隨著數(shù)字化轉(zhuǎn)型深入各行各業(yè)，數(shù)據(jù)安全已成為企業(yè)不可或缺的重要議題。在這一背景下，有效的數(shù)據(jù)安全治理框架成為確保企業(yè)數(shù)據(jù)安全的基石。

一、數(shù)據(jù)安全治理框架

中國互聯(lián)網(wǎng)協(xié)會于 2021 年發(fā)布 T/SC-0011-2021《數(shù)據(jù)安全治理能力評估方法》，推出了國內(nèi)首個數(shù)據(jù)安全治理能力建設(shè)及評估框架，如下圖所示。

數(shù)據(jù)安全治理能力能力評估框架

該評估框架圍繞組織、制度、技術(shù)、人員給出了企業(yè)落地數(shù)據(jù)安全建設(shè)的通用體系結(jié)構(gòu)。企業(yè)可以通過內(nèi)化該通用結(jié)構(gòu)形成內(nèi)部覆蓋管理、技術(shù)、運營體系的實踐模板，如下圖所示。

企業(yè)開展數(shù)據(jù)安全治理建設(shè)的實踐模板

騰訊安全和信通院發(fā)布的《數(shù)據(jù)安全治理與實踐自皮書》中提出了以風(fēng)險為核心的數(shù)據(jù)安全治理體系框架，整個框架由實踐模板可細化為組織內(nèi)可分步落地實踐的各個模塊：法律合規(guī)體組織保障體系、流程體系、技術(shù)體系、安全基礎(chǔ)設(shè)施。

以風(fēng)險為核心的數(shù)據(jù)安全治理框架

1.1 法律合規(guī)體系

法律合規(guī)體系是指企業(yè)在企業(yè)在數(shù)據(jù)處理和管理過程中，應(yīng)遵守數(shù)據(jù)所屬行業(yè)相關(guān)的法律法規(guī)和標準，進行數(shù)據(jù)的合法、合規(guī)、安全處理的一整套制度和規(guī)定，逐步完善相關(guān)制度和流程，確保企業(yè)合法合規(guī)、穩(wěn)步運營，體系主要包含了法律法規(guī)、行業(yè)準則和標準，具體落地請參考所屬行業(yè)要求確定。

1.2 組織保障體系

組織保障是指建立完整的數(shù)據(jù)安全治理機構(gòu)和組織結(jié)構(gòu)，確保數(shù)據(jù)安全治理工作的高效運在組織保障體系建設(shè)中。

數(shù)據(jù)安全治理的組織結(jié)構(gòu)應(yīng)該是由一個專門的團隊或委員會負責，包括數(shù)據(jù)所有者、數(shù)據(jù)使用者、數(shù)據(jù)維護者、數(shù)據(jù)開發(fā)者、數(shù)據(jù)監(jiān)督者、數(shù)據(jù)安全管理人員、數(shù)據(jù)安全技術(shù)人員等不司的職能角色。這些職能角色應(yīng)該明確其在數(shù)據(jù)安全治理中的職責和權(quán)利，并協(xié)調(diào)各自的工作，確保數(shù)據(jù)安全治理的一致性和協(xié)同性。

在設(shè)計數(shù)據(jù)安全治理組織架構(gòu)時，可按照決策層、管理層、執(zhí)行層、監(jiān)督層的組織架構(gòu)設(shè)計。在具體執(zhí)行過程中，組織也可賦予已有安全團隊與其它相關(guān)部門數(shù)據(jù)安全的工作職能。

1.3 流程體系

流程體系細化整個數(shù)據(jù)安全治理的處理步驟，幫助企業(yè)更好落地，流程體系分為：資產(chǎn)清查，風(fēng)險評估，風(fēng)險治理，持續(xù)運營4個部分。

數(shù)據(jù)安全治理流程體系

1.4 技術(shù)體系

技術(shù)體系指為保障數(shù)據(jù)安全而建立的一系列技術(shù)手段和措施，技術(shù)體系包含有:技術(shù)體系遵從，數(shù)據(jù)安全技術(shù)和數(shù)據(jù)安全基礎(chǔ)軟硬件技術(shù)。

技術(shù)體系遵從：指在數(shù)據(jù)安全保護中，采用的技術(shù)手段和措施，應(yīng)該遵從法律法規(guī)和標準，并確保數(shù)據(jù)的安全性、完整性和可用性。

數(shù)據(jù)安全技術(shù)：指保障數(shù)據(jù)安全而采用的一系列技術(shù)手段和方法，主要由數(shù)據(jù)識別與風(fēng)險識別、傳輸存儲安全、數(shù)據(jù)處理和隱私保護、數(shù)據(jù)訪問與身份控制、計算與共享安全、監(jiān)控和審計、以及響應(yīng)與恢復(fù)七個模塊組成，按照風(fēng)險治理的執(zhí)行流程進行組織。企業(yè)首先需要從海量數(shù)據(jù)中識別出敏感信息和潛在風(fēng)險，涵蓋技術(shù)有敏感數(shù)據(jù)識別、數(shù)據(jù)分類分級、數(shù)據(jù)風(fēng)險評估和 APP 隱私檢測。其次，企業(yè)需要對敏感數(shù)據(jù)進行保護，防止敏感數(shù)據(jù)被破壞、竊取和濫用，確保數(shù)據(jù)被安全的使用，其中包括:

1)傳輸存儲安全，涵蓋技術(shù)有存儲加密、傳輸加密、密鑰管理、硬件密碼等;

2)數(shù)據(jù)處理與隱私保護，涵蓋技術(shù)有數(shù)據(jù)脫敏、去標識化、匿名化、差分隱私等;

3)數(shù)據(jù)訪問與身份控制，涵蓋技術(shù)有憑據(jù)管理、特權(quán)賬號管理、身份認證與零信任等;

4)計算與共享安全，涵蓋技術(shù)有機密計算、聯(lián)邦學(xué)習(xí)、SMPC、同態(tài)加密等。然后，對數(shù)據(jù)的訪問和操作進行監(jiān)控和審計，以實現(xiàn)對數(shù)據(jù)生存周期各階段中可能存在的安全風(fēng)險的防控，涵蓋技術(shù)有數(shù)據(jù)安全審計、數(shù)據(jù)庫防火墻、數(shù)據(jù)防泄露、數(shù)字水印、數(shù)據(jù)訪問行為監(jiān)控。最后，在發(fā)生了數(shù)據(jù)安全風(fēng)險事件后，需要及時開展必要的響應(yīng)與恢復(fù)工作，涵蓋技術(shù)有應(yīng)急響應(yīng)、數(shù)據(jù)泄露響應(yīng)、數(shù)據(jù)備份等。

數(shù)據(jù)安全基礎(chǔ)軟硬件技術(shù)：指用于保護數(shù)據(jù)安全的基礎(chǔ)軟件和硬件技術(shù)，確保數(shù)據(jù)的機密性、完整性和可用性，防止數(shù)據(jù)被非法訪問、篡改或破壞，主要包括常見的標準加密算法 SDK、隱私保護和同態(tài)加密算法，安全硬件芯片和服務(wù)器等。

技術(shù)體系旨在解決企業(yè)在數(shù)據(jù)安全治理過程中的常見的技術(shù)痛點，例如:海量數(shù)據(jù)分類分級技術(shù)、常見風(fēng)險處置技術(shù)等。

數(shù)據(jù)安全技術(shù)體系圖譜

1.5 安全基礎(chǔ)設(shè)施

• 網(wǎng)絡(luò)通信安全:在網(wǎng)絡(luò)通信過程中保障數(shù)據(jù)的保密性、完整性、可用性以及鑒別和授權(quán)等安全需求的保障措施。
• 邊界防護安全:在網(wǎng)絡(luò)邊界上實施安全措施來保護網(wǎng)絡(luò)不受外部攻擊的影響。
• 物理環(huán)境安全:保護計算機設(shè)備和數(shù)據(jù)存儲設(shè)備的物理環(huán)境的安全。
• 計算環(huán)境安全:保護計算機系統(tǒng)運行的環(huán)境免受惡意攻擊和未經(jīng)授權(quán)的訪問的等。
• 安全管理中心:負責監(jiān)控和管理企業(yè)的安全運營和安全事件，包含事件管理、漏洞管理合規(guī)性管理、威脅情報和分析、安全信息和事件管理、安全審計和日志管理等。

隨著數(shù)據(jù)安全挑戰(zhàn)的日益增加，企業(yè)必須認識到構(gòu)建和維護一個強大的數(shù)據(jù)安全治理框架的重要性。希望本文能夠為企業(yè)在這一過程中提供寶貴的參考和指導(dǎo)，共同推動數(shù)據(jù)安全治理體系的建設(shè)和完善，保障企業(yè)數(shù)據(jù)的安全與合規(guī)，促進企業(yè)的持續(xù)健康發(fā)展。

來源：中關(guān)村網(wǎng)絡(luò)安全與信息化產(chǎn)業(yè)聯(lián)盟數(shù)據(jù)安全治理專業(yè)委會編著《數(shù)據(jù)安全治理白皮書5.0》

來源：騰訊科技( 深圳)有限公司和中國信息通信研究院云計算與大數(shù)據(jù)研究所編制的《數(shù)據(jù)安全治理與實踐白皮書》

來源：數(shù)據(jù)安全推進計劃，《數(shù)據(jù)安全治理實踐指南（2.0）》文章來源地址http://www.zghlxwxcb.cn/news/detail-835737.html

到了這里，關(guān)于構(gòu)建企業(yè)數(shù)據(jù)安全的根基：深入解析數(shù)據(jù)安全治理能力評估與實踐框架的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！