01、研究背景
當前我國經濟處于數字化轉型的關鍵時期�����,為了保持數字經濟健康可持續(xù)發(fā)展,國家進行頂層設計��,一方面從安全合規(guī)的視角指導各項數據安全工作���,另一方面要求對數據進行分類�,重要行業(yè)和省市地方也陸續(xù)出臺數據分類分級的制度�����,各行各業(yè)再根據自身情況出臺相應的數據分類分級管理辦法進行落地�。
數據分類已成為對數據進行管制的核心,對數據重要性的界定將對企業(yè)組織如何收集和使用消費者數據產生巨大影響�����,重要數據的范圍包括并不限于經濟運行��、人口和健康��、自然資源及環(huán)境����、科學技術、安全保護、應用服務����、政務活動相關以及其他數據����,數據安全工作主要是保護重要數據生命周期使用過程的安全。
因此��,數據治理安全理論既要滿足安全合規(guī)���,又要匹配業(yè)務系統(tǒng)數據安全�,未來還將滿足數據共享開放安全等泛業(yè)務場景��,從而有助于企業(yè)組織更好地落地�����。
02��、傳統(tǒng)數據安全治理的理論難以落地
由于傳統(tǒng)數據安全治理的理論是在數據治理的“數據價值論”理論上提出�����,主要是對數據治理框架中的管理制度、框架體系和技術工具增加安全屬性��,進行數據安全能力的提升��,實現業(yè)務需求與數據安全(風險/威脅/合規(guī)性)之間平衡���。其中典型理論代表有:Gartner 數據安全治理 DSG �����,微軟的專門強調隱私��、保密和合規(guī)的數據安全治理框架 DGPC���,國內數據安全治理委員會的數據安全建設方法論,以及2019年8月30日正式發(fā)布的《信息安全技術 數據安全能力成熟度模型》(GB/T 37988-2019)國家標準�����,提出DSMM數據安全能力成熟度模型�����。
傳統(tǒng)理論雖然將數據安全拔高到治理維度��,從政策制度、企業(yè)架構及技術手段等多維度入手��,推動數據安全技術的實施����,但在實際的治理過程中總會遇到種種阻礙�,整體效果也差強人意,最終“雷聲大��,雨點小”�����,實施人員也陷入難以改變現狀的焦慮和困惑之中�,數據安全事件仍層出不窮,數據泄漏頻發(fā)�����,危害和影響范圍難管控���。究其原因在于傳統(tǒng)數據安全治理理論落地實踐難以快速復制����。
考慮到我國國情以及數據安全商業(yè)市場現狀,主要是圍繞著解決企業(yè)組織數字化轉型過程中有關數據流轉使用的核心需求��,應從數據的安全合規(guī)驅動���,聚焦于數據的分類分級���、合規(guī)條款匹配和數據安全能力的對接與調度,更好幫助解決企業(yè)組織建立起數據安全保障體系���。
對企業(yè)組織而言���,更多的是關注數據流動過程中釋放價值,同時保障數據處理過程中的安全基線�,以及數據共享開放的安全使用場景。簡言之�,企業(yè)組織對數據安全工作的要求是“量體裁衣,持續(xù)提升�,高效務實,釋放價值”��,源自數據的數據治理安全理論更適合企業(yè)組織解決業(yè)務數據治理和安全的同步建設�����。
1.源自數據的數據治理安全理論對比源自安全的傳統(tǒng)理論
1)以安全工具能力為主的先安全再治理
始于數據安全風險評估的“木桶”理論建設,主要關注的是數據在整個生命周期過程中可用性���、完整性與機密性的安全防護�,進而構建安全體系架構��,以數據安全為核心��,往往依靠投入大量的人力和成本�,采購和掌握安全工具����,進行安全能力建設,反而忽略業(yè)務的原生訴求����,業(yè)務部門難以滿意,數據安全建設的周期長���,見效慢����,未必能充分釋放數據價值�。
2)以數據治理業(yè)務維度的先治理再安全
優(yōu)先厘清自身擁有數據資源的價值���,對數據資產要素進行分類和定級保護,依托對自有數據�����、安全能力以及對開放運營的支撐���,將不同來源的數據進行整合����、疊加�,引入多維度智能分析,更好地完善數據安全防護體系��,并通過更多合作伙伴一起做創(chuàng)新應用����,業(yè)務部門也能可視化看到成果收益,“金山銀山都藏在數據湖倉里”�����,真正發(fā)揮海量數據的商業(yè)價值���。
![\" src=]()
圖1. 源于安全與源自數據對比
3)大數據流轉共享業(yè)務場景下的數據安全新挑戰(zhàn)
大數據時代�,數據呈現出前所未有的爆炸式增長,海量的數據規(guī)模����、快速的數據流轉、動態(tài)的數據體系和多樣的數據類型賦予數據前所未有的價值��。在這樣的時代背景下�����,快速高效地實現數據流轉共享��,釋放價值的同時還面臨數據安全新挑戰(zhàn)����。例如金融行業(yè)雖然已經使用大數據分析工具����,提升自身風險識別能力并降低信用風險,但金融行業(yè)的業(yè)務鏈條大部分過長�����,其中任何一個環(huán)節(jié)出現數據安全的問題,都會對金融數據資產安全造成嚴重的威脅���。
![\" src=]()
圖2. 大數據時代數據安全新挑戰(zhàn)
2. 源自數據的數據治理安全理論對比等保2.0的數據安全建設要求
數據治理安全理論的數據安全是指以數據為中心的全生命周期的數據安全����,構建企業(yè)組織整個數據安全體系���,對數據分類分級及敏感數據全生命周期的保護���。而網絡安全是按邊界劃分的網絡,數據相對是個無邊界的狀態(tài)�,從數據產生到數據銷毀的生命周期六個階段通過不同的技術手段去做數據安全防護,網絡安全等級保護2.0的數據安全建設主要是從四個方面展開:用戶行為鑒權(加強對用戶行為的鑒權)���、數據訪問控制(有效地建立起對數據訪問控制機制)����、敏感數據脫敏(對數據本身的使用和落盤數據脫敏和加密)����、業(yè)務或重要數據加密,網絡安全的數據更多側重于用戶合法使用數據行為的安全控制,業(yè)務的耦合度低�����。
業(yè)務數據是流動的�����,并伴隨業(yè)務進行流轉����,數據安全應和業(yè)務有更多的交互形成內生安全或內置安全,嵌入到整個業(yè)務過程中對業(yè)務數據保護�����,從數據安全體系設計上梳理業(yè)務數據的脈絡��,嵌入安全能力和工具����,源自數據的數據治理安全理論才能真正實現數據資產化的目標�����。
03����、源自數據的共享開放驅動業(yè)務治理的發(fā)展與創(chuàng)新
數據治理安全理論的核心是數據����,數據承載著業(yè)務�、驅動著業(yè)務,因此數據安全與業(yè)務融合�����、數據安全驅動業(yè)務是未來發(fā)展趨勢��;數據治理安全應源自數據��,將數據安全建設的防護主體定位在數據層面���,以數據為中心構建安全體系���,并將數據生命周期作為一個閉環(huán),進行更為細粒度的安全防護�����,確保數據在各環(huán)節(jié)都能被有效地、動態(tài)地保護和檢測�。
針對數據全生命周期安全的全量發(fā)現、全鏈路管理�、全景控制的數據安全閉環(huán),通過AI引擎發(fā)現敏感信息位置��、血緣分析���、分類分級�����、法規(guī)遵從匹配�����,根據業(yè)務�、合規(guī)等因素界定����、判斷、標定及保護重要敏感數據��。AI引擎和動態(tài)知識庫是核心�����,只有建立常態(tài)化治理����、持續(xù)性改進的數據安全閉環(huán),才能提升組織整體數據治理和數據安全能力����,釋放數據價值,創(chuàng)造持續(xù)健康數據治理安全生態(tài)�����。
![\" src=]()
圖3. 數據安全閉環(huán)流轉圖
在數據安全閉環(huán)中��,數據分類分級是底座��。企業(yè)組織立足于數據安全的現狀�����,明確數據的分布和使用狀況����,制定自身數據分類分級要求�,實現數據結構化管理和利用��,形成業(yè)務數據分類的標準化輸出��。數據分類方便于業(yè)務數據管理�,避免一刀切的控制方式,以便后續(xù)在數據安全管理上采用更加精細化控制的安全工具���。
企業(yè)組織根據數據分類分級的結果�,從管理�、流程和技術等方面制定數據安全的全生命周期數據安全管控策略,讓業(yè)務數據在共享使用和安全使用之間獲得平衡�����,對不同敏感級別的數據設置相應訪問權限���、加密�����、脫敏����、數據防泄漏等的管控策略,大幅提升數據安全管控效率�����。
通過(CPI)² 框架做抓手���,建立數據資產報告和目錄,在制度管理�����、技術防護���、運行維護等多維度安全建設�����,最終實現數據分類分級的閉環(huán)管理�。
04���、基于(CPI)² 框架的數據治理安全理論
(CPI)²是霍因科技聯合數世咨詢�����,對超百家企業(yè)CIO進行調研和咨詢發(fā)布的數據安全框架���,結合霍因科技在數據安全與數據治理方面沉淀的技術和對行業(yè)數據的深度理解,匹配數據安全相關法律法規(guī)和地方����、行業(yè)的安全要求�����,是以合規(guī)驅動的數據安全建設落地應用的最佳實踐�����?��?蚣芫唧w建設分為以下三個階段�����,供參考:
第一個階段是數據資產化:Consulting代表行業(yè)咨詢����、Capitalization代表數據資產化����,通過行業(yè)知識庫�,輔以咨詢服務�,用人工智能的方式為企業(yè)實現數據分類分級和資產化;
第二個階段是數據安全:Policy代表安全策略�、Protection代表安全防護��,為數據資產制定全面的安全策略���,匹配法律法規(guī)和政策要求的安全控制能力��;
第三個階段數據能力迭代:Iteration代表迭代調優(yōu)�����、Improvement代表持續(xù)改善���,通過持續(xù)跟進法律法規(guī)和政策變化、持續(xù)學習業(yè)務邏輯的特性與管理運作的流程����,不斷調整分類分級的結果,使數據資產更加精確明晰�����,反復循環(huán)正向迭代的過程,實現可持續(xù)發(fā)展的數據治理安全��。
![\" src=]()
圖4. (CPI)² 框架圖(源自數據)
由于企業(yè)組織間的業(yè)務差異性和復雜性���,要從組織級層面通盤考慮����,既不能對當前業(yè)務的發(fā)展產生嚴重影響�,也要考慮到業(yè)務長遠發(fā)展需要,通過(CPI)² 框架推動企業(yè)組織實現業(yè)務和數據治理達到合理的平衡性����,建立數據安全合規(guī)文化和有效的合規(guī)風險預防、預警及監(jiān)督機制���,從而避免企業(yè)組織因違反相關的國內外法律����、行業(yè)監(jiān)管指引���、制度����、規(guī)范等而導致的風險,確定實際業(yè)務數據的處理是否符合合規(guī)管理要求��,是否存在數據錯誤事偽造等情況�,合規(guī)管理的實際覆蓋范圍是否全面,是否存在因業(yè)務人員自行更改數據安全策略而導致其失效等��,并根據具體的業(yè)務場景和各生命周期環(huán)節(jié)�,有針對性地識別并解決其中存在的數據安全問題��,防范數據安全風險���,實現數據安全能力的迭代�,從而確保企業(yè)組織維持長久穩(wěn)定運營�����。
05���、(CPI)² 框架實現數據資產化
“讓數據更有價值�,讓數據產生價值,讓價值可以量化”�����,從而催生更加豐富的數據應用場景���,推動數據資產建立生態(tài)�,實現對數據資產的持續(xù)運營�����,推動企業(yè)組織數據資產的業(yè)務價值����、經濟價值和社會價值顯性化,使數據真正成為企業(yè)資產的一部分���,賦能業(yè)務發(fā)展��,進一步推動企業(yè)數字化轉型�����。
數據資產是能夠為企業(yè)組織產生價值的數據資源��,數據資產的形成需要對數據資源進行主動管理并形成有效控制�����,通過對數據資產進行分析能夠更好地細分用戶群體�����、制定銷售策略����、服務客戶,清晰了解當前所服務客戶需求信息���,從而更有針對性地介紹產品�,提升企業(yè)組織的銷售���。
在企業(yè)組織數字化轉型過程中,應按業(yè)務發(fā)展階段提供匹配業(yè)務需求的數據安全能力����,根據業(yè)務運營的邏輯和流程去設計,更多的是利用通用性的安全控制匹配現有的業(yè)務流程���、管理環(huán)節(jié)��。源于數據的數據治理安全理論正是面向業(yè)務數據治理維度�����,從制度流程的層面�����,針對企業(yè)組織整體設計數據安全策略�����,并根據實際業(yè)務需求進行對應的合規(guī)管理��、管理規(guī)劃和人員建設����,對當前所面臨的數據安全風險現狀進行梳理,企業(yè)組織整體治理流程進行管控��,夯實數據安全能力�,進而結合流轉和隱私安全等安全工具實現數據安全共享開放。
數據安全合規(guī)管理是企業(yè)組織維持長期穩(wěn)定運營的先決條件���,也是數據安全能力最低要求����,數據治理安全理論依據法律法規(guī)及相關標準對重要數據保護要求,為組織建立統(tǒng)一符合安全性的管理規(guī)范�����,包括但不限于個人信息保護����、重要數據保護等方面的安全合規(guī)需求,以確保組織數據安全的合規(guī)性��。
因為數據治理安全理論源自數據���,是以數據為中心�,保障數據安全�����、促進開發(fā)利用為原則�����,圍繞數據全生命周期構建相應安全體系��,需要組織內部多利益相關方統(tǒng)一共識�����,協同工作�,平衡數據安全與業(yè)務發(fā)展,必須依賴多個部門協作實施一系列活動集合才能落地��,所以�����,企業(yè)組織在數據治理安全理論指導下����,還需要(CPI)² 框架才能更好地落地。
結論:(CPI)² 框架是將原始數據轉變?yōu)閿祿Y源�����、數據資產�����,逐步提高數據價值密度,轉化為可交易的數據要素����,最終實現數據資產化。
![\" src=]()
圖5. 數據治理安全平臺可視化展示
下期預告:AI 引擎的不斷自我迭代
當下數據生產要素已成為中國數字經濟轉型��、工業(yè)智能化����、實現高質量發(fā)展重要驅動力,數據共享使用無疑是正確發(fā)揮數據生產要素價值的最佳途徑��,而人工智能則是加快數據共享使用的火箭推進器引擎����。如果以人工智能為核心的AI 引擎的能夠不斷自我迭代的話,不僅能夠加快企業(yè)組織數據治理安全的效能���,而且會對各行各業(yè)乃至中國數字經濟和整體社會發(fā)展都有著至關重要的戰(zhàn)略意義���。
(本文作者:北京霍因科技有限公司 解決方案中心)
霍因科技介紹:
霍因科技是一家專注為客戶提供安全合規(guī)數據治理方案的雙高新企業(yè),旗下海石數據治理安全平臺“以(CPI)²落地和實踐”為核心���,基于AI深度學習����、湖倉一體技術���、自動發(fā)現及分類分級能力��,幫助企業(yè)不斷提升自身全域全量數據治理的安全能力�����,建立數據安全體系底座����,賦能數字化轉型�。
