续：企业数据安全建设思考之关键流程

        数据安全建设的关键流程（步骤）（部分引用CISP-DSG以及厂家说明）

        这里我们只针对关键领域的进行说明，并不能涵盖所有的领域 ，如有需要可以参考相关一些的成熟度 模型或是业内最佳实践来进行比对，以更好的应对适合我们当前环境的数据安全建设。

        做数据安全不像其他网络安全，通过一个产品和一些配套策略基础的网络安全环境 就此建设起来，生下来 就根据具体的业务需求进行调整和优化，它与业务的关系来说，当前并非有相关联的地方，但是对于数据安全则不同，数据安全的对象就是数据，也就是业务的核心，所以从 另一侧也说明了其重要性，以及和业务的强关联关系，是有牵一发而动全身的效应在里面，所以我们 需要循序渐进的方式进行推进。

　　关键一：数据安全治理评估

　　区别于合规要求的网络安全建设，数据安全保障体系应建立在事实依据的基础上，才能对自身业务最核心的数据安全风险采取技防监测、控制手段解决，所以第一步，即开展数据风险发现过程-数据安全治理评估。在知己知彼的情况对数据安全进行规划。

　　通过数据安全治理专家团队，从业务视角出发，对业务应用的现状、使用情况进行调研、分析，确定业务的关联关系、访问的关键路径、数据的流向及演变过程，结合对基础安全管控措施的分析，找出主要业务所面临的管理、技术及运营风险。其次，集合多个业务系统的调研结果，找出系统间的共性问题，为制定业务的数据安全管理规范提供第一手的参考依据。针对业务各系统及数据资产全面开展评估梳理工作，形成《数据资产清单》，明确相关平台各系统的输入输出，数据所在位置及其处理、共享、交换等使用过程中数据重要度等内容。

　　基于业务场景梳理数据操作过程中的主体（人、用户、账号）、客体（数据）、过程（操作的时域、地域、权限、结果等）属性；以角色控制为视角，明确被审计用户（账号）的类型、角色，包括应用程序所有者（业务账号）、应用程序终端用户（业务终端）、数据管理账户（数据库管理员）等；建立符合业务最小够用的安全策略模型。

　　关键二：数据安全组织结构建设

　　数据安全管理是一项需要多方联动型的复合型工作，在开展组织架构建设时，需要考虑组织层面实体的管理团队及执行团队，同时也要考虑虚拟的联动小组，所有部门均需要参与安全建设当中。同时，需要根据部门职责建立不同的数据安全角色以满足数据安全建设的需求。

　　关键三：数据安全管理制度建设

　　前期的数据安全组织结构体系建设为后续数据安全建设提供了角色支撑，接下来需要从管理制度手段上进行梳理。数据安全保障体系的规范一般从业务数据安全需求、数据安全风险控制需要及法律法规合规性要求等几个方面进行梳理，最终确定数据安全防护的目标、管理策略及具体的标准、规范、程序等。

　　一般情况下，数据安全管理规体系文件可分为四个层面：

• 一级文件是由决策层确定管理要求、目标及基本原则；
• 二级文件是由管理层根据一级管理要求制定通用的管理办法、制度及标准。二级文件作为上层的管理要求，应具备科学性、合理性、完善性及普遍的适用性；
• 三级文件一般由管理层、执行层根据二级管理办法确定各业务、各环节的具体操作指南、规范；
• 四级文件属于辅助文件，一般包括操作程序、工作计划、资产清单、过程记录等过程性文档。四级文件是对上层管理要求的细化解读，用于指导具体业务场景的具体工作。

　　例如，数据安全分级指南的建设过程属于数据安全管理制度建设中最为基础的一环，首先要从行业中找到参考的数据分类分级指南（若没有，可采用国标等相关具备参考价值的指南），其次结合自身业务实际情况，对业务数据进行管理层面的分类分级流程，最后基于自身的业务场景，形成自身的数据安全分级指南。

　　关键四：数据安全技术保护体系建设

　　不同安全级别的数据，可参照数据生命周期的原则进行数据安全应用执行。具体保护要求及措施，可参照国家相关法律、法规、标准及自身的数据安全相关管理制度、规范、标准执行。

　　关键五：数据安全运营管控建设

　　数据安全保障体系因其业务的持续性，需要进行长期性服务，建立完善的数据安全运营团队是必然选择。数据安全运营主要包括以下内容：

• 数据安全运维：主要是数据安全措施的使用、运维，驻场或定期对数据安全产品的使用情况进行分析，并结合管理要求，持续进行管控措施策略和配置的优化，并定期输出数据安全运维报告和策略优化建议等；
• 应急预案与演练：按照相关要求，制定数据安全事件应急预案。并按照制定的应急规划，按照安全事件的危害程度、影响范围等对安全事件建分级，定期进行应急预案演练；
• 监测预警：围绕数据安全目标，依据相关安全标准，建立数据安全监测预警和安全事件通报制度，收集分析数据安全信息，对安全风险及时上报，包括按需发布数据安全监测预警信息等；
• 应急处置：相关方按照应急预案，在发生安全事件时，采取应急处置措施，向主管部门上报重大安全事件，定期对应急预案和处置流程优化完善；
• 灾难恢复：在数据安全事件发生后，根据安全事件的影响和优先级，采取合适的恢复措施，确保信息系统业务流程按照规划目标恢复。

　　关键六：数据安全监管

　　移动互联网时代下，数据承载的价值越来越高，数据面临巨大的威胁，监管部门出台相关法律法规，对数据从业者提出了相关要求，也明确了监管机构的责任。公安机关作为监管单位，将依法履职尽责，对数据处理者履行数据风险监测与风险评估等数据安全保护义务、遵守国家核心数据管理制度、向境外提供重要数据、配合公安机关开展数据调取、向外国司法或者执法机构提供数据等行为依法开展监督管理。