。通过数据“三分”方法认知数据安全的技术保护策略，统筹设计，分重心规划，阶梯式建设，以感知与防御成效及运维复杂性为评价指标，满足安全技术对新业务与技术发展的持续响应需求。
以安全风险应对及处置为核心能力，建立组织的运营&响应体系。长效运营是数据安全治理能力维系的核心手段，运营能力成熟度是长效运营的量化控制方法，充分利用事件驱动成熟度量化指标的完善，建立快速反应能力，进而强化管理体系能力。
以数字化战略达成为核心能力，建立组织的安全监审体系。监审体系是组织战略进度感知的重要手段，是一种由虚向实的转化。体系垂直切入组织各层级，通过监审指标、范围与周期的合理设计，为数据安全干系部门理解战略意图，提供了高效、无损的信息传递窗口，亦为其他体系能力的进一步提升扫清障碍。

眼前的数据安全，更像是当下数字化浪潮下的老词新用，被赋予了太多意义，而供给市场的“热”和需求市场的“冷”，慢慢让人感受到它与传统网络安全的极大不同，数据安全不应是、也不再是任何单一部门的工作，而更需要以务实的态度，冷静、智慧、虚心地对待。当独奏会演变为交响乐，伴随着数据安全助力业务战略数字化转型的成功，对于数据安全从业者而言，将收获一份无与伦比的美妙体验。声明：本篇文章仅代表作者个人观点。