从数据安全管理的概念浅谈数据安全落地

随着《数据安全法》《个人信息保护法》的落地实施，数据安全顶层规划和数据安全管理逐渐成为高频热词。但是对于数据安全管理概念，准确定义是什么，许多人可能对此还不甚清晰。大家认为数据安全顶层规划概念更大，数据安全顶层规划包含数据安全管理，数据安全顶层规划就是数据安全落地。

实则不然，数据安全顶层规划是对组织内部数据安全组织机构、人员职责任命、数据安全目标规划、法规政策、标准要求、度量标准等做出定义与规划是顶层设计及方向。数据安全管理则是对数据安全顶层规划提出的定义与规划的落地以及从内部管理流程管控到数据安全技术管控的实现。

数据安全顶层规划是数据安全管理的一部分，规划相对容易界定，它是用来明确相关角色、工作责任和工作目标的，确保数据资产能长期有序地、可持续地得到管理。并且是一种“制度化”过程，所谓制度化是执行一个“正式批准”的体系，该体系包括明确的价值目的、必须遵从规范和落实规划责任的组织机构。数据安全顶层规划以“人”与数据为中心，通过平衡业务需求与风险，制定数据安全策略。

我们可以从不同的视角来了解数据安全顶层规划的基本内涵：

1.收益：设置数据安全管理投入的正确方向，以获得更好的回报。

2.内容：明确作为企业资产的数据主体、建立围绕这些主体的权责体系

3.实施：自上而下、面向企业整体范围的数据策略和高层规范。

而数据安全管理则是一个更为广泛的定义，它与数据安全工作的方方面面都紧密相关。如下图所示：

数据安全管理包含了数据安全顶层规划、内部管理流程管控、数据安全技术管控三个大的方面。数据安全顶层规划包含了法规政策、标准要求、度量标准、制度规范、数据安全目标规划、数据安全组织机构、人员职责任命。内部管理流程管控包含了数据资产分类分级、权限管理、合作方管理、投诉处理、教育培训、管理审计、应急响应。数据安全技术管控包含了加密技术要求、脱敏技术要求、数据识别能力、操作审计能力、数据防泄漏能力、API接口安全能力。共计二十项相关能力要求。我们将数据安全管理涉及的相关纬度工作整体梳理下来，可以清楚的认识到，对于数据安全工作的能力应该是数据安全管理能力，数据安全顶层规划为数据安全管理的其中一部分。

那么在上述提到的任何一项能力均涉及具体的细节要求，例如：资产分类分级我们应如何建立契合自身业务数据范围的分类分级模版，从业务调研到业务数据合理划分分类、分级，建立合理且严谨的落地操作规范，如何避免内部人员导致的数据安全风险，从而联动到后续业务的分级管控，应达到在*小化影响业务效率的同时即满足合规要求。

在完善建设上述能力后，为满足《数据安全法》提及的相关要求，我们还应建立内部的数据安全管理能力评估体系，那么在体系建立过程中应注意评估范围、评估内容及办法。如企业进行自评则应关注内部管理流程管控及数据安全技术管控。如果由三方权威机构进行外部评估，范围则应该包含内部管理流程管控、数据安全技术管控以及数据安全顶层规划所涉及的相关内容。

在2021年12月中国信息通信研究院正式发起了国内首个数据安全管理能力认证专项（DSMC），专项不仅关注验证企业自身的全域数据安全管理能力，并且帮助企业指导搭建贴合自身业务场景的数据安全管理机制。数据安全管理工作并不是标准化的体系要求，需要按照细分行业、具体业务流程差异进行区别对待。还应考虑到企业自身组织架构、技术能力现状等问题。

2022年众多企业受到疫情影响，不仅业务受到严重影响，数据安全工作也遇到了巨大挑战。为了帮助更多的企业可以进行数据安全管理能力差距自查，从而完善各企业的数据安全能力，中国信通院卓信大数据计划即日起正式公开DSMC专项涉及的数据安全能力要求细则，以及能力建设要点，并免费提供差距分析指导。