隨著數(shù)字化業(yè)務(wù)的建設(shè)，數(shù)據(jù)量大、數(shù)據(jù)調(diào)用常態(tài)化、數(shù)據(jù)處理活動(dòng)復(fù)雜，數(shù)據(jù)流轉(zhuǎn)在終端、應(yīng)用、組件等，數(shù)據(jù)安全場景發(fā)生巨大改變，數(shù)據(jù)安全打破傳統(tǒng)的網(wǎng)絡(luò)安全區(qū)域劃分，傳統(tǒng)的邊界、主機(jī)、系統(tǒng)、終端、數(shù)據(jù)庫的單點(diǎn)防護(hù)已無法滿足數(shù)據(jù)安全防護(hù)的需求。

近年來，我國數(shù)據(jù)安全相關(guān)法律制度已取得很大進(jìn)展，《中華人民共和國數(shù)據(jù)安全法》以及《中華人民共和國個(gè)人信息保護(hù)法》的頒布以及《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》《網(wǎng)絡(luò)數(shù)據(jù)分類分級(jí)指引》等條例的發(fā)布，已構(gòu)成基本的數(shù)據(jù)安全保障網(wǎng)，是基本的數(shù)據(jù)安全法律框架。

但目前數(shù)據(jù)安全法律制度仍不完善，存在邊界覆蓋不全、操作性不強(qiáng)等問題。特別是數(shù)字化轉(zhuǎn)型背景下，各類數(shù)據(jù)跨行業(yè)、跨機(jī)構(gòu)的交換傳輸越來越多，數(shù)據(jù)之間的邊界越來越模糊，導(dǎo)致監(jiān)管依據(jù)不足，不知如何落實(shí)數(shù)據(jù)安全工作等問題。

數(shù)據(jù)的分類分級(jí)是全行業(yè)關(guān)注的焦點(diǎn)，數(shù)據(jù)分類分級(jí)離不開數(shù)據(jù)資產(chǎn)的識(shí)別和敏感數(shù)據(jù)的發(fā)現(xiàn)。首先，在數(shù)據(jù)分類分級(jí)方面，從國家到各地均出臺(tái)了相關(guān)的規(guī)范和指南，但是不同行業(yè)的業(yè)務(wù)數(shù)據(jù)差異化明顯，很難依據(jù)規(guī)范開展落地實(shí)踐的分類分級(jí)；其次數(shù)字化轉(zhuǎn)型過程中數(shù)據(jù)量極大，要做到批量的字段級(jí)的分類分級(jí)，難上加難；而且數(shù)據(jù)分類分級(jí)現(xiàn)有的技術(shù)手段有限，針對(duì)同一字段不同敏感度的數(shù)據(jù)難以標(biāo)識(shí)。

數(shù)據(jù)安全治理的難點(diǎn)和重點(diǎn)在于明確數(shù)據(jù)的權(quán)屬關(guān)系，沒有明確的數(shù)據(jù)權(quán)屬關(guān)系就無法實(shí)現(xiàn)“最小權(quán)限”的權(quán)限劃分，那在數(shù)據(jù)處理活動(dòng)的各個(gè)環(huán)節(jié)，過度采集個(gè)人隱私數(shù)據(jù)、數(shù)據(jù)權(quán)限過度放大等情況會(huì)常態(tài)化和普遍性，數(shù)據(jù)安全的控制范圍和責(zé)任就難以確定。

責(zé)任到人，建立共建共治的協(xié)同管理能力

明確數(shù)據(jù)安全建設(shè)職責(zé)，安全不是一個(gè)部門的事情，明確好數(shù)據(jù)提供者、數(shù)據(jù)平臺(tái)提供者、數(shù)據(jù)使用者、數(shù)據(jù)安全管理者等多角色，充分調(diào)用各個(gè)角色參與到數(shù)據(jù)安全的建設(shè)工作中，建立共建共治的協(xié)同管理能力。

借助識(shí)別工具以及元數(shù)據(jù)管理平臺(tái)

開展數(shù)據(jù)分類分級(jí)工作

分類分級(jí)是數(shù)據(jù)全流程動(dòng)態(tài)保護(hù)的基本前提，多視角開展數(shù)據(jù)定級(jí)工作，從數(shù)據(jù)共享的視角以及安全視角相結(jié)合開展數(shù)據(jù)定級(jí)，例如“公開、有條件申請(qǐng)、審批通過可看……”同時(shí)結(jié)合安全防護(hù)的角度定級(jí)，不同級(jí)別的數(shù)據(jù)在存儲(chǔ)、傳輸、共享等流程中需要采取加密、脫敏等措施。

需要注意的是，分類分級(jí)的工作需要與數(shù)據(jù)治理相結(jié)合，借助大數(shù)據(jù)平臺(tái)的元數(shù)據(jù)管理以及業(yè)務(wù)功能完善識(shí)別工具無法實(shí)現(xiàn)定級(jí)的特殊情況，補(bǔ)齊數(shù)據(jù)分類分級(jí)的能力，針對(duì)數(shù)據(jù)量大的問題，需要在數(shù)據(jù)量大的時(shí)候選取前一百行數(shù)據(jù)等抽樣的方式或者借助大數(shù)據(jù)平臺(tái)的元數(shù)據(jù)管理進(jìn)行標(biāo)記實(shí)現(xiàn)。

開展常態(tài)化的數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估

基于數(shù)字化業(yè)務(wù)的數(shù)據(jù)體量大，且數(shù)據(jù)敏感程度較高，風(fēng)險(xiǎn)不可知等特點(diǎn)，所以開展數(shù)據(jù)安全建設(shè)的首要工作是讓風(fēng)險(xiǎn)可知。從合規(guī)視角和風(fēng)險(xiǎn)視角開展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估，以“數(shù)據(jù)”為核心梳理數(shù)據(jù)業(yè)務(wù)流和數(shù)據(jù)流，基于數(shù)據(jù)流通的業(yè)務(wù)場景，識(shí)別關(guān)鍵節(jié)點(diǎn)的數(shù)據(jù)安全風(fēng)險(xiǎn)，基于風(fēng)險(xiǎn)評(píng)估的結(jié)果進(jìn)行數(shù)據(jù)安全體系化規(guī)劃，此路徑經(jīng)實(shí)踐較為科學(xué)，可操作性強(qiáng)。

落實(shí)數(shù)據(jù)安全體系化規(guī)劃和建設(shè)

根據(jù)分類分級(jí)的結(jié)果，不同級(jí)別的數(shù)據(jù)，采取不同的防護(hù)手段，通過全面了解數(shù)據(jù)安全威脅，建立數(shù)據(jù)安全解決方案，數(shù)據(jù)安全運(yùn)營能力建設(shè)，實(shí)現(xiàn)數(shù)據(jù)安全運(yùn)營流程化、集中化。同時(shí)，數(shù)據(jù)安全治理需要數(shù)據(jù)安全管理方建立管理能力和運(yùn)營監(jiān)管能力，數(shù)據(jù)安全運(yùn)營方建立日常運(yùn)營(監(jiān)測(cè)和管理)能力，數(shù)據(jù)作業(yè)方建立監(jiān)測(cè)和防護(hù)能力，從而構(gòu)建運(yùn)營體系、管理體系、技術(shù)體系階段相輔相成的行之有效的數(shù)據(jù)安全治理體系。

數(shù)據(jù)驅(qū)動(dòng)業(yè)務(wù)發(fā)展已是數(shù)字化轉(zhuǎn)型趨勢(shì)下的顯著特點(diǎn)。在探索和落實(shí)數(shù)據(jù)安全建設(shè)的路上，安全與業(yè)務(wù)的平衡是個(gè)永恒的課題，有規(guī)劃地逐步建設(shè)數(shù)據(jù)安全能力，使得數(shù)據(jù)安全治理與數(shù)字經(jīng)濟(jì)的發(fā)展相輔相成，才是正確的數(shù)據(jù)安全治理之道。