01、研究背景
當(dāng)前我國(guó)經(jīng)濟(jì)處于數(shù)字化轉(zhuǎn)型的關(guān)鍵時(shí)期,為了保持?jǐn)?shù)字經(jīng)濟(jì)健康可持續(xù)發(fā)展,國(guó)家進(jìn)行頂層設(shè)計(jì),一方面從安全合規(guī)的視角指導(dǎo)各項(xiàng)數(shù)據(jù)安全工作,另一方面要求對(duì)數(shù)據(jù)進(jìn)行分類,重要行業(yè)和省市地方也陸續(xù)出臺(tái)數(shù)據(jù)分類分級(jí)的制度,各行各業(yè)再根據(jù)自身情況出臺(tái)相應(yīng)的數(shù)據(jù)分類分級(jí)管理辦法進(jìn)行落地。
數(shù)據(jù)分類已成為對(duì)數(shù)據(jù)進(jìn)行管制的核心,對(duì)數(shù)據(jù)重要性的界定將對(duì)企業(yè)組織如何收集和使用消費(fèi)者數(shù)據(jù)產(chǎn)生巨大影響,重要數(shù)據(jù)的范圍包括并不限于經(jīng)濟(jì)運(yùn)行、人口和健康、自然資源及環(huán)境、科學(xué)技術(shù)、安全保護(hù)、應(yīng)用服務(wù)、政務(wù)活動(dòng)相關(guān)以及其他數(shù)據(jù),數(shù)據(jù)安全工作主要是保護(hù)重要數(shù)據(jù)生命周期使用過程的安全。
因此,數(shù)據(jù)治理安全理論既要滿足安全合規(guī),又要匹配業(yè)務(wù)系統(tǒng)數(shù)據(jù)安全,未來還將滿足數(shù)據(jù)共享開放安全等泛業(yè)務(wù)場(chǎng)景,從而有助于企業(yè)組織更好地落地。
02、傳統(tǒng)數(shù)據(jù)安全治理的理論難以落地
由于傳統(tǒng)數(shù)據(jù)安全治理的理論是在數(shù)據(jù)治理的“數(shù)據(jù)價(jià)值論”理論上提出,主要是對(duì)數(shù)據(jù)治理框架中的管理制度、框架體系和技術(shù)工具增加安全屬性,進(jìn)行數(shù)據(jù)安全能力的提升,實(shí)現(xiàn)業(yè)務(wù)需求與數(shù)據(jù)安全(風(fēng)險(xiǎn)/威脅/合規(guī)性)之間平衡。其中典型理論代表有:Gartner 數(shù)據(jù)安全治理 DSG ,微軟的專門強(qiáng)調(diào)隱私、保密和合規(guī)的數(shù)據(jù)安全治理框架 DGPC,國(guó)內(nèi)數(shù)據(jù)安全治理委員會(huì)的數(shù)據(jù)安全建設(shè)方法論,以及2019年8月30日正式發(fā)布的《信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型》(GB/T 37988-2019)國(guó)家標(biāo)準(zhǔn),提出DSMM數(shù)據(jù)安全能力成熟度模型。
傳統(tǒng)理論雖然將數(shù)據(jù)安全拔高到治理維度,從政策制度、企業(yè)架構(gòu)及技術(shù)手段等多維度入手,推動(dòng)數(shù)據(jù)安全技術(shù)的實(shí)施,但在實(shí)際的治理過程中總會(huì)遇到種種阻礙,整體效果也差強(qiáng)人意,最終“雷聲大,雨點(diǎn)小”,實(shí)施人員也陷入難以改變現(xiàn)狀的焦慮和困惑之中,數(shù)據(jù)安全事件仍層出不窮,數(shù)據(jù)泄漏頻發(fā),危害和影響范圍難管控。究其原因在于傳統(tǒng)數(shù)據(jù)安全治理理論落地實(shí)踐難以快速?gòu)?fù)制。
考慮到我國(guó)國(guó)情以及數(shù)據(jù)安全商業(yè)市場(chǎng)現(xiàn)狀,主要是圍繞著解決企業(yè)組織數(shù)字化轉(zhuǎn)型過程中有關(guān)數(shù)據(jù)流轉(zhuǎn)使用的核心需求,應(yīng)從數(shù)據(jù)的安全合規(guī)驅(qū)動(dòng),聚焦于數(shù)據(jù)的分類分級(jí)、合規(guī)條款匹配和數(shù)據(jù)安全能力的對(duì)接與調(diào)度,更好幫助解決企業(yè)組織建立起數(shù)據(jù)安全保障體系。
對(duì)企業(yè)組織而言,更多的是關(guān)注數(shù)據(jù)流動(dòng)過程中釋放價(jià)值,同時(shí)保障數(shù)據(jù)處理過程中的安全基線,以及數(shù)據(jù)共享開放的安全使用場(chǎng)景。簡(jiǎn)言之,企業(yè)組織對(duì)數(shù)據(jù)安全工作的要求是“量體裁衣,持續(xù)提升,高效務(wù)實(shí),釋放價(jià)值”,源自數(shù)據(jù)的數(shù)據(jù)治理安全理論更適合企業(yè)組織解決業(yè)務(wù)數(shù)據(jù)治理和安全的同步建設(shè)。
1.源自數(shù)據(jù)的數(shù)據(jù)治理安全理論對(duì)比源自安全的傳統(tǒng)理論
1)以安全工具能力為主的先安全再治理
始于數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估的“木桶”理論建設(shè),主要關(guān)注的是數(shù)據(jù)在整個(gè)生命周期過程中可用性、完整性與機(jī)密性的安全防護(hù),進(jìn)而構(gòu)建安全體系架構(gòu),以數(shù)據(jù)安全為核心,往往依靠投入大量的人力和成本,采購(gòu)和掌握安全工具,進(jìn)行安全能力建設(shè),反而忽略業(yè)務(wù)的原生訴求,業(yè)務(wù)部門難以滿意,數(shù)據(jù)安全建設(shè)的周期長(zhǎng),見效慢,未必能充分釋放數(shù)據(jù)價(jià)值。
2)以數(shù)據(jù)治理業(yè)務(wù)維度的先治理再安全
優(yōu)先厘清自身擁有數(shù)據(jù)資源的價(jià)值,對(duì)數(shù)據(jù)資產(chǎn)要素進(jìn)行分類和定級(jí)保護(hù),依托對(duì)自有數(shù)據(jù)、安全能力以及對(duì)開放運(yùn)營(yíng)的支撐,將不同來源的數(shù)據(jù)進(jìn)行整合、疊加,引入多維度智能分析,更好地完善數(shù)據(jù)安全防護(hù)體系,并通過更多合作伙伴一起做創(chuàng)新應(yīng)用,業(yè)務(wù)部門也能可視化看到成果收益,“金山銀山都藏在數(shù)據(jù)湖倉(cāng)里”,真正發(fā)揮海量數(shù)據(jù)的商業(yè)價(jià)值。
3)大數(shù)據(jù)流轉(zhuǎn)共享業(yè)務(wù)場(chǎng)景下的數(shù)據(jù)安全新挑戰(zhàn)
大數(shù)據(jù)時(shí)代,數(shù)據(jù)呈現(xiàn)出前所未有的爆炸式增長(zhǎng),海量的數(shù)據(jù)規(guī)模、快速的數(shù)據(jù)流轉(zhuǎn)、動(dòng)態(tài)的數(shù)據(jù)體系和多樣的數(shù)據(jù)類型賦予數(shù)據(jù)前所未有的價(jià)值。在這樣的時(shí)代背景下,快速高效地實(shí)現(xiàn)數(shù)據(jù)流轉(zhuǎn)共享,釋放價(jià)值的同時(shí)還面臨數(shù)據(jù)安全新挑戰(zhàn)。例如金融行業(yè)雖然已經(jīng)使用大數(shù)據(jù)分析工具,提升自身風(fēng)險(xiǎn)識(shí)別能力并降低信用風(fēng)險(xiǎn),但金融行業(yè)的業(yè)務(wù)鏈條大部分過長(zhǎng),其中任何一個(gè)環(huán)節(jié)出現(xiàn)數(shù)據(jù)安全的問題,都會(huì)對(duì)金融數(shù)據(jù)資產(chǎn)安全造成嚴(yán)重的威脅。
2. 源自數(shù)據(jù)的數(shù)據(jù)治理安全理論對(duì)比等保2.0的數(shù)據(jù)安全建設(shè)要求
數(shù)據(jù)治理安全理論的數(shù)據(jù)安全是指以數(shù)據(jù)為中心的全生命周期的數(shù)據(jù)安全,構(gòu)建企業(yè)組織整個(gè)數(shù)據(jù)安全體系,對(duì)數(shù)據(jù)分類分級(jí)及敏感數(shù)據(jù)全生命周期的保護(hù)。而網(wǎng)絡(luò)安全是按邊界劃分的網(wǎng)絡(luò),數(shù)據(jù)相對(duì)是個(gè)無邊界的狀態(tài),從數(shù)據(jù)產(chǎn)生到數(shù)據(jù)銷毀的生命周期六個(gè)階段通過不同的技術(shù)手段去做數(shù)據(jù)安全防護(hù),網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0的數(shù)據(jù)安全建設(shè)主要是從四個(gè)方面展開:用戶行為鑒權(quán)(加強(qiáng)對(duì)用戶行為的鑒權(quán))、數(shù)據(jù)訪問控制(有效地建立起對(duì)數(shù)據(jù)訪問控制機(jī)制)、敏感數(shù)據(jù)脫敏(對(duì)數(shù)據(jù)本身的使用和落盤數(shù)據(jù)脫敏和加密)、業(yè)務(wù)或重要數(shù)據(jù)加密,網(wǎng)絡(luò)安全的數(shù)據(jù)更多側(cè)重于用戶合法使用數(shù)據(jù)行為的安全控制,業(yè)務(wù)的耦合度低。
業(yè)務(wù)數(shù)據(jù)是流動(dòng)的,并伴隨業(yè)務(wù)進(jìn)行流轉(zhuǎn),數(shù)據(jù)安全應(yīng)和業(yè)務(wù)有更多的交互形成內(nèi)生安全或內(nèi)置安全,嵌入到整個(gè)業(yè)務(wù)過程中對(duì)業(yè)務(wù)數(shù)據(jù)保護(hù),從數(shù)據(jù)安全體系設(shè)計(jì)上梳理業(yè)務(wù)數(shù)據(jù)的脈絡(luò),嵌入安全能力和工具,源自數(shù)據(jù)的數(shù)據(jù)治理安全理論才能真正實(shí)現(xiàn)數(shù)據(jù)資產(chǎn)化的目標(biāo)。
03、源自數(shù)據(jù)的共享開放驅(qū)動(dòng)業(yè)務(wù)治理的發(fā)展與創(chuàng)新
數(shù)據(jù)治理安全理論的核心是數(shù)據(jù),數(shù)據(jù)承載著業(yè)務(wù)、驅(qū)動(dòng)著業(yè)務(wù),因此數(shù)據(jù)安全與業(yè)務(wù)融合、數(shù)據(jù)安全驅(qū)動(dòng)業(yè)務(wù)是未來發(fā)展趨勢(shì);數(shù)據(jù)治理安全應(yīng)源自數(shù)據(jù),將數(shù)據(jù)安全建設(shè)的防護(hù)主體定位在數(shù)據(jù)層面,以數(shù)據(jù)為中心構(gòu)建安全體系,并將數(shù)據(jù)生命周期作為一個(gè)閉環(huán),進(jìn)行更為細(xì)粒度的安全防護(hù),確保數(shù)據(jù)在各環(huán)節(jié)都能被有效地、動(dòng)態(tài)地保護(hù)和檢測(cè)。
針對(duì)數(shù)據(jù)全生命周期安全的全量發(fā)現(xiàn)、全鏈路管理、全景控制的數(shù)據(jù)安全閉環(huán),通過AI引擎發(fā)現(xiàn)敏感信息位置、血緣分析、分類分級(jí)、法規(guī)遵從匹配,根據(jù)業(yè)務(wù)、合規(guī)等因素界定、判斷、標(biāo)定及保護(hù)重要敏感數(shù)據(jù)。AI引擎和動(dòng)態(tài)知識(shí)庫是核心,只有建立常態(tài)化治理、持續(xù)性改進(jìn)的數(shù)據(jù)安全閉環(huán),才能提升組織整體數(shù)據(jù)治理和數(shù)據(jù)安全能力,釋放數(shù)據(jù)價(jià)值,創(chuàng)造持續(xù)健康數(shù)據(jù)治理安全生態(tài)。
在數(shù)據(jù)安全閉環(huán)中,數(shù)據(jù)分類分級(jí)是底座。企業(yè)組織立足于數(shù)據(jù)安全的現(xiàn)狀,明確數(shù)據(jù)的分布和使用狀況,制定自身數(shù)據(jù)分類分級(jí)要求,實(shí)現(xiàn)數(shù)據(jù)結(jié)構(gòu)化管理和利用,形成業(yè)務(wù)數(shù)據(jù)分類的標(biāo)準(zhǔn)化輸出。數(shù)據(jù)分類方便于業(yè)務(wù)數(shù)據(jù)管理,避免一刀切的控制方式,以便后續(xù)在數(shù)據(jù)安全管理上采用更加精細(xì)化控制的安全工具。
企業(yè)組織根據(jù)數(shù)據(jù)分類分級(jí)的結(jié)果,從管理、流程和技術(shù)等方面制定數(shù)據(jù)安全的全生命周期數(shù)據(jù)安全管控策略,讓業(yè)務(wù)數(shù)據(jù)在共享使用和安全使用之間獲得平衡,對(duì)不同敏感級(jí)別的數(shù)據(jù)設(shè)置相應(yīng)訪問權(quán)限、加密、脫敏、數(shù)據(jù)防泄漏等的管控策略,大幅提升數(shù)據(jù)安全管控效率。
通過(CPI)² 框架做抓手,建立數(shù)據(jù)資產(chǎn)報(bào)告和目錄,在制度管理、技術(shù)防護(hù)、運(yùn)行維護(hù)等多維度安全建設(shè),最終實(shí)現(xiàn)數(shù)據(jù)分類分級(jí)的閉環(huán)管理。
04、基于(CPI)² 框架的數(shù)據(jù)治理安全理論
(CPI)²是霍因科技聯(lián)合數(shù)世咨詢,對(duì)超百家企業(yè)CIO進(jìn)行調(diào)研和咨詢發(fā)布的數(shù)據(jù)安全框架,結(jié)合霍因科技在數(shù)據(jù)安全與數(shù)據(jù)治理方面沉淀的技術(shù)和對(duì)行業(yè)數(shù)據(jù)的深度理解,匹配數(shù)據(jù)安全相關(guān)法律法規(guī)和地方、行業(yè)的安全要求,是以合規(guī)驅(qū)動(dòng)的數(shù)據(jù)安全建設(shè)落地應(yīng)用的最佳實(shí)踐。框架具體建設(shè)分為以下三個(gè)階段,供參考:
第一個(gè)階段是數(shù)據(jù)資產(chǎn)化:Consulting代表行業(yè)咨詢、Capitalization代表數(shù)據(jù)資產(chǎn)化,通過行業(yè)知識(shí)庫,輔以咨詢服務(wù),用人工智能的方式為企業(yè)實(shí)現(xiàn)數(shù)據(jù)分類分級(jí)和資產(chǎn)化;
第二個(gè)階段是數(shù)據(jù)安全:Policy代表安全策略、Protection代表安全防護(hù),為數(shù)據(jù)資產(chǎn)制定全面的安全策略,匹配法律法規(guī)和政策要求的安全控制能力;
第三個(gè)階段數(shù)據(jù)能力迭代:Iteration代表迭代調(diào)優(yōu)、Improvement代表持續(xù)改善,通過持續(xù)跟進(jìn)法律法規(guī)和政策變化、持續(xù)學(xué)習(xí)業(yè)務(wù)邏輯的特性與管理運(yùn)作的流程,不斷調(diào)整分類分級(jí)的結(jié)果,使數(shù)據(jù)資產(chǎn)更加精確明晰,反復(fù)循環(huán)正向迭代的過程,實(shí)現(xiàn)可持續(xù)發(fā)展的數(shù)據(jù)治理安全。
由于企業(yè)組織間的業(yè)務(wù)差異性和復(fù)雜性,要從組織級(jí)層面通盤考慮,既不能對(duì)當(dāng)前業(yè)務(wù)的發(fā)展產(chǎn)生嚴(yán)重影響,也要考慮到業(yè)務(wù)長(zhǎng)遠(yuǎn)發(fā)展需要,通過(CPI)² 框架推動(dòng)企業(yè)組織實(shí)現(xiàn)業(yè)務(wù)和數(shù)據(jù)治理達(dá)到合理的平衡性,建立數(shù)據(jù)安全合規(guī)文化和有效的合規(guī)風(fēng)險(xiǎn)預(yù)防、預(yù)警及監(jiān)督機(jī)制,從而避免企業(yè)組織因違反相關(guān)的國(guó)內(nèi)外法律、行業(yè)監(jiān)管指引、制度、規(guī)范等而導(dǎo)致的風(fēng)險(xiǎn),確定實(shí)際業(yè)務(wù)數(shù)據(jù)的處理是否符合合規(guī)管理要求,是否存在數(shù)據(jù)錯(cuò)誤事偽造等情況,合規(guī)管理的實(shí)際覆蓋范圍是否全面,是否存在因業(yè)務(wù)人員自行更改數(shù)據(jù)安全策略而導(dǎo)致其失效等,并根據(jù)具體的業(yè)務(wù)場(chǎng)景和各生命周期環(huán)節(jié),有針對(duì)性地識(shí)別并解決其中存在的數(shù)據(jù)安全問題,防范數(shù)據(jù)安全風(fēng)險(xiǎn),實(shí)現(xiàn)數(shù)據(jù)安全能力的迭代,從而確保企業(yè)組織維持長(zhǎng)久穩(wěn)定運(yùn)營(yíng)。
05、(CPI)² 框架實(shí)現(xiàn)數(shù)據(jù)資產(chǎn)化
“讓數(shù)據(jù)更有價(jià)值,讓數(shù)據(jù)產(chǎn)生價(jià)值,讓價(jià)值可以量化”,從而催生更加豐富的數(shù)據(jù)應(yīng)用場(chǎng)景,推動(dòng)數(shù)據(jù)資產(chǎn)建立生態(tài),實(shí)現(xiàn)對(duì)數(shù)據(jù)資產(chǎn)的持續(xù)運(yùn)營(yíng),推動(dòng)企業(yè)組織數(shù)據(jù)資產(chǎn)的業(yè)務(wù)價(jià)值、經(jīng)濟(jì)價(jià)值和社會(huì)價(jià)值顯性化,使數(shù)據(jù)真正成為企業(yè)資產(chǎn)的一部分,賦能業(yè)務(wù)發(fā)展,進(jìn)一步推動(dòng)企業(yè)數(shù)字化轉(zhuǎn)型。
數(shù)據(jù)資產(chǎn)是能夠?yàn)槠髽I(yè)組織產(chǎn)生價(jià)值的數(shù)據(jù)資源,數(shù)據(jù)資產(chǎn)的形成需要對(duì)數(shù)據(jù)資源進(jìn)行主動(dòng)管理并形成有效控制,通過對(duì)數(shù)據(jù)資產(chǎn)進(jìn)行分析能夠更好地細(xì)分用戶群體、制定銷售策略、服務(wù)客戶,清晰了解當(dāng)前所服務(wù)客戶需求信息,從而更有針對(duì)性地介紹產(chǎn)品,提升企業(yè)組織的銷售。
在企業(yè)組織數(shù)字化轉(zhuǎn)型過程中,應(yīng)按業(yè)務(wù)發(fā)展階段提供匹配業(yè)務(wù)需求的數(shù)據(jù)安全能力,根據(jù)業(yè)務(wù)運(yùn)營(yíng)的邏輯和流程去設(shè)計(jì),更多的是利用通用性的安全控制匹配現(xiàn)有的業(yè)務(wù)流程、管理環(huán)節(jié)。源于數(shù)據(jù)的數(shù)據(jù)治理安全理論正是面向業(yè)務(wù)數(shù)據(jù)治理維度,從制度流程的層面,針對(duì)企業(yè)組織整體設(shè)計(jì)數(shù)據(jù)安全策略,并根據(jù)實(shí)際業(yè)務(wù)需求進(jìn)行對(duì)應(yīng)的合規(guī)管理、管理規(guī)劃和人員建設(shè),對(duì)當(dāng)前所面臨的數(shù)據(jù)安全風(fēng)險(xiǎn)現(xiàn)狀進(jìn)行梳理,企業(yè)組織整體治理流程進(jìn)行管控,夯實(shí)數(shù)據(jù)安全能力,進(jìn)而結(jié)合流轉(zhuǎn)和隱私安全等安全工具實(shí)現(xiàn)數(shù)據(jù)安全共享開放。
數(shù)據(jù)安全合規(guī)管理是企業(yè)組織維持長(zhǎng)期穩(wěn)定運(yùn)營(yíng)的先決條件,也是數(shù)據(jù)安全能力最低要求,數(shù)據(jù)治理安全理論依據(jù)法律法規(guī)及相關(guān)標(biāo)準(zhǔn)對(duì)重要數(shù)據(jù)保護(hù)要求,為組織建立統(tǒng)一符合安全性的管理規(guī)范,包括但不限于個(gè)人信息保護(hù)、重要數(shù)據(jù)保護(hù)等方面的安全合規(guī)需求,以確保組織數(shù)據(jù)安全的合規(guī)性。
因?yàn)閿?shù)據(jù)治理安全理論源自數(shù)據(jù),是以數(shù)據(jù)為中心,保障數(shù)據(jù)安全、促進(jìn)開發(fā)利用為原則,圍繞數(shù)據(jù)全生命周期構(gòu)建相應(yīng)安全體系,需要組織內(nèi)部多利益相關(guān)方統(tǒng)一共識(shí),協(xié)同工作,平衡數(shù)據(jù)安全與業(yè)務(wù)發(fā)展,必須依賴多個(gè)部門協(xié)作實(shí)施一系列活動(dòng)集合才能落地,所以,企業(yè)組織在數(shù)據(jù)治理安全理論指導(dǎo)下,還需要(CPI)² 框架才能更好地落地。
結(jié)論:(CPI)² 框架是將原始數(shù)據(jù)轉(zhuǎn)變?yōu)閿?shù)據(jù)資源、數(shù)據(jù)資產(chǎn),逐步提高數(shù)據(jù)價(jià)值密度,轉(zhuǎn)化為可交易的數(shù)據(jù)要素,最終實(shí)現(xiàn)數(shù)據(jù)資產(chǎn)化。
下期預(yù)告:AI 引擎的不斷自我迭代
當(dāng)下數(shù)據(jù)生產(chǎn)要素已成為中國(guó)數(shù)字經(jīng)濟(jì)轉(zhuǎn)型、工業(yè)智能化、實(shí)現(xiàn)高質(zhì)量發(fā)展重要驅(qū)動(dòng)力,數(shù)據(jù)共享使用無疑是正確發(fā)揮數(shù)據(jù)生產(chǎn)要素價(jià)值的最佳途徑,而人工智能則是加快數(shù)據(jù)共享使用的火箭推進(jìn)器引擎。如果以人工智能為核心的AI 引擎的能夠不斷自我迭代的話,不僅能夠加快企業(yè)組織數(shù)據(jù)治理安全的效能,而且會(huì)對(duì)各行各業(yè)乃至中國(guó)數(shù)字經(jīng)濟(jì)和整體社會(huì)發(fā)展都有著至關(guān)重要的戰(zhàn)略意義。
(本文作者:北京霍因科技有限公司 解決方案中心)
霍因科技介紹:
霍因科技是一家專注為客戶提供安全合規(guī)數(shù)據(jù)治理方案的雙高新企業(yè),旗下海石數(shù)據(jù)治理安全平臺(tái)“以(CPI)²落地和實(shí)踐”為核心,基于AI深度學(xué)習(xí)、湖倉(cāng)一體技術(shù)、自動(dòng)發(fā)現(xiàn)及分類分級(jí)能力,幫助企業(yè)不斷提升自身全域全量數(shù)據(jù)治理的安全能力,建立數(shù)據(jù)安全體系底座,賦能數(shù)字化轉(zhuǎn)型。