01�����、研究背景
當(dāng)前我國經(jīng)濟(jì)處于數(shù)字化轉(zhuǎn)型的關(guān)鍵時期��,為了保持?jǐn)?shù)字經(jīng)濟(jì)健康可持續(xù)發(fā)展�����,國家進(jìn)行頂層設(shè)計(jì)�����,一方面從安全合規(guī)的視角指導(dǎo)各項(xiàng)數(shù)據(jù)安全工作���,另一方面要求對數(shù)據(jù)進(jìn)行分類�,重要行業(yè)和省市地方也陸續(xù)出臺數(shù)據(jù)分類分級的制度��,各行各業(yè)再根據(jù)自身情況出臺相應(yīng)的數(shù)據(jù)分類分級管理辦法進(jìn)行落地���。
數(shù)據(jù)分類已成為對數(shù)據(jù)進(jìn)行管制的核心���,對數(shù)據(jù)重要性的界定將對企業(yè)組織如何收集和使用消費(fèi)者數(shù)據(jù)產(chǎn)生巨大影響,重要數(shù)據(jù)的范圍包括并不限于經(jīng)濟(jì)運(yùn)行���、人口和健康�����、自然資源及環(huán)境�、科學(xué)技術(shù)��、安全保護(hù)�、應(yīng)用服務(wù)��、政務(wù)活動相關(guān)以及其他數(shù)據(jù)���,數(shù)據(jù)安全工作主要是保護(hù)重要數(shù)據(jù)生命周期使用過程的安全��。
因此�,數(shù)據(jù)治理安全理論既要滿足安全合規(guī),又要匹配業(yè)務(wù)系統(tǒng)數(shù)據(jù)安全�����,未來還將滿足數(shù)據(jù)共享開放安全等泛業(yè)務(wù)場景���,從而有助于企業(yè)組織更好地落地����。
02�、傳統(tǒng)數(shù)據(jù)安全治理的理論難以落地
由于傳統(tǒng)數(shù)據(jù)安全治理的理論是在數(shù)據(jù)治理的“數(shù)據(jù)價值論”理論上提出,主要是對數(shù)據(jù)治理框架中的管理制度����、框架體系和技術(shù)工具增加安全屬性,進(jìn)行數(shù)據(jù)安全能力的提升�����,實(shí)現(xiàn)業(yè)務(wù)需求與數(shù)據(jù)安全(風(fēng)險/威脅/合規(guī)性)之間平衡。其中典型理論代表有:Gartner 數(shù)據(jù)安全治理 DSG �,微軟的專門強(qiáng)調(diào)隱私、保密和合規(guī)的數(shù)據(jù)安全治理框架 DGPC���,國內(nèi)數(shù)據(jù)安全治理委員會的數(shù)據(jù)安全建設(shè)方法論���,以及2019年8月30日正式發(fā)布的《信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型》(GB/T 37988-2019)國家標(biāo)準(zhǔn),提出DSMM數(shù)據(jù)安全能力成熟度模型��。
傳統(tǒng)理論雖然將數(shù)據(jù)安全拔高到治理維度�����,從政策制度���、企業(yè)架構(gòu)及技術(shù)手段等多維度入手���,推動數(shù)據(jù)安全技術(shù)的實(shí)施,但在實(shí)際的治理過程中總會遇到種種阻礙���,整體效果也差強(qiáng)人意��,最終“雷聲大��,雨點(diǎn)小”�,實(shí)施人員也陷入難以改變現(xiàn)狀的焦慮和困惑之中,數(shù)據(jù)安全事件仍層出不窮�,數(shù)據(jù)泄漏頻發(fā),危害和影響范圍難管控��。究其原因在于傳統(tǒng)數(shù)據(jù)安全治理理論落地實(shí)踐難以快速復(fù)制����。
考慮到我國國情以及數(shù)據(jù)安全商業(yè)市場現(xiàn)狀���,主要是圍繞著解決企業(yè)組織數(shù)字化轉(zhuǎn)型過程中有關(guān)數(shù)據(jù)流轉(zhuǎn)使用的核心需求����,應(yīng)從數(shù)據(jù)的安全合規(guī)驅(qū)動��,聚焦于數(shù)據(jù)的分類分級�����、合規(guī)條款匹配和數(shù)據(jù)安全能力的對接與調(diào)度�����,更好幫助解決企業(yè)組織建立起數(shù)據(jù)安全保障體系。
對企業(yè)組織而言�����,更多的是關(guān)注數(shù)據(jù)流動過程中釋放價值��,同時保障數(shù)據(jù)處理過程中的安全基線���,以及數(shù)據(jù)共享開放的安全使用場景��。簡言之��,企業(yè)組織對數(shù)據(jù)安全工作的要求是“量體裁衣���,持續(xù)提升,高效務(wù)實(shí)����,釋放價值”,源自數(shù)據(jù)的數(shù)據(jù)治理安全理論更適合企業(yè)組織解決業(yè)務(wù)數(shù)據(jù)治理和安全的同步建設(shè)���。
1.源自數(shù)據(jù)的數(shù)據(jù)治理安全理論對比源自安全的傳統(tǒng)理論
1)以安全工具能力為主的先安全再治理
始于數(shù)據(jù)安全風(fēng)險評估的“木桶”理論建設(shè)��,主要關(guān)注的是數(shù)據(jù)在整個生命周期過程中可用性����、完整性與機(jī)密性的安全防護(hù),進(jìn)而構(gòu)建安全體系架構(gòu)����,以數(shù)據(jù)安全為核心,往往依靠投入大量的人力和成本���,采購和掌握安全工具�,進(jìn)行安全能力建設(shè)����,反而忽略業(yè)務(wù)的原生訴求��,業(yè)務(wù)部門難以滿意�����,數(shù)據(jù)安全建設(shè)的周期長���,見效慢����,未必能充分釋放數(shù)據(jù)價值。
2)以數(shù)據(jù)治理業(yè)務(wù)維度的先治理再安全
優(yōu)先厘清自身擁有數(shù)據(jù)資源的價值����,對數(shù)據(jù)資產(chǎn)要素進(jìn)行分類和定級保護(hù),依托對自有數(shù)據(jù)���、安全能力以及對開放運(yùn)營的支撐�,將不同來源的數(shù)據(jù)進(jìn)行整合����、疊加,引入多維度智能分析���,更好地完善數(shù)據(jù)安全防護(hù)體系�����,并通過更多合作伙伴一起做創(chuàng)新應(yīng)用���,業(yè)務(wù)部門也能可視化看到成果收益,“金山銀山都藏在數(shù)據(jù)湖倉里”���,真正發(fā)揮海量數(shù)據(jù)的商業(yè)價值�����。
![\" src=]()
圖1. 源于安全與源自數(shù)據(jù)對比
3)大數(shù)據(jù)流轉(zhuǎn)共享業(yè)務(wù)場景下的數(shù)據(jù)安全新挑戰(zhàn)
大數(shù)據(jù)時代��,數(shù)據(jù)呈現(xiàn)出前所未有的爆炸式增長�����,海量的數(shù)據(jù)規(guī)模����、快速的數(shù)據(jù)流轉(zhuǎn)、動態(tài)的數(shù)據(jù)體系和多樣的數(shù)據(jù)類型賦予數(shù)據(jù)前所未有的價值����。在這樣的時代背景下�����,快速高效地實(shí)現(xiàn)數(shù)據(jù)流轉(zhuǎn)共享����,釋放價值的同時還面臨數(shù)據(jù)安全新挑戰(zhàn)��。例如金融行業(yè)雖然已經(jīng)使用大數(shù)據(jù)分析工具����,提升自身風(fēng)險識別能力并降低信用風(fēng)險���,但金融行業(yè)的業(yè)務(wù)鏈條大部分過長���,其中任何一個環(huán)節(jié)出現(xiàn)數(shù)據(jù)安全的問題,都會對金融數(shù)據(jù)資產(chǎn)安全造成嚴(yán)重的威脅����。
![\" src=]()
圖2. 大數(shù)據(jù)時代數(shù)據(jù)安全新挑戰(zhàn)
2. 源自數(shù)據(jù)的數(shù)據(jù)治理安全理論對比等保2.0的數(shù)據(jù)安全建設(shè)要求
數(shù)據(jù)治理安全理論的數(shù)據(jù)安全是指以數(shù)據(jù)為中心的全生命周期的數(shù)據(jù)安全,構(gòu)建企業(yè)組織整個數(shù)據(jù)安全體系���,對數(shù)據(jù)分類分級及敏感數(shù)據(jù)全生命周期的保護(hù)�。而網(wǎng)絡(luò)安全是按邊界劃分的網(wǎng)絡(luò)����,數(shù)據(jù)相對是個無邊界的狀態(tài),從數(shù)據(jù)產(chǎn)生到數(shù)據(jù)銷毀的生命周期六個階段通過不同的技術(shù)手段去做數(shù)據(jù)安全防護(hù)����,網(wǎng)絡(luò)安全等級保護(hù)2.0的數(shù)據(jù)安全建設(shè)主要是從四個方面展開:用戶行為鑒權(quán)(加強(qiáng)對用戶行為的鑒權(quán))���、數(shù)據(jù)訪問控制(有效地建立起對數(shù)據(jù)訪問控制機(jī)制)、敏感數(shù)據(jù)脫敏(對數(shù)據(jù)本身的使用和落盤數(shù)據(jù)脫敏和加密)�����、業(yè)務(wù)或重要數(shù)據(jù)加密���,網(wǎng)絡(luò)安全的數(shù)據(jù)更多側(cè)重于用戶合法使用數(shù)據(jù)行為的安全控制��,業(yè)務(wù)的耦合度低����。
業(yè)務(wù)數(shù)據(jù)是流動的���,并伴隨業(yè)務(wù)進(jìn)行流轉(zhuǎn)�,數(shù)據(jù)安全應(yīng)和業(yè)務(wù)有更多的交互形成內(nèi)生安全或內(nèi)置安全�����,嵌入到整個業(yè)務(wù)過程中對業(yè)務(wù)數(shù)據(jù)保護(hù)��,從數(shù)據(jù)安全體系設(shè)計(jì)上梳理業(yè)務(wù)數(shù)據(jù)的脈絡(luò)�,嵌入安全能力和工具,源自數(shù)據(jù)的數(shù)據(jù)治理安全理論才能真正實(shí)現(xiàn)數(shù)據(jù)資產(chǎn)化的目標(biāo)�。
03、源自數(shù)據(jù)的共享開放驅(qū)動業(yè)務(wù)治理的發(fā)展與創(chuàng)新
數(shù)據(jù)治理安全理論的核心是數(shù)據(jù)���,數(shù)據(jù)承載著業(yè)務(wù)����、驅(qū)動著業(yè)務(wù)��,因此數(shù)據(jù)安全與業(yè)務(wù)融合����、數(shù)據(jù)安全驅(qū)動業(yè)務(wù)是未來發(fā)展趨勢;數(shù)據(jù)治理安全應(yīng)源自數(shù)據(jù)�����,將數(shù)據(jù)安全建設(shè)的防護(hù)主體定位在數(shù)據(jù)層面�,以數(shù)據(jù)為中心構(gòu)建安全體系,并將數(shù)據(jù)生命周期作為一個閉環(huán)��,進(jìn)行更為細(xì)粒度的安全防護(hù)�����,確保數(shù)據(jù)在各環(huán)節(jié)都能被有效地、動態(tài)地保護(hù)和檢測�。
針對數(shù)據(jù)全生命周期安全的全量發(fā)現(xiàn)、全鏈路管理���、全景控制的數(shù)據(jù)安全閉環(huán)�,通過AI引擎發(fā)現(xiàn)敏感信息位置����、血緣分析、分類分級���、法規(guī)遵從匹配���,根據(jù)業(yè)務(wù)、合規(guī)等因素界定�、判斷、標(biāo)定及保護(hù)重要敏感數(shù)據(jù)�����。AI引擎和動態(tài)知識庫是核心�����,只有建立常態(tài)化治理�、持續(xù)性改進(jìn)的數(shù)據(jù)安全閉環(huán),才能提升組織整體數(shù)據(jù)治理和數(shù)據(jù)安全能力����,釋放數(shù)據(jù)價值,創(chuàng)造持續(xù)健康數(shù)據(jù)治理安全生態(tài)���。
![\" src=]()
圖3. 數(shù)據(jù)安全閉環(huán)流轉(zhuǎn)圖
在數(shù)據(jù)安全閉環(huán)中���,數(shù)據(jù)分類分級是底座。企業(yè)組織立足于數(shù)據(jù)安全的現(xiàn)狀��,明確數(shù)據(jù)的分布和使用狀況���,制定自身數(shù)據(jù)分類分級要求��,實(shí)現(xiàn)數(shù)據(jù)結(jié)構(gòu)化管理和利用�,形成業(yè)務(wù)數(shù)據(jù)分類的標(biāo)準(zhǔn)化輸出����。數(shù)據(jù)分類方便于業(yè)務(wù)數(shù)據(jù)管理�,避免一刀切的控制方式�,以便后續(xù)在數(shù)據(jù)安全管理上采用更加精細(xì)化控制的安全工具。
企業(yè)組織根據(jù)數(shù)據(jù)分類分級的結(jié)果����,從管理、流程和技術(shù)等方面制定數(shù)據(jù)安全的全生命周期數(shù)據(jù)安全管控策略��,讓業(yè)務(wù)數(shù)據(jù)在共享使用和安全使用之間獲得平衡�����,對不同敏感級別的數(shù)據(jù)設(shè)置相應(yīng)訪問權(quán)限�����、加密�、脫敏、數(shù)據(jù)防泄漏等的管控策略����,大幅提升數(shù)據(jù)安全管控效率。
通過(CPI)² 框架做抓手�����,建立數(shù)據(jù)資產(chǎn)報告和目錄,在制度管理��、技術(shù)防護(hù)�����、運(yùn)行維護(hù)等多維度安全建設(shè)�����,最終實(shí)現(xiàn)數(shù)據(jù)分類分級的閉環(huán)管理�。
04�����、基于(CPI)² 框架的數(shù)據(jù)治理安全理論
(CPI)²是霍因科技聯(lián)合數(shù)世咨詢���,對超百家企業(yè)CIO進(jìn)行調(diào)研和咨詢發(fā)布的數(shù)據(jù)安全框架���,結(jié)合霍因科技在數(shù)據(jù)安全與數(shù)據(jù)治理方面沉淀的技術(shù)和對行業(yè)數(shù)據(jù)的深度理解,匹配數(shù)據(jù)安全相關(guān)法律法規(guī)和地方、行業(yè)的安全要求�����,是以合規(guī)驅(qū)動的數(shù)據(jù)安全建設(shè)落地應(yīng)用的最佳實(shí)踐?���?蚣芫唧w建設(shè)分為以下三個階段,供參考:
第一個階段是數(shù)據(jù)資產(chǎn)化:Consulting代表行業(yè)咨詢����、Capitalization代表數(shù)據(jù)資產(chǎn)化,通過行業(yè)知識庫��,輔以咨詢服務(wù)��,用人工智能的方式為企業(yè)實(shí)現(xiàn)數(shù)據(jù)分類分級和資產(chǎn)化�;
第二個階段是數(shù)據(jù)安全:Policy代表安全策略、Protection代表安全防護(hù)���,為數(shù)據(jù)資產(chǎn)制定全面的安全策略���,匹配法律法規(guī)和政策要求的安全控制能力;
第三個階段數(shù)據(jù)能力迭代:Iteration代表迭代調(diào)優(yōu)���、Improvement代表持續(xù)改善���,通過持續(xù)跟進(jìn)法律法規(guī)和政策變化��、持續(xù)學(xué)習(xí)業(yè)務(wù)邏輯的特性與管理運(yùn)作的流程�,不斷調(diào)整分類分級的結(jié)果�,使數(shù)據(jù)資產(chǎn)更加精確明晰,反復(fù)循環(huán)正向迭代的過程���,實(shí)現(xiàn)可持續(xù)發(fā)展的數(shù)據(jù)治理安全��。
![\" src=]()
圖4. (CPI)² 框架圖(源自數(shù)據(jù))
由于企業(yè)組織間的業(yè)務(wù)差異性和復(fù)雜性,要從組織級層面通盤考慮���,既不能對當(dāng)前業(yè)務(wù)的發(fā)展產(chǎn)生嚴(yán)重影響��,也要考慮到業(yè)務(wù)長遠(yuǎn)發(fā)展需要����,通過(CPI)² 框架推動企業(yè)組織實(shí)現(xiàn)業(yè)務(wù)和數(shù)據(jù)治理達(dá)到合理的平衡性���,建立數(shù)據(jù)安全合規(guī)文化和有效的合規(guī)風(fēng)險預(yù)防�����、預(yù)警及監(jiān)督機(jī)制�����,從而避免企業(yè)組織因違反相關(guān)的國內(nèi)外法律���、行業(yè)監(jiān)管指引��、制度��、規(guī)范等而導(dǎo)致的風(fēng)險���,確定實(shí)際業(yè)務(wù)數(shù)據(jù)的處理是否符合合規(guī)管理要求,是否存在數(shù)據(jù)錯誤事偽造等情況����,合規(guī)管理的實(shí)際覆蓋范圍是否全面,是否存在因業(yè)務(wù)人員自行更改數(shù)據(jù)安全策略而導(dǎo)致其失效等��,并根據(jù)具體的業(yè)務(wù)場景和各生命周期環(huán)節(jié)����,有針對性地識別并解決其中存在的數(shù)據(jù)安全問題,防范數(shù)據(jù)安全風(fēng)險��,實(shí)現(xiàn)數(shù)據(jù)安全能力的迭代,從而確保企業(yè)組織維持長久穩(wěn)定運(yùn)營�����。
05��、(CPI)² 框架實(shí)現(xiàn)數(shù)據(jù)資產(chǎn)化
“讓數(shù)據(jù)更有價值�,讓數(shù)據(jù)產(chǎn)生價值,讓價值可以量化”����,從而催生更加豐富的數(shù)據(jù)應(yīng)用場景,推動數(shù)據(jù)資產(chǎn)建立生態(tài)����,實(shí)現(xiàn)對數(shù)據(jù)資產(chǎn)的持續(xù)運(yùn)營��,推動企業(yè)組織數(shù)據(jù)資產(chǎn)的業(yè)務(wù)價值�����、經(jīng)濟(jì)價值和社會價值顯性化���,使數(shù)據(jù)真正成為企業(yè)資產(chǎn)的一部分�����,賦能業(yè)務(wù)發(fā)展����,進(jìn)一步推動企業(yè)數(shù)字化轉(zhuǎn)型。
數(shù)據(jù)資產(chǎn)是能夠?yàn)槠髽I(yè)組織產(chǎn)生價值的數(shù)據(jù)資源���,數(shù)據(jù)資產(chǎn)的形成需要對數(shù)據(jù)資源進(jìn)行主動管理并形成有效控制�,通過對數(shù)據(jù)資產(chǎn)進(jìn)行分析能夠更好地細(xì)分用戶群體���、制定銷售策略�����、服務(wù)客戶����,清晰了解當(dāng)前所服務(wù)客戶需求信息���,從而更有針對性地介紹產(chǎn)品���,提升企業(yè)組織的銷售���。
在企業(yè)組織數(shù)字化轉(zhuǎn)型過程中,應(yīng)按業(yè)務(wù)發(fā)展階段提供匹配業(yè)務(wù)需求的數(shù)據(jù)安全能力����,根據(jù)業(yè)務(wù)運(yùn)營的邏輯和流程去設(shè)計(jì),更多的是利用通用性的安全控制匹配現(xiàn)有的業(yè)務(wù)流程����、管理環(huán)節(jié)。源于數(shù)據(jù)的數(shù)據(jù)治理安全理論正是面向業(yè)務(wù)數(shù)據(jù)治理維度�,從制度流程的層面,針對企業(yè)組織整體設(shè)計(jì)數(shù)據(jù)安全策略����,并根據(jù)實(shí)際業(yè)務(wù)需求進(jìn)行對應(yīng)的合規(guī)管理、管理規(guī)劃和人員建設(shè)���,對當(dāng)前所面臨的數(shù)據(jù)安全風(fēng)險現(xiàn)狀進(jìn)行梳理,企業(yè)組織整體治理流程進(jìn)行管控����,夯實(shí)數(shù)據(jù)安全能力,進(jìn)而結(jié)合流轉(zhuǎn)和隱私安全等安全工具實(shí)現(xiàn)數(shù)據(jù)安全共享開放���。
數(shù)據(jù)安全合規(guī)管理是企業(yè)組織維持長期穩(wěn)定運(yùn)營的先決條件�,也是數(shù)據(jù)安全能力最低要求,數(shù)據(jù)治理安全理論依據(jù)法律法規(guī)及相關(guān)標(biāo)準(zhǔn)對重要數(shù)據(jù)保護(hù)要求�����,為組織建立統(tǒng)一符合安全性的管理規(guī)范���,包括但不限于個人信息保護(hù)�����、重要數(shù)據(jù)保護(hù)等方面的安全合規(guī)需求�����,以確保組織數(shù)據(jù)安全的合規(guī)性�。
因?yàn)閿?shù)據(jù)治理安全理論源自數(shù)據(jù)��,是以數(shù)據(jù)為中心��,保障數(shù)據(jù)安全��、促進(jìn)開發(fā)利用為原則��,圍繞數(shù)據(jù)全生命周期構(gòu)建相應(yīng)安全體系,需要組織內(nèi)部多利益相關(guān)方統(tǒng)一共識��,協(xié)同工作����,平衡數(shù)據(jù)安全與業(yè)務(wù)發(fā)展,必須依賴多個部門協(xié)作實(shí)施一系列活動集合才能落地���,所以��,企業(yè)組織在數(shù)據(jù)治理安全理論指導(dǎo)下�����,還需要(CPI)² 框架才能更好地落地�����。
結(jié)論:(CPI)² 框架是將原始數(shù)據(jù)轉(zhuǎn)變?yōu)閿?shù)據(jù)資源�、數(shù)據(jù)資產(chǎn)��,逐步提高數(shù)據(jù)價值密度���,轉(zhuǎn)化為可交易的數(shù)據(jù)要素����,最終實(shí)現(xiàn)數(shù)據(jù)資產(chǎn)化�����。
![\" src=]()
圖5. 數(shù)據(jù)治理安全平臺可視化展示
下期預(yù)告:AI 引擎的不斷自我迭代
當(dāng)下數(shù)據(jù)生產(chǎn)要素已成為中國數(shù)字經(jīng)濟(jì)轉(zhuǎn)型�����、工業(yè)智能化��、實(shí)現(xiàn)高質(zhì)量發(fā)展重要驅(qū)動力��,數(shù)據(jù)共享使用無疑是正確發(fā)揮數(shù)據(jù)生產(chǎn)要素價值的最佳途徑����,而人工智能則是加快數(shù)據(jù)共享使用的火箭推進(jìn)器引擎。如果以人工智能為核心的AI 引擎的能夠不斷自我迭代的話�����,不僅能夠加快企業(yè)組織數(shù)據(jù)治理安全的效能�����,而且會對各行各業(yè)乃至中國數(shù)字經(jīng)濟(jì)和整體社會發(fā)展都有著至關(guān)重要的戰(zhàn)略意義。
(本文作者:北京霍因科技有限公司 解決方案中心)
霍因科技介紹:
霍因科技是一家專注為客戶提供安全合規(guī)數(shù)據(jù)治理方案的雙高新企業(yè)���,旗下海石數(shù)據(jù)治理安全平臺“以(CPI)²落地和實(shí)踐”為核心����,基于AI深度學(xué)習(xí)�、湖倉一體技術(shù)、自動發(fā)現(xiàn)及分類分級能力�����,幫助企業(yè)不斷提升自身全域全量數(shù)據(jù)治理的安全能力���,建立數(shù)據(jù)安全體系底座�����,賦能數(shù)字化轉(zhuǎn)型���。
