在數(shù)據(jù)安全治理過程中，數(shù)據(jù)資產(chǎn)的梳理是關(guān)鍵的一步，只有明確數(shù)據(jù)資產(chǎn)在被哪些部門、哪些人員如何使用，才能真正保證數(shù)據(jù)在使用中的安全。

數(shù)據(jù)使用部門和角色梳理

在數(shù)據(jù)資產(chǎn)的梳理中，需要明確這些數(shù)據(jù)如何被存儲，需要明確數(shù)據(jù)被哪些部門、系統(tǒng)、人員使用，數(shù)據(jù)被這些部門、系統(tǒng)和人員如何使用。對于數(shù)據(jù)的存儲和系統(tǒng)的使用，往往需要通過自動化的工具進(jìn)行；而對于部門和人員的角色梳理，更多是要在管理規(guī)范文件中體現(xiàn)。

對于數(shù)據(jù)資產(chǎn)使用角色的梳理，關(guān)鍵是要明確在數(shù)據(jù)安全治理中不同受眾的分工、權(quán)利和職責(zé)。

組織與職責(zé)，明確安全管理相關(guān)部門的角色和責(zé)任，一般包括：

安全管理部門：制度制定、安全檢查、技術(shù)導(dǎo)入、事件監(jiān)控與處理；

業(yè)務(wù)部門：業(yè)務(wù)人員安全管理、業(yè)務(wù)人員行為審計、業(yè)務(wù)合作方管理；

運(yùn)維部門：運(yùn)維人員行為規(guī)范與管理、運(yùn)維行為審計、運(yùn)維第三方管理；

其它：第三方外包、人事、采購、審計等部門管理。

對于數(shù)據(jù)治理的角色與分工，需要明確關(guān)鍵部門內(nèi)不同角色的職責(zé)，一般包括：

安全管理部門：政策制定者、檢查與審計管理、技術(shù)導(dǎo)入者

業(yè)務(wù)部門：根據(jù)單位的業(yè)務(wù)職能劃分

運(yùn)維部門：運(yùn)行維護(hù)、開發(fā)測試、生產(chǎn)支撐

數(shù)據(jù)的存儲與分布梳理

敏感數(shù)據(jù)分布在哪里，是實現(xiàn)管控的關(guān)鍵。

只有清楚敏感數(shù)據(jù)分布在哪里，才能知道需要實現(xiàn)怎樣的管控策略；比如，針對數(shù)據(jù)庫這個層面，掌握數(shù)據(jù)分布在哪個庫、什么樣的庫，才能知道對該庫的運(yùn)維人員實現(xiàn)怎樣樣的管控措施；對該庫的數(shù)據(jù)導(dǎo)出實現(xiàn)怎樣的模糊化策略；對該庫數(shù)據(jù)的存儲實現(xiàn)怎樣的加密要求。

數(shù)據(jù)的使用狀況梳理

在清楚了數(shù)據(jù)的存儲分布的基礎(chǔ)上，還需要掌握數(shù)據(jù)被什么業(yè)務(wù)系統(tǒng)訪問。只有明確了數(shù)據(jù)被什么業(yè)務(wù)系統(tǒng)訪問，才能更準(zhǔn)確地制訂這些業(yè)務(wù)系統(tǒng)的工作人員對敏感數(shù)據(jù)訪問的權(quán)限策略和管控措施。

某運(yùn)營商對敏感系統(tǒng)分布的梳理結(jié)果

以運(yùn)營商行業(yè)上述梳理結(jié)果為例，這僅僅是一個數(shù)據(jù)梳理的基礎(chǔ)，更重要的是要梳理出不同的業(yè)務(wù)系統(tǒng)對這些敏感信息訪問的基本特征，如訪問的時間、IP、訪問的次數(shù)、操作行為類型、數(shù)據(jù)操作批量行為等，在這些基本特征的基礎(chǔ)上，完成數(shù)據(jù)管控策略的制訂。最終實現(xiàn)對于敏感數(shù)據(jù)資產(chǎn)的安全管控，從而保障數(shù)據(jù)在使用中的安全。