数据安全治理学习——前期安全规划和安全管理体系建设

数据安全治理是以数据为中心，其核心思想是面向业务数据流转的动态、按需防护。数据安全治理按照现状分析、安全规划、安全建设、安全运营的实践路线，以数据分类分级为基石，结合业务发展需要，从现状分析入手，结合组织架构、制度流程、技术工具、人员能力体系建设，构建相适应的数据安全治理能力，并针对持续评估、风险防范、监控预警、应急处理等内容形成一套常态化运营机制，再根据成效评估进行改进，以保障整个实践过程的持续性建设。

开局一张图

数据安全推进计划整理的需求侧数据安全建设面临的痛难点：

数据安全治理的目标

数据安全治理应围绕“构建全方位数据安全体系、 筑牢安全防线”的总体目标，满足合规要求、治理数据安全风险、促进数据开发利用，发展数字经济、加快培育发展数据要素市场。

数据安全治理规划思路

数据分类分级与敏感个人信息识别可明确数据保护对象，是开展差异化、动态化数据安全治理的前提。数据安全管理制度体系是开展多元化安全治理工作的先导。数据安全技术体系是在数据处理活动中落实安全技术需求与工具支撑。数据安全运营体系将管理和技术体系进行有效衔接，实现持续化防护。通过管理、技术、运营体系三位一体、有机融合，数据安全治理形成以动态数据安全管控策略为中心，以管理体系为驱动，以运营体系为纽带、以技术体系为落地支撑的治理核心。

数据分类分级是数据安全治理体系的基石，面向组织数据和个人信息，首先需开展数据资产的发现与梳理，然后基于识别备案的数据资产，落实从业务角度出发的数据分类标识以及从安全角度出发的数据定级标识，形成数据分类分级目录，最后对数据目录进行审核、发布，基于数据伴随业务处理活动的持续新增与变化，分类分级也需随之动态变更。这里我们应该清楚的是分类分级只是核心第一步，我们的目的是根据不同类别级别的数据制定不同的数据安全防护措施。很多企业出于合规，只做了分类分级，出于某些原因未做后面的安全防护。关于数据安全分类分级的相关介绍此前文章已经介绍过，后面在建设谈到平台的时候再详细说明：数据安全生命周期学习——采集管理

数据安全管理体系主要是通过构建符合数据安全相关法律政策和业务发展所需要的管理组织、管理制度和人员能力等。制定切实可行、覆盖全面的制度规范，明确角色和职责，以 保障数据安全技术体系和运营体系的管理和执行。面向数据安全多元化治理特点，落实人员组织架构和管理制度体系，建立覆盖决策、管理、执 行与监督等多层级的组织架构，各级部门协同配合工作，定岗定责落实治理行动；在人员管理维度， 需注重能力的培养与提升，并加强安全意识教育；在管理制度维度，需围绕数据处理活动，构建从 方针政策、管理制度、流程规范到执行文档的层级全面的制度集合，并伴随治理过程持续进行优化与调整。

数据安全技术体系是数据安全体系建设的核心支撑，由数据安全治理管控层和数据安全能力层组成。通过数据安全治理管控平台向上为运营服务提供支撑，向下驱动各类数据安全能力实现数据安全管控，提升数据安全的管控能力和防护能力。具体建设可根据实际数据和业务场景、安全需求以及现状选择相应的安全能力。

不同安全级别的数据技术能力建设，按照数据全生命周期原则进行数据安全建设。具体保护要求及措施，可参照国家相关法律、法规、标准及自身的业务应用数据安全相关管理制度、规范、标 准执行。数据安全能力按照基础安全能力、增强安全能力、扩展安全能力三类进行划分，分类建议如下：

数据安全运营体系是数据安全管控工作常态化构建，运用适当的安全技术和管理手段整合人、技术、流程实现数据安全策略持续动态调整和安全积极防御，提供数据安全评估、主动风险监测、数据资产运营、智能风险感知、事件预警追溯、应急响应及处置、安全评估教育等服务。在运营体系方面，展开定期或由特定数据处理场景触发的数据安全风险评估，基于经典IPDR理论， 分别从识别、防护、监测与响应处置及优化四个维度出发，形成常态化、集中化、规范化的数据安全运营。实现事前预防、事中管控、事后审计溯源的持续、全面数据安全防护。

安全管理体系建设

规划之后便是建设阶段，数据安全治理建设阶段，个人认为一定不能脱离公司现状，一定不能脱离公司业务，脱离业务的安全是苍白无力的。安全管理体系建设分为组织建设和制度流程建设，这也是DSMM和DSG中提及的两大安全能力。

数据安全推进计划整理的需求侧数据安全开展情况统计表，可见现在超70%的政企单位已经具备比较完善的数据安全制度文件，占比较少的数据出境和第三方数据管理，出境这块目前主要是做好数据出境安全评估和数据出境安全管理两方面，第三方管理主要是第三方公司管理和第三方人员管理。

组织建设

数据安全组织是数据安全体系建设的前提条件，是数据安全治理策略从制定到落地，并持续优化改进的组织保障。通过建立专门的数据安全组织，落实数据安全管理责任，明确数据安全治理的政策、监督执行情况，确保数据安全相关工作能够持 续稳定贯彻与执行。按照决策层、管理层、执行层、员工/合作伙伴、监督层的组织架构， 设计数据安全的组织架构，赋予已有安全团队与其它相关部门数据安全的工作职能。

理想状态下，人员不应出现交叉，即一个人不可同时担任两个层级中的角色，避免出现因受利益和工作方便影响从而降低或绕过标准的情形。团队内部每个人应分配满足工作要求的最小权限，不可因管理因素而获得超出角色范围的权限。团队内部的关键岗位（管理层、部分执行层）应设立“双人双岗，权限分离，互相监督”机制，即在工作过程中相同岗位应最少设立两名人员参与，权限分离，互相监督，同时对结果负责。职责这块参考整理非常详细的《数据安全治理白皮书5.0》。整体组织架构分为（这里建立组织架构应该有实际的红头文件和任命通知等落地文件）：

（1）决策层

数据安全体系项目决策层是数据安全管理工作的决策机构，一般称为网络信息安全领导小组，公司主要负责人一般是是数据安全第一责任人，建议安全相关的领导甚至公司高层领导（CSO/COO/CTO）担任，参与数据安全的发展战略、中长期规划和重大决策，同时参与到组织的业务发展决策，因为业务的发展和数据安全是密不可分。

主要职责包括：

• 负责制定组织的数据安全战略目标和任务； 
• 负责统筹、规划数据安全分类分级工作；
• 负责指导管理层数据安全工作的开展； 
• 负责对重大数据安全事项进行协调以及统筹决策； 
• 对数据安全策略和规划，制度与规范等进行发布； 
• 负责对其它数据安全建设协调必要的资源支撑； 
• 对组织开展和实施数据安全治理的体系目标、范围等进行决策。

（2）管理层

管理层是数据安全组织机构的第二层，数据安全管理团队，一般是数据安全的直接责任人，基于组织决策层领导给出的策略，对数据安全实际工作制定详细方案，做好业务发展与数据安全之间的平衡。在组织中承上启下，做好数据安全全面落地工作，是组织内开展数据安全工作最核心的部门或岗位，部分工作可能需要组织外部专业资源共同来履行。

主要职责包括：

• 牵头对组织现有的数据资产进行梳理，调研分析数据使用部门与数据安全有关的业务需求、 安全风险等；
• 组织制定数据安全管理策略、规划、制度和规范，并推动在组织内的推广和落地实施；
• 负责数据安全治理体系的建设、运营维护等工作；
• 组织开展数据安全风险监测、预警与应急处置；
• 组织开展数据安全教育宣贯培训，提升全员数据保护意识与技能；
• 对执行层进行管理，并提出数据安全要求； 
• 组织