数据安全治理 从概念走向落地

■本刊记者 赵志远

4月26日，第三届中国数据安全治理高峰论坛在京举办，本届峰会以“共享数据价值·共担安全责任”为主题，并发布《数据安全治理白皮书》2.0和《数据安全治理建设指南》，助力企业机构提升数据安全防护能力，让数据安全治理从概念走向落地。

当前，随着互联网+的快速推进，IT系统与企业业务深度融合，数据正成为企业业务的核心资产，也越来越受到重视。与此同时，针对数据的威胁也在与日俱增，特别是近年来持续爆发的勒索软件攻击事件尤为突出。

安华金和创始人兼CEO 刘晓韬

数据保护成为业界关注的重点，相关法律法规的出台，也在政策导向上为数据安全治理带来规范，帮助企业实现数据安全合规，提升

数据安全防护与资产管理能力。

数据治理离不开企业、用户、监管机构的共同努力，特别是近年来数据安全治理理念的提出到实践落地，逐步开花结果，更是各方力量共同协作的结果。

从历届中国数据安全治理高峰论坛的发展历程可以看到，数据安全治理经历了从无到有，从概念到落地的深入推进过程。据安华金和创始人兼CEO刘晓韬介绍，在第一届论坛时，数据安全治理还处于概念的阶段，人们的认知度并不是很高，但时至今日，勒索病毒的大爆发，给企业机构带来巨大损失，同时，网络安全法、欧盟的GDPR等法律法规的出台，以及个人信息保护法和数据安全法也已提上立法计划，对数据安全来说，其认知度和保护工作都上升到新的高度。

数据安全治理是通过组织构建、规范制定、技术支撑等要素共同完成的数据安全建设的方法论。刘晓韬表示，组织、技术、规范是数据安全治理的铁三角（如图1所示）。因此，数据安全治理需要国家及行业监管机构、国家及行业规范、产品技术公司三方面的通力合作。

图1 数据安全治理的铁三角

在行业落地上，就特别需要相关组织机构、相关法律规范及行业规范的建立和制定。在刘晓韬看来，政府、金融等行业由于存在完善的组织机构，相关的数据保护法律规范的制定和落地都较为成熟，例如银保监会发布了《银行业金融机构数据治理指引》等。在医疗、教育等行业，相关规范也在逐步完善。但在企业侧，相对来说还缺乏统一的管理措施，很难从行业的法规角度落地，数据保护工作的落地还较为困难，尚有许多工作要做。

从企业规模来看，大、中、小型企业数据安全治理理念是不同的。大型企业往往具备足够的资金、技术及专业人员等的优势，数据保护体系相对较为完善；而中小企业特别是小企业，由于客观条件限制，数据安全工作推进较为困难。因此，刘晓韬认为，小型企业无需做过度体系化的防护，而应抓住核心问题，如合规和审计，防范外部攻击外，还需部署数据库防火墙等产品，在核心业务数据上加强防护；中型企业除以上部署外，还应考虑第三方运维的安全管控、第三方数据共享的脱敏问题等。

针对第三方产品的供应链安全问题，安华金和还将与SaaS厂商合作推出应用系统公有化、数据存储私有化的数据安全解决方案，以保障企业核心数据安全。

数据安全治理理念自2016年安华金和在国内首次提出后，历经三年发展，已经获得越来越多的关注和认可，数据安全治理需要方法论，更需要实践落地。论坛上发布的《数据安全治理白皮书》2.0同1.0相比进行了更多完善，并系统探讨国内外数据安全相关标准与框架，汇集了多个行业标杆数据安全治理实践，通过方法与实践的结合，可以为企业进行数据安全建设的设计与实施提供参考方案及案例实践。

数据安全治理近年来得到了越来越多的实践落地，但数据保护的道路还很漫长，也希望有更多企业组织的参与，为数据安全保障汇聚力量。