Question

数据安全治理最为重要的是进行数据安全策略和流程制订。在企业或行业内经常发布《XX 数据安全管理规范》，所有的工作流程和技术支撑都是围绕此规范来制订、落实，一般会包括组织架构及职责分工、数据分类与分级管理、数据生命周期（采集、使用、传播、存储、归档、销毁）安全要求、数据安全风险事件管理、数据安全管理考核与监督、数据安全管理培训等内容。

数据安全治理工作，需要遵循国家级的安全政策和行业内的安全政策，包括网络安全法、等级保护政策及特定行业政策（如 PCI-DSS、SOX 等），企业在制定内部政策时需要重点参考。

数据治理主要依据数据的来源、内容和用途进行分类；以数据的价值、内容敏感程度、影响和分发范围进行敏感级别划分。这就要求企业需要对现有数据资产进行梳理，包括数据的使用部门和角色、数据的存储和分布、现有的数据访问原则和控制策略等。数据资产梳理中，要明确数据如何被存储、数据被哪些对象使用、数据被如何使用等。对于数据的存储和系统使用，需要通过自动化的工具进行；对于部门、人员角色梳理，更多在管理规范文件中体现；对于数据资产使用角色的梳理，关键要明确不同受众的分工、权利和职责。清楚敏感数据分布，才能知道需要对什么样的库实现何种管控策略；对该库运维人员实现怎样的管控措施；对该库的数据导出实现怎样的模糊化策略；对该库数据的存储实现何种加密要求。明确数据被什么业务系统访问，才能准确地制订业务系统工作人员对敏感数据访问的权限策略和管控措施。

数据治理的分级分类工作做得好，将有利于后面技术管控方案的部署实施以及精准有效发现问题。不能落地不代表我们不去朝这个方面努力，至少要知道企业里比较核心的数据是什么，在哪里，怎么流转，然后针对性地布控。