數據安全治理 從概念走向落地

■本刊記者 趙志遠

4月26日，第三屆中國數據安全治理高峰論壇在京舉辦，本屆峰會以“共享數據價值·共擔安全責任”為主題，并發布《數據安全治理白皮書》2.0和《數據安全治理建設指南》，助力企業機構提升數據安全防護能力，讓數據安全治理從概念走向落地。

當前，隨著互聯網+的快速推進，IT系統與企業業務深度融合，數據正成為企業業務的核心資產，也越來越受到重視。與此同時，針對數據的威脅也在與日俱增，特別是近年來持續爆發的勒索軟件攻擊事件尤為突出。

安華金和創始人兼CEO 劉曉韜

數據保護成為業界關注的重點，相關法律法規的出臺，也在政策導向上為數據安全治理帶來規范，幫助企業實現數據安全合規，提升

數據安全防護與資產管理能力。

數據治理離不開企業、用戶、監管機構的共同努力，特別是近年來數據安全治理理念的提出到實踐落地，逐步開花結果，更是各方力量共同協作的結果。

從歷屆中國數據安全治理高峰論壇的發展歷程可以看到，數據安全治理經歷了從無到有，從概念到落地的深入推進過程。據安華金和創始人兼CEO劉曉韜介紹，在第一屆論壇時，數據安全治理還處于概念的階段，人們的認知度并不是很高，但時至今日，勒索病毒的大爆發，給企業機構帶來巨大損失，同時，網絡安全法、歐盟的GDPR等法律法規的出臺，以及個人信息保護法和數據安全法也已提上立法計劃，對數據安全來說，其認知度和保護工作都上升到新的高度。

數據安全治理是通過組織構建、規范制定、技術支撐等要素共同完成的數據安全建設的方法論。劉曉韜表示，組織、技術、規范是數據安全治理的鐵三角（如圖1所示）。因此，數據安全治理需要國家及行業監管機構、國家及行業規范、產品技術公司三方面的通力合作。

圖1 數據安全治理的鐵三角

在行業落地上，就特別需要相關組織機構、相關法律規范及行業規范的建立和制定。在劉曉韜看來，政府、金融等行業由于存在完善的組織機構，相關的數據保護法律規范的制定和落地都較為成熟，例如銀保監會發布了《銀行業金融機構數據治理指引》等。在醫療、教育等行業，相關規范也在逐步完善。但在企業側，相對來說還缺乏統一的管理措施，很難從行業的法規角度落地，數據保護工作的落地還較為困難，尚有許多工作要做。

從企業規模來看，大、中、小型企業數據安全治理理念是不同的。大型企業往往具備足夠的資金、技術及專業人員等的優勢，數據保護體系相對較為完善；而中小企業特別是小企業，由于客觀條件限制，數據安全工作推進較為困難。因此，劉曉韜認為，小型企業無需做過度體系化的防護，而應抓住核心問題，如合規和審計，防范外部攻擊外，還需部署數據庫防火墻等產品，在核心業務數據上加強防護；中型企業除以上部署外，還應考慮第三方運維的安全管控、第三方數據共享的脫敏問題等。

針對第三方產品的供應鏈安全問題，安華金和還將與SaaS廠商合作推出應用系統公有化、數據存儲私有化的數據安全解決方案，以保障企業核心數據安全。

數據安全治理理念自2016年安華金和在國內首次提出后，歷經三年發展，已經獲得越來越多的關注和認可，數據安全治理需要方法論，更需要實踐落地。論壇上發布的《數據安全治理白皮書》2.0同1.0相比進行了更多完善，并系統探討國內外數據安全相關標準與框架，匯集了多個行業標桿數據安全治理實踐，通過方法與實踐的結合，可以為企業進行數據安全建設的設計與實施提供參考方案及案例實踐。

數據安全治理近年來得到了越來越多的實踐落地，但數據保護的道路還很漫長，也希望有更多企業組織的參與，為數據安全保障匯聚力量。