數(shù)據(jù)安全是當(dāng)前的熱門話題、共性話題，提升企業(yè)自身數(shù)據(jù)安全防護(hù)能力已成為行業(yè)共識(shí)。12月21日，中國(guó)信息通信研究院“ICT深度觀察”大會(huì)-數(shù)據(jù)安全產(chǎn)業(yè)分論壇舉行，騰訊安全云鼎實(shí)驗(yàn)室研究員劉海洋出席會(huì)議，從數(shù)據(jù)場(chǎng)景角度切入，深度剖析數(shù)據(jù)安全體系建設(shè)面臨的挑戰(zhàn)與發(fā)展趨勢(shì)，分享企業(yè)數(shù)據(jù)安全評(píng)估的實(shí)踐。

　　數(shù)據(jù)安全體系建設(shè)的發(fā)展趨勢(shì)應(yīng)是一體化和輕量化

　　數(shù)據(jù)已成為新的生產(chǎn)要素，在經(jīng)濟(jì)發(fā)展中發(fā)揮的作用越來(lái)越大。相應(yīng)地，數(shù)據(jù)面對(duì)的安全風(fēng)險(xiǎn)和挑戰(zhàn)也越來(lái)越多。今年9月施行的《數(shù)據(jù)安全法》，更標(biāo)志著數(shù)據(jù)安全和數(shù)據(jù)利用正式提升到國(guó)家法規(guī)層面。

　　在劉海洋看來(lái)，數(shù)據(jù)安全的難點(diǎn)在于便捷使用和安全管控之間的平衡。在數(shù)據(jù)安全工作中可以發(fā)現(xiàn)，數(shù)據(jù)安全管控措施往往與數(shù)據(jù)業(yè)務(wù)是交織在一起的。因此，數(shù)據(jù)安全并不是一味地去防、去控，而是要充分考慮其業(yè)務(wù)場(chǎng)景和處理活動(dòng)，既要能用，還要安全。

　　如何更好地平衡數(shù)據(jù)使用和數(shù)據(jù)安全之間的矛盾?一體化、輕量化，將會(huì)是數(shù)據(jù)安全體系建設(shè)的發(fā)展趨勢(shì)。

　　一體化，主要體現(xiàn)在數(shù)據(jù)安全能力融合上。將眾多數(shù)據(jù)安全能力通過(guò)組件化的方式進(jìn)行融合，形成企業(yè)的統(tǒng)一管控平臺(tái)，不僅可以降低投入成本，同時(shí)其靈活性也可適應(yīng)復(fù)雜的數(shù)據(jù)場(chǎng)景。

　　輕量化，主要體現(xiàn)在能力接入方面。數(shù)據(jù)安全工作不是邊界類防護(hù)，需要業(yè)務(wù)深度參與，甚至有時(shí)為了安全要損失業(yè)務(wù)功能的便捷性。因此，數(shù)據(jù)安全能力的接入要充分考慮對(duì)業(yè)務(wù)流程的影響，盡量做到免改造、微改造。

　　數(shù)據(jù)安全體系建設(shè)的目的是讓數(shù)據(jù)遵規(guī)守序

　　在目前強(qiáng)監(jiān)管態(tài)勢(shì)下，一體化、輕量化地進(jìn)行數(shù)據(jù)安全體系建設(shè)，最終目的是讓數(shù)據(jù)管理遵循法規(guī)，讓數(shù)據(jù)流動(dòng)遵守秩序。數(shù)據(jù)安全體系構(gòu)建需要先進(jìn)靈活的底座，才能應(yīng)對(duì)多樣性的法規(guī)。從數(shù)據(jù)生命周期角度來(lái)看，企業(yè)數(shù)據(jù)安全評(píng)估及安全體系建設(shè)的最終路徑，概括起來(lái)則是：厘清數(shù)據(jù)資產(chǎn)——掌握使用狀況——明確差距與風(fēng)險(xiǎn)——理清建設(shè)思路。

　　在啟動(dòng)數(shù)據(jù)安全評(píng)估之前，首先要明確數(shù)據(jù)安全現(xiàn)狀，做好數(shù)據(jù)資產(chǎn)盤點(diǎn)和數(shù)據(jù)分類分級(jí)工作。有哪些數(shù)據(jù)?數(shù)據(jù)在哪里?現(xiàn)階段基本架構(gòu)情況如何?是否符合數(shù)據(jù)安全合規(guī)的要求?回答了這些問(wèn)題，才能在后續(xù)，結(jié)合業(yè)務(wù)發(fā)展與合規(guī)要求，制定適合企業(yè)自身需求的數(shù)據(jù)安全方案和策略。

　　對(duì)于最重要的數(shù)據(jù)安全評(píng)估，為掌握數(shù)據(jù)使用狀況，保證調(diào)研工作的效率和準(zhǔn)確性，建議采用“面對(duì)面為主，遠(yuǎn)程為輔”、“工具為主，人工為輔”的工作策略。從過(guò)往數(shù)據(jù)處理活動(dòng)梳理的實(shí)踐經(jīng)驗(yàn)來(lái)看，一個(gè)數(shù)據(jù)場(chǎng)景可能有一個(gè)或多個(gè)處理活動(dòng)，的辦法便是按數(shù)據(jù)流向開(kāi)展梳理，以數(shù)據(jù)跨場(chǎng)景為邊界，關(guān)注每個(gè)處理活動(dòng)中的數(shù)據(jù)角色和權(quán)限。

　　而明確當(dāng)前數(shù)據(jù)安全建設(shè)的差距與風(fēng)險(xiǎn)，不僅需要結(jié)合實(shí)踐經(jīng)驗(yàn)對(duì)當(dāng)前數(shù)據(jù)運(yùn)營(yíng)狀況進(jìn)行風(fēng)險(xiǎn)分析，形成風(fēng)險(xiǎn)評(píng)估報(bào)告，還要結(jié)合現(xiàn)行數(shù)據(jù)安全相關(guān)法律法規(guī)，對(duì)應(yīng)評(píng)估點(diǎn)，發(fā)現(xiàn)自身數(shù)據(jù)安全體系在合規(guī)方面的差距。根據(jù)《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》等相關(guān)條款，企業(yè)還應(yīng)定期對(duì)數(shù)據(jù)安全情況開(kāi)展風(fēng)險(xiǎn)評(píng)估，定期合規(guī)審計(jì)。

　　事實(shí)上，數(shù)據(jù)安全體系構(gòu)建并非一蹴而就，而是不斷進(jìn)行經(jīng)驗(yàn)總結(jié)、能力提升、工具完善，不斷完善評(píng)估體系，使其更高效、更準(zhǔn)確。