在整個數(shù)據(jù)安全治理的過程中，最為重要的是實現(xiàn)數(shù)據(jù)安全策略和流程的制定，在企業(yè)或行業(yè)內(nèi)經(jīng)常被作為《某某數(shù)據(jù)安全管理規(guī)范》進行發(fā)布，所有工作流程和技術(shù)支撐都是圍繞著此規(guī)范來制定和落實。

規(guī)范的出臺往往需要經(jīng)過大量的工作才能完成，這些工作通常包括：

A、梳理出組織所需要遵循的外部政策以及與數(shù)據(jù)安全管理相關(guān)的內(nèi)容；

B、根據(jù)該組織的數(shù)據(jù)價值和特征，梳理出核心數(shù)據(jù)資產(chǎn)，并對其分級分類；

C、理清核心數(shù)據(jù)資產(chǎn)使用的狀況（收集、存儲、使用、流轉(zhuǎn)）；

D、分析核心數(shù)據(jù)資產(chǎn)面臨的威脅和使用風(fēng)險；

E、明確核心數(shù)據(jù)資產(chǎn)訪問控制的目標(biāo)和訪問控制流程；

F、制訂出組織對數(shù)據(jù)安全規(guī)范落實和安全風(fēng)險進行定期的核查策略。

一、外部所要遵循的策略

在我國，數(shù)據(jù)安全治理同樣需要遵循國家級的安全政策和行業(yè)內(nèi)的安全政策。舉例如下：

1.網(wǎng)絡(luò)安全法；

2.等級保護政策；

3.BMB17；

4.行業(yè)相關(guān)的政策要求舉例：

(a) PCI-DSS、Sarbanes-Oxley Act（SOX 法案）、 HIPPA ；

(b) 企業(yè)內(nèi)部控制基本規(guī)范；（三會、財政、審計）

(c) 中央企業(yè)商業(yè)秘密保護暫行規(guī)定；

這些政策通常是在制訂組織內(nèi)部政策時重點參考的外部政策規(guī)范。

二、數(shù)據(jù)的分級分類

數(shù)據(jù)治理主要依據(jù)數(shù)據(jù)的來源、內(nèi)容和用途對數(shù)據(jù)進行分類；按照數(shù)據(jù)的價值、內(nèi)容的敏感程度、影響和分發(fā)范圍不同對數(shù)據(jù)進行敏感級別劃分。

圖1 某運營商對數(shù)據(jù)分級分類的結(jié)果

只有對數(shù)據(jù)進行有效分類，才能夠避免一刀切的控制方式，在數(shù)據(jù)的安全管理上采用更加精細的措施，使數(shù)據(jù)在共享使用和安全使用之間獲得平衡。

三、數(shù)據(jù)資產(chǎn)狀況的梳理

3.1 數(shù)據(jù)使用部門和角色梳理

在數(shù)據(jù)資產(chǎn)的梳理中，需要明確這些數(shù)據(jù)如何被存儲，數(shù)據(jù)被哪些部門、系統(tǒng)、人員使用，數(shù)據(jù)被如何使用。對于數(shù)據(jù)的存儲和系統(tǒng)的使用，往往需要通過自動化的工具進行 ；而對于部門和人員的角色梳理，更多是要在管理規(guī)范文件中體現(xiàn)。對于數(shù)據(jù)資產(chǎn)使用角色的梳理，關(guān)鍵要明確在數(shù)據(jù)安全治理中不同受眾的分工、權(quán)利和職責(zé)。

組織與職責(zé)，明確安全管理相關(guān)部門的角色和責(zé)任，一般包括：

安全管理部門：制度制定、安全檢查、技術(shù)導(dǎo)入、事件監(jiān)控與處理；

業(yè)務(wù)部門：業(yè)務(wù)人員安全管理、業(yè)務(wù)人員行為審計、業(yè)務(wù)合作方管理；

運維部門：運維人員行為規(guī)范與管理、運維行為審計、運維第三方管理；

其它：第三方外包、人事、采購、審計等部門管理。

數(shù)據(jù)治理的角色與分工，需要明確關(guān)鍵部門內(nèi)不同角色的職責(zé)，包括：

安全管理部門：政策制定者、檢查與審計管理、技術(shù)導(dǎo)入者；

業(yè)務(wù)部門：根據(jù)單位的業(yè)務(wù)職能劃分；

運維部門：運行維護、開發(fā)測試、生產(chǎn)支撐。

3.2 數(shù)據(jù)的存儲與分布梳理

敏感數(shù)據(jù)在什么數(shù)據(jù)庫中分布著，是實現(xiàn)管控的關(guān)鍵。只有清楚敏感數(shù)據(jù)在什么庫中分布，才能知道需要對什么樣的庫實現(xiàn)怎樣的管控策略；對該庫的運維人員實現(xiàn)怎樣的管控措施；對該庫的數(shù)據(jù)導(dǎo)出，實現(xiàn)怎樣的模糊化策略；對該庫數(shù)據(jù)的存儲實現(xiàn)怎樣的加密要求。

3.3 數(shù)據(jù)的使用狀況梳理

在清楚了數(shù)據(jù)的存儲分布的基礎(chǔ)上，還需要掌握數(shù)據(jù)被什么業(yè)務(wù)系統(tǒng)訪問。只有明確了數(shù)據(jù)被什么業(yè)務(wù)系統(tǒng)訪問，才能更準確地制訂這些業(yè)務(wù)系統(tǒng)的工作人員對敏感數(shù)據(jù)訪問的權(quán)限策略和管控措施。

圖2某運營商對敏感系統(tǒng)分布的梳理結(jié)果

以運營商行業(yè)上述梳理結(jié)果為例，這僅為數(shù)據(jù)梳理的基礎(chǔ)，更重要的是梳理出不同的業(yè)務(wù)系統(tǒng)對這些敏感信息訪問的基本特征，如訪問的時間、IP、訪問次數(shù)、操作行為類型、數(shù)據(jù)操作批量行為等，基于這些基本特征，完成數(shù)據(jù)管控策略的制定。

數(shù)據(jù)的訪問控制

針對數(shù)據(jù)使用的不同方面，需要完成對數(shù)據(jù)使用的原則和控制策略，一般包括如下方面：

數(shù)據(jù)訪問的賬號和權(quán)限管理，相關(guān)原則和控制內(nèi)容包括：

(1)專人賬號管理；

(2)賬號獨立原則；

(3)賬號授權(quán)審批；

(4)最小授權(quán)原則；

(5)賬號回收管理；

(6)管理行為審計記錄；

(7)定期賬號稽核；

數(shù)據(jù)使用過程管理中，相關(guān)原則和控制內(nèi)容包括：

（1）業(yè)務(wù)需要訪問原則；

（2）批量操作審批原則；

（3）高敏感訪問審批原則；

（4）批量操作和高敏感訪問指定設(shè)備、地點原則；

（5）訪問過程審計記錄；

（6）開發(fā)測試訪問模糊化原則；

（7）訪問行為定期稽核；

數(shù)據(jù)共享（提�。┕芾�，相關(guān)原則和控制內(nèi)容包括：

（1）最小共享和模糊化原則；

（2）共享（提�。�審批原則；

（3）最小使用范圍原則；

（4）責(zé)任傳遞原則；

（5）定期稽核；

數(shù)據(jù)存儲管理，相關(guān)原則和控制內(nèi)容包括：

（1）不同敏感級別數(shù)據(jù)存儲的網(wǎng)絡(luò)區(qū)域；

（2）敏感數(shù)據(jù)存儲加密；

（3）備份訪問管理；

（4）存儲設(shè)備的移動管理；

（5）存儲設(shè)備的銷毀管理；

定期的稽核策略

定期的稽核是保證數(shù)據(jù)安全治理規(guī)范落地的關(guān)鍵，也是信息安全管理部門的重要職責(zé)，包括：

A、合規(guī)性檢查：

確保數(shù)據(jù)安全使用政策被真實執(zhí)行；

B、操作監(jiān)管與稽核：

主要針對數(shù)據(jù)訪問賬號和權(quán)限的監(jiān)管與稽核；

要具有賬號和權(quán)限的報告；要具有賬號和權(quán)限的變化報告；

業(yè)務(wù)單位和運維部門數(shù)據(jù)訪問過程的合法性監(jiān)管與稽核；

要定義異常訪問行為特征；

要對數(shù)據(jù)的訪問行為具有完全的記錄和分析；

C、風(fēng)險分析與發(fā)現(xiàn)：

對日志進行大數(shù)據(jù)分析，發(fā)現(xiàn)潛在異常行為；

對數(shù)據(jù)使用過程進行嘗試攻擊，進行數(shù)據(jù)安全性測試。

在整個數(shù)據(jù)安全治理理念中，完成數(shù)據(jù)安全治理的策略性文件和系列落地文件，這將是數(shù)據(jù)安全治理的綱領(lǐng)性文件，相應(yīng)系列文件規(guī)范中要覆蓋數(shù)據(jù)安全治理的三大需求目標(biāo)和四個重要環(huán)節(jié)，針對所有與敏感數(shù)據(jù)有接觸的人員的權(quán)限進行定義，就人員對數(shù)據(jù)訪問的過程提出控制流程。借由這些舉措來開展數(shù)據(jù)安全治理動作，確保數(shù)據(jù)安全治理工作有綱有領(lǐng)，穩(wěn)步推進。