數(shù)字時(shí)代的數(shù)據(jù)資產(chǎn)安全管理

□ 文/陳興躍 劉曉滔

數(shù)字時(shí)代的數(shù)據(jù)資產(chǎn)安全管理

□ 文/陳興躍 劉曉滔

在數(shù)字經(jīng)濟(jì)時(shí)代，數(shù)據(jù)資產(chǎn)化已經(jīng)是大勢(shì)所趨，數(shù)據(jù)資產(chǎn)運(yùn)營(yíng)能力越來(lái)越成為企業(yè)核心能力的重要組成部分，關(guān)乎著企業(yè)的生存與發(fā)展。與此同時(shí)，針對(duì)數(shù)據(jù)和數(shù)據(jù)資產(chǎn)的網(wǎng)絡(luò)安全威脅也越來(lái)越頻繁、越來(lái)越復(fù)雜、越來(lái)越難以防護(hù)。新形態(tài)的安全威脅，要求企業(yè)采取新思維和新手段，數(shù)據(jù)安全治理的理念與方法應(yīng)運(yùn)而生。數(shù)據(jù)安全治理突破了傳統(tǒng)安全的范疇，更全面地覆蓋了數(shù)據(jù)全生命周期的安全管理要求，以業(yè)務(wù)需求為導(dǎo)向，對(duì)數(shù)據(jù)資產(chǎn)安全管理提供了有力支撐。

數(shù)據(jù)資產(chǎn)成為重要戰(zhàn)略資源

在以互聯(lián)網(wǎng)為代表的信息通信技術(shù)高速發(fā)展的推動(dòng)下，人類社會(huì)進(jìn)入了數(shù)字經(jīng)濟(jì)時(shí)代。寬帶網(wǎng)絡(luò)、數(shù)據(jù)中心、云計(jì)算、大數(shù)據(jù)和物聯(lián)網(wǎng)是數(shù)字經(jīng)濟(jì)發(fā)展的五大關(guān)鍵技術(shù)，數(shù)據(jù)更是數(shù)字經(jīng)濟(jì)時(shí)代的“石油”，成為關(guān)乎國(guó)家政治、經(jīng)濟(jì)、軍事、社會(huì)和文化發(fā)展的重要戰(zhàn)略資源。隨著數(shù)據(jù)的不斷生成和聚集，數(shù)據(jù)資產(chǎn)的價(jià)值越來(lái)越大，也日益成為網(wǎng)絡(luò)犯罪的重要目標(biāo)。

目前，全球?yàn)閿?shù)字經(jīng)濟(jì)的發(fā)展所進(jìn)行的數(shù)據(jù)開(kāi)發(fā)和使用也引發(fā)了越來(lái)越多的個(gè)人隱私安全、企業(yè)信息安全甚至國(guó)家安全風(fēng)險(xiǎn)。大規(guī)模網(wǎng)站數(shù)據(jù)和個(gè)人信息泄露事件屢見(jiàn)不鮮，“衍生災(zāi)害”嚴(yán)重。

美國(guó)最大的電信運(yùn)營(yíng)商威瑞森公司（Verizon）在其發(fā)表的《2015年全球數(shù)據(jù)泄露調(diào)查報(bào)告》指出，2015年全球共發(fā)生7.07億條以上敏感信息泄露，較2013年5億條敏感信息泄漏呈現(xiàn)大幅度增長(zhǎng)趨勢(shì)。同時(shí)2015年，國(guó)內(nèi)的數(shù)據(jù)泄露事件頻發(fā)，越來(lái)越多的數(shù)據(jù)泄露事件進(jìn)入人們的視線，從移動(dòng)運(yùn)營(yíng)商到酒店預(yù)訂公司，從公司到政府機(jī)構(gòu)都是數(shù)據(jù)泄露的受害者。據(jù)統(tǒng)計(jì)，2015年大部分?jǐn)?shù)據(jù)外泄泄露出自政府部門(mén)（3.07億條，43%），健康醫(yī)療機(jī)構(gòu)外泄數(shù)據(jù)為1.34億條，占19%；科技領(lǐng)域數(shù)據(jù)外泄達(dá)8400萬(wàn)條，占12%；教育領(lǐng)域外泄數(shù)據(jù)1900萬(wàn)條，占3%。攻擊者最先對(duì)準(zhǔn)的數(shù)據(jù)類型為個(gè)人身份和數(shù)據(jù)信息，約占外泄事故的53%，而22%的外泄事故以金融財(cái)務(wù)數(shù)據(jù)為目標(biāo)。賬號(hào)密碼數(shù)據(jù)占11%，存在性數(shù)據(jù)10%，而黑客活動(dòng)分子大部分以妨害行為為目的進(jìn)行外泄（4%）。

隨著國(guó)家“互聯(lián)網(wǎng)+”戰(zhàn)略的不斷推進(jìn)，移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、大數(shù)據(jù)等新技術(shù)的廣泛應(yīng)用，數(shù)據(jù)資產(chǎn)化趨勢(shì)越來(lái)越顯著。國(guó)際上對(duì)“數(shù)據(jù)資產(chǎn)管理”的定義為：數(shù)據(jù)資產(chǎn)管理（Data Asset Management，簡(jiǎn)稱DAM）是規(guī)劃、控制和提供數(shù)據(jù)及信息資產(chǎn)的一組業(yè)務(wù)職能，包括開(kāi)發(fā)、執(zhí)行和監(jiān)督有關(guān)數(shù)據(jù)的計(jì)劃、政策、方案、項(xiàng)目、流程、方法和程序，從而控制、保護(hù)、交付和提高數(shù)據(jù)資產(chǎn)的價(jià)值。數(shù)據(jù)資產(chǎn)安全管理是數(shù)據(jù)資產(chǎn)管理不可或缺的組成部分，也是數(shù)據(jù)資產(chǎn)管理的基礎(chǔ)與前提。在數(shù)字經(jīng)濟(jì)快速發(fā)展的過(guò)程中，我們要共同面對(duì)“數(shù)據(jù)安全”難題，協(xié)調(diào)好“安全”與“發(fā)展”的關(guān)系。

以數(shù)據(jù)安全管理為基礎(chǔ)管理數(shù)據(jù)資產(chǎn)

從資產(chǎn)角度看，數(shù)據(jù)的安全保存產(chǎn)生的價(jià)值非常有限，數(shù)據(jù)的價(jià)值體現(xiàn)在于使用。更進(jìn)一步講，數(shù)據(jù)的價(jià)值不僅僅在于聚合與分析，更多地在于分享、流動(dòng)。不同于自然資源，使用就是在消耗。數(shù)據(jù)的多維度疊加使用是在創(chuàng)造更多的數(shù)據(jù)資產(chǎn)，本身并沒(méi)有被消耗掉?；诜窒?，數(shù)據(jù)在流動(dòng)的過(guò)程中被不斷使用，從而不斷產(chǎn)生新的價(jià)值。由此看來(lái)，要挖掘數(shù)據(jù)的價(jià)值，必須在由數(shù)據(jù)采集、數(shù)據(jù)交換與分享、數(shù)據(jù)清洗與處理、數(shù)據(jù)使用等環(huán)節(jié)所構(gòu)成的全業(yè)務(wù)鏈條和生命周期中，確保數(shù)據(jù)與數(shù)據(jù)資產(chǎn)所有權(quán)、使用權(quán)、控制權(quán)有清晰的界定、確權(quán)和繼承，并且得到技術(shù)手段和管理體制的有力保障。這已經(jīng)不是狹義地保障數(shù)據(jù)本身的安全，而是需要在數(shù)據(jù)安全治理的范疇和體系下來(lái)實(shí)施數(shù)據(jù)資產(chǎn)安全管理。

數(shù)據(jù)安全治理是以數(shù)據(jù)的安全使用為目的的綜合管理理念，其目標(biāo)是數(shù)據(jù)安全使用。這是以數(shù)據(jù)資產(chǎn)化的視角，以數(shù)據(jù)價(jià)值體現(xiàn)為重要驅(qū)動(dòng)力的安全管理體系與方法。數(shù)據(jù)安全治理主要包括以下幾個(gè)方面的內(nèi)容：

三個(gè)需求目標(biāo)

數(shù)據(jù)安全保護(hù)、敏感數(shù)據(jù)管理、合規(guī)性：這三個(gè)目標(biāo)相比過(guò)去的防黑客攻擊和滿足合規(guī)性兩大安全目標(biāo)，更為全面和完善。只有合理地處理好數(shù)據(jù)資產(chǎn)的使用與安全，企業(yè)才能在數(shù)字經(jīng)濟(jì)時(shí)代可持續(xù)快速發(fā)展。對(duì)于數(shù)據(jù)資產(chǎn)中的敏感數(shù)據(jù)需要進(jìn)行重點(diǎn)保護(hù)和專項(xiàng)管理，敏感數(shù)據(jù)的安全管理和使用，是數(shù)據(jù)安全治理的核心主題。

四大重要環(huán)節(jié)

分類和梳理：在大數(shù)據(jù)應(yīng)用和多元化數(shù)據(jù)應(yīng)用中，會(huì)經(jīng)常面臨不同類型數(shù)據(jù)、不同規(guī)模數(shù)據(jù)、不同實(shí)效數(shù)據(jù)的重要程度和安全敏感度各不相同的復(fù)雜情況。因此，要實(shí)現(xiàn)數(shù)據(jù)的流動(dòng)與使用，就必須對(duì)數(shù)據(jù)資產(chǎn)進(jìn)行分類分級(jí)管理，按重要性、敏感度的不同，制定差異化的安全規(guī)則，采取有針對(duì)性的安全技術(shù)措施。簡(jiǎn)單的封閉和隔離不是解決之道，不僅有違“開(kāi)放與分享”這一信息社會(huì)發(fā)展的基本規(guī)律，也不符合科學(xué)發(fā)展要求。數(shù)據(jù)安全治理的核心內(nèi)容，首先是來(lái)自對(duì)數(shù)據(jù)的有效理解和分析，對(duì)數(shù)據(jù)進(jìn)行不同類別和密級(jí)的劃分；根據(jù)數(shù)據(jù)的類別和密級(jí)制定不同的管理和使用規(guī)則，盡可能對(duì)數(shù)據(jù)做到有差別和針對(duì)性的防護(hù)，實(shí)現(xiàn)在適當(dāng)安全保護(hù)下的數(shù)據(jù)自由流動(dòng)。

管控和審計(jì)：在數(shù)據(jù)分級(jí)和分類后，重要的是要描述數(shù)據(jù)的特征，以及這些數(shù)據(jù)在系統(tǒng)內(nèi)的分布，了解這些數(shù)據(jù)在被誰(shuí)訪問(wèn)，這些人是如何使用和訪問(wèn)數(shù)據(jù)的，這就需要完整的數(shù)據(jù)梳理過(guò)程。在數(shù)據(jù)有效梳理的基礎(chǔ)上，需要制定出針對(duì)不同數(shù)據(jù)、不同使用者的管理控制措施。數(shù)據(jù)的管控包含數(shù)據(jù)的收集、存儲(chǔ)、使用、分發(fā)和銷毀。除了數(shù)據(jù)管控，還需要有效地對(duì)數(shù)據(jù)的訪問(wèn)行為進(jìn)行日志記錄，對(duì)收集的日志記錄進(jìn)行定期地合規(guī)性分析和風(fēng)險(xiǎn)分析。

三大核心實(shí)現(xiàn)框架

數(shù)據(jù)安全人員組織：在數(shù)據(jù)安全治理中，首先要明確安全責(zé)任體系，落實(shí)數(shù)據(jù)資產(chǎn)安全管理的責(zé)權(quán)利，確定數(shù)據(jù)安全管理的關(guān)鍵崗位，條件具備的還應(yīng)按需成立專門(mén)的安全治理團(tuán)隊(duì)與部門(mén)，保證數(shù)據(jù)安全治理工作能夠長(zhǎng)期持續(xù)的得以執(zhí)行。同時(shí)，數(shù)據(jù)安全治理要明確數(shù)據(jù)治理相關(guān)的工作部門(mén)和角色（需求方、受眾、支持者等），使數(shù)據(jù)治理工作能夠與企業(yè)的業(yè)務(wù)體系有效融合，確保數(shù)據(jù)治理工作有的放矢。

數(shù)據(jù)安全使用的策略和流程：要以規(guī)范文件的形式明確企業(yè)（組織）內(nèi)部的敏感數(shù)據(jù)有哪些，在對(duì)敏感數(shù)據(jù)進(jìn)行分類和分級(jí)的基礎(chǔ)上，針對(duì)不同類別和級(jí)別的敏感數(shù)據(jù)采取有針對(duì)性的管理控制規(guī)則。并且對(duì)不同的作業(yè)部門(mén)和工作角色所具有的權(quán)限，以及數(shù)據(jù)使用的不同環(huán)節(jié)所要遵循的控制流程進(jìn)行定義和規(guī)范。

數(shù)據(jù)安全治理的技術(shù)支撐：是要明確在管理控制過(guò)程中，采用什么樣的技術(shù)手段幫助實(shí)現(xiàn)數(shù)據(jù)的安全管理過(guò)程，這些技術(shù)手段可以包括數(shù)據(jù)的梳理、數(shù)據(jù)的訪問(wèn)控制、數(shù)據(jù)的保護(hù)、數(shù)據(jù)的脫敏和分發(fā)、數(shù)據(jù)的審計(jì)、數(shù)據(jù)訪問(wèn)的風(fēng)險(xiǎn)分析。

全生命周期管理

從數(shù)據(jù)資產(chǎn)管理的視角看數(shù)據(jù)安全，需要貫穿數(shù)據(jù)全生命周期，提供有針對(duì)性的安全管控手段。數(shù)據(jù)資產(chǎn)安全治理主要包括四個(gè)階段：

治理規(guī)劃與計(jì)劃

數(shù)據(jù)治理成功的關(guān)鍵在于元數(shù)據(jù)管理，即賦予數(shù)據(jù)上下文和含義的參考框架。經(jīng)過(guò)有效治理的元數(shù)據(jù)可提供數(shù)據(jù)流視圖、影響分析的執(zhí)行能力、通用業(yè)務(wù)詞匯表以及其術(shù)語(yǔ)和定義的可問(wèn)責(zé)性，最終提供用于滿足合規(guī)性的審計(jì)跟蹤。元數(shù)據(jù)管理成為一項(xiàng)重要功能，讓IT部門(mén)得以監(jiān)視復(fù)雜數(shù)據(jù)集成環(huán)境中的變化，同時(shí)交付可信、安全的數(shù)據(jù)。因此，良好的元數(shù)據(jù)管理工具在全局?jǐn)?shù)據(jù)治理中起到了核心作用。

數(shù)據(jù)資產(chǎn)治理規(guī)劃首先要構(gòu)建對(duì)企業(yè)安全元數(shù)據(jù)的統(tǒng)一管理和標(biāo)準(zhǔn)化定義，通過(guò)安全元數(shù)據(jù)制定并管控企業(yè)整體的數(shù)據(jù)安全。通過(guò)規(guī)劃工作制定數(shù)據(jù)安全管理策略，明確關(guān)鍵崗位、職責(zé)范圍、操作規(guī)范、組織流程制度、權(quán)限管理、敏感數(shù)據(jù)分級(jí)分類、安全級(jí)別和策略、響應(yīng)策略等。計(jì)劃工作主要針對(duì)業(yè)務(wù)發(fā)展的需要明確數(shù)據(jù)安全管理的重點(diǎn)工作內(nèi)容和具體落實(shí)措施；采取和落實(shí)相關(guān)數(shù)據(jù)安全標(biāo)準(zhǔn)；實(shí)施對(duì)數(shù)據(jù)安全治理體系定期排查，針對(duì)數(shù)據(jù)安全隱患制定計(jì)劃并推進(jìn)落實(shí)。

圖1 數(shù)據(jù)安全治理理念框架

圖2 數(shù)據(jù)安全治理的全生命周期

資產(chǎn)加工

數(shù)據(jù)資產(chǎn)加工包括數(shù)據(jù)清洗、重要數(shù)據(jù)脫敏、元數(shù)據(jù)構(gòu)建、權(quán)限控制管理、數(shù)據(jù)整合、數(shù)據(jù)匯總等工作內(nèi)容。在此階段，數(shù)據(jù)資產(chǎn)安全治理的工作重點(diǎn)是在各個(gè)作業(yè)環(huán)節(jié)切實(shí)地落實(shí)安全管理規(guī)則，采取適當(dāng)?shù)募夹g(shù)手段進(jìn)行安全保障。

資產(chǎn)流通

數(shù)據(jù)流通也就是數(shù)據(jù)跨主體流轉(zhuǎn)環(huán)節(jié)，是安全防護(hù)的難點(diǎn)和關(guān)鍵環(huán)節(jié)，非常重要。

安全保障：流通過(guò)程中，既要流轉(zhuǎn)過(guò)程“不泄密、無(wú)隱私 、不超限、合規(guī)約”。

可追溯：又要保證，一旦出現(xiàn)數(shù)據(jù)外泄，隱私泄露等安全問(wèn)題，必須有必要的數(shù)據(jù)溯源機(jī)制，找到風(fēng)險(xiǎn)點(diǎn)和責(zé)任人。

可繼承：在數(shù)據(jù)資產(chǎn)全業(yè)務(wù)鏈條和生命周期中都需要確保資產(chǎn)權(quán)益的可繼承性，這一點(diǎn)在流通環(huán)節(jié)尤為重要。在數(shù)據(jù)資產(chǎn)流通中，確保數(shù)據(jù)與數(shù)據(jù)資產(chǎn)所有權(quán)、使用權(quán)、控制權(quán)有清晰的界定、確權(quán)和繼承，并且得到技術(shù)手段和管理體制的有力保障。

資產(chǎn)運(yùn)維

監(jiān)督與評(píng)估，是指監(jiān)督數(shù)據(jù)安全治理的實(shí)施過(guò)程，評(píng)估數(shù)據(jù)安全治理實(shí)施的符合性和質(zhì)量。通過(guò)定期開(kāi)展對(duì)數(shù)據(jù)存儲(chǔ)、傳輸、使用環(huán)節(jié)的安全審計(jì)，對(duì)數(shù)據(jù)安全管理能力進(jìn)行監(jiān)督，并且反饋監(jiān)督與評(píng)估的結(jié)果及建議，持續(xù)改進(jìn)數(shù)據(jù)安全治理的實(shí)施過(guò)程，提升數(shù)據(jù)安全治理實(shí)施的有效性。

運(yùn)維監(jiān)控，為平臺(tái)或系統(tǒng)管理者提供統(tǒng)一的數(shù)據(jù)安全監(jiān)控工具，對(duì)數(shù)據(jù)資產(chǎn)進(jìn)行全流程的整體管理；并通過(guò)流程監(jiān)控、日志分析、風(fēng)險(xiǎn)告警等多種手段全面記錄分析數(shù)據(jù)使用者的每個(gè)操作動(dòng)作。

流程制度，在數(shù)據(jù)安全治理規(guī)劃的指導(dǎo)下，針對(duì)不同的數(shù)據(jù)類型與數(shù)據(jù)對(duì)象、不同的作業(yè)角色、不同的數(shù)據(jù)使用場(chǎng)景，確實(shí)地落實(shí)規(guī)范流程、權(quán)限與職責(zé)和安全技術(shù)保障手段。

風(fēng)險(xiǎn)預(yù)警，通過(guò)對(duì)特定指標(biāo)的分析和閾值的監(jiān)控，以及對(duì)安全威脅情報(bào)的及時(shí)獲取分析，提前預(yù)判企業(yè)數(shù)據(jù)加工使用、開(kāi)放流通等環(huán)節(jié)中可能出現(xiàn)的風(fēng)險(xiǎn)，在安全隱患發(fā)作之前進(jìn)行排除和防范。

圖3 梳理前后的數(shù)據(jù)資產(chǎn)對(duì)照表

數(shù)據(jù)資產(chǎn)梳理為數(shù)據(jù)安全規(guī)范管理打下基礎(chǔ)

某保險(xiǎn)集團(tuán)中存在大量應(yīng)用系統(tǒng)對(duì)外提供保險(xiǎn)服務(wù)，對(duì)內(nèi)實(shí)現(xiàn)信息化辦公。主要包括產(chǎn)險(xiǎn)、產(chǎn)險(xiǎn)電銷、車險(xiǎn)電銷、呼叫中心、集團(tuán)、壽險(xiǎn)、壽險(xiǎn)電銷、壽險(xiǎn)深圳、XX、資產(chǎn)等業(yè)務(wù)。當(dāng)前新系統(tǒng)上線舊系統(tǒng)下線時(shí)的數(shù)據(jù)庫(kù)資產(chǎn)變更，全靠一張EXCEL表來(lái)維護(hù)。由于數(shù)據(jù)庫(kù)種類多，久而久之發(fā)現(xiàn)某個(gè)已下線的數(shù)據(jù)庫(kù)還在運(yùn)行，已上線的數(shù)據(jù)庫(kù)未在該EXCEL表中登記等現(xiàn)象，故而需要進(jìn)行一次數(shù)據(jù)庫(kù)資產(chǎn)梳理；并依據(jù)該資產(chǎn)梳理情況，完成對(duì)于數(shù)據(jù)資產(chǎn)的管控規(guī)范的制訂。（從EXCEL表中獲知的數(shù)據(jù)庫(kù)臺(tái)賬參見(jiàn)圖表3）將DBA運(yùn)維區(qū)接入交換機(jī)上聯(lián)鏈路流量和業(yè)務(wù)系統(tǒng)DMZ區(qū)域流量，通過(guò)TAP設(shè)備復(fù)制分發(fā)給數(shù)據(jù)資產(chǎn)梳理系統(tǒng)，通過(guò)數(shù)據(jù)資產(chǎn)系統(tǒng)中的“自動(dòng)發(fā)現(xiàn)”功能，智能識(shí)別流量中包含的數(shù)據(jù)庫(kù)信息。將實(shí)際“存活”的數(shù)據(jù)庫(kù)與現(xiàn)有數(shù)據(jù)庫(kù)臺(tái)賬做對(duì)比，梳理當(dāng)前數(shù)據(jù)庫(kù)管理盲區(qū)，核對(duì)臺(tái)賬。

2016年11月，結(jié)合數(shù)據(jù)庫(kù)自動(dòng)發(fā)現(xiàn)技術(shù)對(duì)某公司數(shù)據(jù)庫(kù)資產(chǎn)進(jìn)行梳理，發(fā)現(xiàn)當(dāng)前有274個(gè)數(shù)據(jù)庫(kù)未備案（未在數(shù)據(jù)庫(kù)管理員提供的數(shù)據(jù)庫(kù)清單列表中出現(xiàn)），已備案374個(gè)數(shù)據(jù)庫(kù)（但部分備案數(shù)據(jù)庫(kù)并未真實(shí)存在）。已管理數(shù)據(jù)庫(kù)僅占全部數(shù)據(jù)庫(kù)的58%，42%的數(shù)據(jù)庫(kù)屬于管理盲區(qū)。

2016年12月，由某公司科信部牽頭，網(wǎng)絡(luò)管理員、數(shù)據(jù)庫(kù)管理員配合核查追蹤后，發(fā)現(xiàn)部分?jǐn)?shù)據(jù)庫(kù)是運(yùn)維人員自己為了學(xué)習(xí)相關(guān)數(shù)據(jù)庫(kù)，自行安裝的，部分是監(jiān)控系統(tǒng)的數(shù)據(jù)庫(kù)，部分是在線的數(shù)據(jù)庫(kù)卻未備案的。同時(shí)還有部分?jǐn)?shù)據(jù)庫(kù)的資產(chǎn)登記錯(cuò)誤，部分?jǐn)?shù)據(jù)庫(kù)雖然登記在案，但實(shí)際已經(jīng)下線。通過(guò)數(shù)據(jù)庫(kù)智能發(fā)現(xiàn)的IP地址范圍，精準(zhǔn)獲得未管理數(shù)據(jù)庫(kù)個(gè)數(shù)為274個(gè)。

2017年7月，經(jīng)過(guò)清洗刪除、整合歸并，用戶更新了最新的《數(shù)據(jù)庫(kù)資產(chǎn)管理表》，當(dāng)前已備案的數(shù)據(jù)庫(kù)為595個(gè)，詳見(jiàn)圖表3。

本案例中具有兩個(gè)主要價(jià)值點(diǎn)：一是在數(shù)據(jù)資產(chǎn)安全管理中引入了數(shù)據(jù)安全治理的理念與方法，有效解決用戶無(wú)法快速梳理集團(tuán)內(nèi)部數(shù)據(jù)庫(kù)資產(chǎn)的問(wèn)題；二是促進(jìn)用戶制定運(yùn)維機(jī)的規(guī)范化使用，解決了私自安裝數(shù)據(jù)庫(kù)的問(wèn)題，減少數(shù)據(jù)泄露風(fēng)險(xiǎn)。更重要的是通過(guò)本次數(shù)據(jù)資產(chǎn)梳理建立了較為精確的資產(chǎn)臺(tái)賬。該集團(tuán)同時(shí)制訂了每周進(jìn)行資產(chǎn)梳理，完成資產(chǎn)的變化狀況追蹤措施?；诒敬钨Y產(chǎn)臺(tái)賬梳理，該集團(tuán)計(jì)劃結(jié)合網(wǎng)絡(luò)安全法中的個(gè)人隱私信息規(guī)定和集團(tuán)內(nèi)部?jī)r(jià)值信息梳理，將完成XX保險(xiǎn)系統(tǒng)的數(shù)據(jù)分級(jí)分類規(guī)范，并根據(jù)該規(guī)范，完成敏感數(shù)據(jù)的發(fā)現(xiàn)和梳理，生成敏感數(shù)據(jù)報(bào)告。在這一步完成后，將為該集團(tuán)的敏感數(shù)據(jù)安全管理規(guī)范的制訂打下基礎(chǔ)。

隨著新技術(shù)的不斷涌現(xiàn)和普及，未來(lái)必將面臨越來(lái)越多樣化的安全新威脅。要解決數(shù)據(jù)安全新問(wèn)題、抓住發(fā)展新機(jī)遇，不僅需要新的技術(shù)手段與能力，還需要新的管理理念與體制。這就是數(shù)據(jù)安全治理急待探索和發(fā)展的原因。在數(shù)字經(jīng)濟(jì)發(fā)展浪潮中，企業(yè)應(yīng)該科學(xué)地平衡好“安全”與“成本”、“安全”與“便捷”之間的對(duì)立統(tǒng)一關(guān)系，在努力保障好核心敏感數(shù)據(jù)資產(chǎn)安全的前提下，最大限度地實(shí)現(xiàn)數(shù)據(jù)的開(kāi)放與流動(dòng)，從而促進(jìn)數(shù)據(jù)資產(chǎn)的快速發(fā)展，加快企業(yè)核心業(yè)務(wù)做大做強(qiáng)的進(jìn)程，進(jìn)一步推動(dòng)我國(guó)數(shù)字經(jīng)濟(jì)的繁榮。

責(zé)任編輯：高津菁

gaojj@staff.ccidnet.com

陳興躍 中國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟秘書(shū)長(zhǎng)

劉曉滔 北京安華金和科技有限公司總裁