数据安全管理要从制度层面下沉到具体场景

“随着科技进步与发展，数据安全受到国家高度重视。从国家陆续出台的法律法规及相关政策可看出，在当下新型数字化社会中，数据已成为政府、城市、产业发展的核心驱动要素。作为新的价值载体，与之相关联的数据安全重要性也不言而喻，成为未来数字经济发展的重要保障。”在日前举办的第二届数据安全治理峰会上，中国信通院云计算与大数据研究所所长何宝宏表示，数据作为推进数字化转型发展的核心要素，是构建国家竞争新优势的战略选择。而数据安全则是建设安全高效的数据要素市场，激发企业创新活力的关键保障。

中国信通院云计算与大数据研究所副所长魏凯介绍说，我国企业数据安全治理取得了有效进展，同时也面临新挑战。比如当前大部分企业的数据安全管理制度聚焦在原则、管理规定等较粗颗粒度的层面，对数据业务的下沉指导不充分，导致具体业务场景下的技术落地仍然缺乏实践指引，容易与管理要求脱节。

魏凯认为，数据安全治理实践可以从以下三方面落地。一是全局体系规划，在该阶段主要确定组织数据安全治理工作的总体定位和愿景，根据组织整体发展战略内容，结合实际情况进行现状分析，制定数据安全规划，并对规划进行充分论证。二是场景落地建设。一般来说，可以从数据全生命周期和业务运行环境两个角度对场景进行划分。企业通过逐个场景的数据安全建设，最终推动数据安全治理体系在组织内的全面落地。三是数据安全治理的持续运营，打通各环节的建设内容，促进整个体系的良性发展。运营工作覆盖事前—事中—事后，包括风险防范、监控预警和应急处理等方面。

企业想做好数据安全落地，离不开数据安全运营。绿盟科技高级数据安全专家许国昊表示，数据运营方需要主动用防御机制来监测数据流动的合规性，参考数据隐私条例、行业监管条例，制定精确的敏感数据发现策略，对识别到的敏感数据进行脱敏匿名化处理，对已脱敏的数据进行脱敏风险评估，模拟重标识攻击、匿名数据重构、数据管理推断等算法分析数据泄露风险。

许国昊认为，数据安全建设是一个长期和持续的过程。除了策略优化、数据资产稽核这些常规运营以外，通过企业与安全厂商一起组建专家团队，对重点安全事件做研判、处置、固化，并通过运营将能力转化到威胁识别能力、处置策略中，最终形成自动化研判、处置。同时，数据安全防护需要建立在纵深防御体系内，企业可以在纵深防护体系上将体系化安全建设与常态化安全运营相结合，为企业网络安全建设提供重要支撑。