数据安全治理维度

组织建设

数据安全组织架构是数据安全治理体系建设的前提条件。通过建立专门的数据安全组织，落实数据安全管理责任，确保数据安全相关工作能够持续稳定的贯彻执行。

数据安全治理组织架构一般由决策层、管理层、执行层与监督层构成，各层之间通过定期会议沟通等工作机制实现紧密合作、相互协同。决策层指导管理层工作的开展，并听取管理层关于工作情况和重大事项等的汇报。管理层对执行层的数据安全提出管理要求，并听取执行层关于数据安全执行情况和重大事项的汇报，形成管理闭环。监督层对管理层和执行层各自职责范围内的数据安全工作情况进行监督，并听取各方汇报，形成最终监督结论后同步汇报至决策层。

制度流程

数据安全制度流程一般会从业务数据安全需求、数据安全风险控制需要，以及法律法规合规性要求等几个方面进行梳理，最终确定数据安全防护的目标、管理策略及具体的标准、规范、程序等。

数据安全管理制度文件可分为四个层面，一、二级文件作为上层的管理要求，应具备科学性、合理性、完备性及普适性。三、四级文件则是对上层管理要求的细化解读，用于指导具体业务场景的具体工作。

图2 数据安全管理制度文件

技术工具

数据安全技术体系并非单一产品或平台的构建，而是覆盖数据全生命周期，结合组织自身使用场景的体系建设。依照组织数据安全建设的方针总则，围绕数据全生命周期各阶段的安全要求，建立与制度流程相配套的技术和工具。

图3 数据安全技术体系

其中基础通用技术工具为数据全生命周期的安全提供支撑：

• 数据分类分级相关工具平台主要实现数据资产扫描梳理、数据分类分级打标和数据分类分级管理等功能。
• 身份认证及访问控制相关工具平台，主要实现在数据全生命周期各环节中涉及的所有业务系统和管理平台的身份认证和权限管理。
• 监控审计相关工具平台接入业务系统和管理平台，实现对数据安全风险的实时监控，并能进行统一审计。
• 日志管理平台收集并分析所有业务系统和管理平台的日志，并统一日志规范以支持后续的风险分析和审计等工作。
• 安全及合规评估相关工具平台主要用于综合评估数据安全现状和合规风险。

数据全生命周期安全技术为生命周期中特定环节面临的风险提供管控技术保障。整个数据全生命周期可以通过组合或复用以下多种技术实现数据安全：

• 敏感数据识别通过对采集的数据进行识别和梳理，发现其中的敏感数据，以便进行安全管理。
• 备份与恢复技术是防止数据破坏、丢失的有效手段，用于保证数据可用性和完整性。
• 数据加密相关工具平台通过提供常见的加密模块及密钥管理能力，落地数据的加密需求。
• 数据脱敏是通过一定的规则对特定数据对象进行变形的一类技术，用于防止数据泄露和违规使用等。
• 数据水印技术通过对数据进行处理使其承载特定信息，使得数据具备追溯数据所有者与分发对象等信息的能力。在数据处理过程中起到威慑及追责的作用。
• 数据泄密防护技术通过终端防泄露技术、邮件防泄露技术、网络防泄露技术，防止敏感数据在违反安全策略规定的情况下流出企业。
• API安全管理相关工具平台提供内部接口和外部接口的安全管控和监控审计能力，保障数据传输接口安全。
• 数据删除是一种逻辑删除技术，为保证删除数据的不可恢复，一般会采取数据多次的覆写、清除等操作。
• 隐私计算通过实现数据的可用不可见，从而满足隐私安全保护、价值转化及释放。

人员能力

数据安全治理离不开相应人员的具体执行，人员的技术能力、管理能力等都影响到数据安全策略的执行和效果。因此，加强对数据安全人才的培养是数据安全治理的应有之义。组织需要根据岗位职责、人员角色，明确相应的能力要求，并从意识和能力两方面着手建立适配的数据安全能力培养机制。

意识能力培养方式。可以结合业务开展的实际场景，以及数据安全事件实际案例，通过数据安全事件宣导、数据安全事件场景还原、数据安全宣传海报、数据安全月活动等方式，定期为员工开展数据安全意识培训，纠正工作中的不良习惯，降低因意识不足带来的数据安全风险。

技术能力培养方式。一方面，构建组织内部的数据安全学习专区，营造培训环境，通过线上视频、线下授课相结合的方式，按计划、有主题的定期开展数据安全技能培训，夯实理论知识。另一方面，通过开展数据安全攻防对抗等实战演练，将以教学为主的静态培训转为以实践为主的动态培训，提高人员参与积极性，有助于理论向实践转化，切实提高人员数据安全技能。