數(shù)據(jù)安全是當(dāng)前的熱門話題、共性話題，提升企業(yè)自身數(shù)據(jù)安全防護(hù)能力已成為行業(yè)共識。12月21日，中國信息通信研究院“ICT深度觀察”大會-數(shù)據(jù)安全產(chǎn)業(yè)分論壇舉行，騰訊安全云鼎實(shí)驗(yàn)室高級研究員劉海洋出席會議，從數(shù)據(jù)場景角度切入，深度剖析數(shù)據(jù)安全體系建設(shè)面臨的挑戰(zhàn)與發(fā)展趨勢，分享企業(yè)數(shù)據(jù)安全評估的最佳實(shí)踐。

數(shù)據(jù)安全體系建設(shè)的發(fā)展趨勢應(yīng)是一體化和輕量化

數(shù)據(jù)已成為新的生產(chǎn)要素，在經(jīng)濟(jì)發(fā)展中發(fā)揮的作用越來越大。相應(yīng)地，數(shù)據(jù)面對的安全風(fēng)險和挑戰(zhàn)也越來越多。今年9月施行的《數(shù)據(jù)安全法》，更標(biāo)志著數(shù)據(jù)安全和數(shù)據(jù)利用正式提升到國家法規(guī)層面。

在劉海洋看來，數(shù)據(jù)安全最大的難點(diǎn)在于便捷使用和安全管控之間的平衡。在數(shù)據(jù)安全工作中可以發(fā)現(xiàn)，數(shù)據(jù)安全管控措施往往與數(shù)據(jù)業(yè)務(wù)是交織在一起的。因此，數(shù)據(jù)安全并不是一味地去防、去控，而是要充分考慮其業(yè)務(wù)場景和處理活動，既要能用，還要安全。

如何更好地平衡數(shù)據(jù)使用和數(shù)據(jù)安全之間的矛盾?一體化、輕量化，將會是數(shù)據(jù)安全體系建設(shè)的發(fā)展趨勢。

一體化，主要體現(xiàn)在數(shù)據(jù)安全能力融合上。將眾多數(shù)據(jù)安全能力通過組件化的方式進(jìn)行融合，形成企業(yè)的統(tǒng)一管控平臺，不僅可以降低投入成本，同時其靈活性也可適應(yīng)復(fù)雜的數(shù)據(jù)場景。

輕量化，主要體現(xiàn)在能力接入方面。數(shù)據(jù)安全工作不是邊界類防護(hù)，需要業(yè)務(wù)深度參與，甚至有時為了安全要損失業(yè)務(wù)功能的便捷性。因此，數(shù)據(jù)安全能力的接入要充分考慮對業(yè)務(wù)流程的影響，盡量做到免改造、微改造。

數(shù)據(jù)安全體系建設(shè)的目的是讓數(shù)據(jù)遵規(guī)守序

在目前強(qiáng)監(jiān)管態(tài)勢下，一體化、輕量化地進(jìn)行數(shù)據(jù)安全體系建設(shè)，最終目的是讓數(shù)據(jù)管理遵循法規(guī)，讓數(shù)據(jù)流動遵守秩序。數(shù)據(jù)安全體系構(gòu)建需要先進(jìn)靈活的底座，才能應(yīng)對多樣性的法規(guī)。從數(shù)據(jù)生命周期角度來看，企業(yè)數(shù)據(jù)安全評估及安全體系建設(shè)的最終路徑，概括起來則是：厘清數(shù)據(jù)資產(chǎn)——掌握使用狀況——明確差距與風(fēng)險——理清建設(shè)思路。

在啟動數(shù)據(jù)安全評估之前，首先要明確數(shù)據(jù)安全現(xiàn)狀，做好數(shù)據(jù)資產(chǎn)盤點(diǎn)和數(shù)據(jù)分類分級工作。有哪些數(shù)據(jù)?數(shù)據(jù)在哪里?現(xiàn)階段基本架構(gòu)情況如何?是否符合數(shù)據(jù)安全合規(guī)的要求?回答了這些問題，才能在后續(xù)，結(jié)合業(yè)務(wù)發(fā)展與合規(guī)要求，制定適合企業(yè)自身需求的數(shù)據(jù)安全方案和策略。

對于最重要的數(shù)據(jù)安全評估，為掌握數(shù)據(jù)使用狀況，保證調(diào)研工作的效率和準(zhǔn)確性，建議采用“面對面為主，遠(yuǎn)程為輔”、“工具為主，人工為輔”的工作策略。從過往數(shù)據(jù)處理活動梳理的實(shí)踐經(jīng)驗(yàn)來看，一個數(shù)據(jù)場景可能有一個或多個處理活動，最好的辦法便是按數(shù)據(jù)流向開展梳理，以數(shù)據(jù)跨場景為邊界，關(guān)注每個處理活動中的數(shù)據(jù)角色和權(quán)限。

而明確當(dāng)前數(shù)據(jù)安全建設(shè)的差距與風(fēng)險，不僅需要結(jié)合實(shí)踐經(jīng)驗(yàn)對當(dāng)前數(shù)據(jù)運(yùn)營狀況進(jìn)行風(fēng)險分析，形成風(fēng)險評估報告，還要結(jié)合現(xiàn)行數(shù)據(jù)安全相關(guān)法律法規(guī)，對應(yīng)評估點(diǎn)，發(fā)現(xiàn)自身數(shù)據(jù)安全體系在合規(guī)方面的差距。根據(jù)《數(shù)據(jù)安全法》和《個人信息保護(hù)法》等相關(guān)條款，企業(yè)還應(yīng)定期對數(shù)據(jù)安全情況開展風(fēng)險評估，定期合規(guī)審計。

事實(shí)上，數(shù)據(jù)安全體系構(gòu)建并非一蹴而就，而是不斷進(jìn)行經(jīng)驗(yàn)總結(jié)、能力提升、工具完善，不斷完善評估體系，使其更高效、更準(zhǔn)確。

免責(zé)聲明：市場有風(fēng)險，選擇需謹(jǐn)慎!此文僅供參考，不作買賣依據(jù)。