在數據安全治理過程中，數據資產的梳理是關鍵的一步，只有明確數據資產在被哪些部門、哪些人員如何使用，才能真正保證數據在使用中的安全。

數據使用部門和角色梳理

在數據資產的梳理中，需要明確這些數據如何被存儲，需要明確數據被哪些部門、系統(tǒng)、人員使用，數據被這些部門、系統(tǒng)和人員如何使用。對于數據的存儲和系統(tǒng)的使用，往往需要通過自動化的工具進行；而對于部門和人員的角色梳理，更多是要在管理規(guī)范文件中體現。

對于數據資產使用角色的梳理，關鍵是要明確在數據安全治理中不同受眾的分工、權利和職責。

組織與職責，明確安全管理相關部門的角色和責任，一般包括：

安全管理部門：制度制定、安全檢查、技術導入、事件監(jiān)控與處理；

業(yè)務部門：業(yè)務人員安全管理、業(yè)務人員行為審計、業(yè)務合作方管理；

運維部門：運維人員行為規(guī)范與管理、運維行為審計、運維第三方管理；

其它：第三方外包、人事、采購、審計等部門管理。

對于數據治理的角色與分工，需要明確關鍵部門內不同角色的職責，一般包括：

安全管理部門：政策制定者、檢查與審計管理、技術導入者

業(yè)務部門：根據單位的業(yè)務職能劃分

運維部門：運行維護、開發(fā)測試、生產支撐

數據的存儲與分布梳理

敏感數據分布在哪里，是實現管控的關鍵。

只有清楚敏感數據分布在哪里，才能知道需要實現怎樣的管控策略；比如，針對數據庫這個層面，掌握數據分布在哪個庫、什么樣的庫，才能知道對該庫的運維人員實現怎樣樣的管控措施；對該庫的數據導出實現怎樣的模糊化策略；對該庫數據的存儲實現怎樣的加密要求。

數據的使用狀況梳理

在清楚了數據的存儲分布的基礎上，還需要掌握數據被什么業(yè)務系統(tǒng)訪問。只有明確了數據被什么業(yè)務系統(tǒng)訪問，才能更準確地制訂這些業(yè)務系統(tǒng)的工作人員對敏感數據訪問的權限策略和管控措施。

某運營商對敏感系統(tǒng)分布的梳理結果

以運營商行業(yè)上述梳理結果為例，這僅僅是一個數據梳理的基礎，更重要的是要梳理出不同的業(yè)務系統(tǒng)對這些敏感信息訪問的基本特征，如訪問的時間、IP、訪問的次數、操作行為類型、數據操作批量行為等，在這些基本特征的基礎上，完成數據管控策略的制訂。最終實現對于敏感數據資產的安全管控，從而保障數據在使用中的安全。