本文提出數(shù)據(jù)安全保障體系“六步走”建設思路，旨在為客戶數(shù)據(jù)安全建設提供體系化思路及參考。

構建數(shù)據(jù)安全保障體系需要厘清如下思路：

首先，需要明確《數(shù)據(jù)安全法》和《網(wǎng)絡安全法》、《個人信息保護法》以及“等保2.0”之間的關系。這幾者是關聯(lián)關系，即在保證網(wǎng)絡安全的前提下，覆蓋數(shù)據(jù)安全及個人信息安全，在行業(yè)領域建設相關安全體系時，特別涉及到關鍵信息基礎設施時，必須要遵從“等保2.0”相關規(guī)范。在關聯(lián)性基礎之上，建設單位需要結合具體場景、行業(yè)特性、數(shù)據(jù)屬性量等，綜合判斷自身業(yè)務特點應該參照哪一部或哪幾部法律法規(guī)。

其次，數(shù)據(jù)安全保障體系建設需要明確“技術”與“管理”并重思路，把“技術”作為“管理”的延續(xù)，即基于數(shù)據(jù)全生命周期構建數(shù)據(jù)安全指標，借助豐富的數(shù)據(jù)安全監(jiān)測手段以及快速響應機制等，通過技術手段的不斷進步逐一落實數(shù)據(jù)安全管理目標。

數(shù)據(jù)安全保障體系六步走，共分為數(shù)據(jù)安全治理評估、數(shù)據(jù)安全組織結構建設、數(shù)據(jù)安全管理制度建設、數(shù)據(jù)安全技術保護體系建設、數(shù)據(jù)安全運營管控建設、數(shù)據(jù)安全監(jiān)管建設。

01 數(shù)據(jù)安全治理評估

區(qū)別于合規(guī)要求的網(wǎng)絡安全建設，數(shù)據(jù)安全保障體系應建立在事實依據(jù)的基礎上，才能對自身業(yè)務最核心的數(shù)據(jù)安全風險采取技防監(jiān)測、控制手段解決，所以第一步，即開展數(shù)據(jù)風險發(fā)現(xiàn)過程-數(shù)據(jù)安全治理評估。

通過數(shù)據(jù)安全治理專家團隊，從業(yè)務視角出發(fā)，對業(yè)務應用的現(xiàn)狀、使用情況進行調研、分析，確定業(yè)務的關聯(lián)關系、訪問的關鍵路徑、數(shù)據(jù)的流向及演變過程，結合對基礎安全管控措施的分析，找出主要業(yè)務所面臨的管理、技術及運營風險。其次，集合多個業(yè)務系統(tǒng)的調研結果，找出系統(tǒng)間的共性問題，為制定業(yè)務的數(shù)據(jù)安全管理規(guī)范提供第一手的參考依據(jù)。針對業(yè)務各系統(tǒng)及數(shù)據(jù)資產(chǎn)全面開展評估梳理工作，形成《數(shù)據(jù)資產(chǎn)清單》，明確相關平臺各系統(tǒng)的輸入輸出，數(shù)據(jù)所在位置及其處理、共享、交換等使用過程中數(shù)據(jù)重要度等內容。

基于業(yè)務場景梳理數(shù)據(jù)操作過程中的主體(人、用戶、賬號)、客體(數(shù)據(jù))、過程(操作的時域、地域、權限、結果等)屬性;以角色控制為視角，明確被審計用戶(賬號)的類型、角色，包括應用程序所有者(業(yè)務賬號)、應用程序終端用戶(業(yè)務終端)、數(shù)據(jù)管理賬戶(數(shù)據(jù)庫管理員)等;建立符合業(yè)務最小夠用的安全策略模型。

02 數(shù)據(jù)安全組織結構建設

數(shù)據(jù)安全管理是一項需要多方聯(lián)動型的復合型工作，在開展組織架構建設時，需要考慮組織層面實體的管理團隊及執(zhí)行團隊，同時也要考慮虛擬的聯(lián)動小組，所有部門均需要參與安全建設當中。同時，需要根據(jù)部門職責建立不同的數(shù)據(jù)安全角色以滿足數(shù)據(jù)安全建設的需求。

03 數(shù)據(jù)安全管理制度建設

前期的數(shù)據(jù)安全組織結構體系建設為后續(xù)數(shù)據(jù)安全建設提供了角色支撐，接下來需要從管理制度手段上進行梳理。數(shù)據(jù)安全保障體系的規(guī)范一般從業(yè)務數(shù)據(jù)安全需求、數(shù)據(jù)安全風險控制需要及法律法規(guī)合規(guī)性要求等幾個方面進行梳理，最終確定數(shù)據(jù)安全防護的目標、管理策略及具體的標準、規(guī)范、程序等。

一般情況下，數(shù)據(jù)安全管理規(guī)體系文件可分為四個層面：

一級文件是由決策層確定管理要求、目標及基本原則;二級文件是由管理層根據(jù)一級管理要求制定通用的管理辦法、制度及標準。

二級文件作為上層的管理要求，應具備科學性、合理性、完善性及普遍的適用性;

三級文件一般由管理層、執(zhí)行層根據(jù)二級管理辦法確定各業(yè)務、各環(huán)節(jié)的具體操作指南、規(guī)范;

四級文件屬于輔助文件，一般包括操作程序、工作計劃、資產(chǎn)清單、過程記錄等過程性文檔。

四級文件是對上層管理要求的細化解讀，用于指導具體業(yè)務場景的具體工作。

例如，數(shù)據(jù)安全分級指南的建設過程屬于數(shù)據(jù)安全管理制度建設中最為基礎的一環(huán)，首先要從行業(yè)中找到參考的數(shù)據(jù)分類分級指南(若沒有，可采用國標等相關具備參考價值的指南)，其次結合自身業(yè)務實際情況，對業(yè)務數(shù)據(jù)進行管理層面的分類分級流程，最后基于自身的業(yè)務場景，形成自身的數(shù)據(jù)安全分級指南。

04 數(shù)據(jù)安全技術保護體系建設

不同安全級別的數(shù)據(jù)，可參照數(shù)據(jù)生命周期的原則進行數(shù)據(jù)安全應用執(zhí)行。具體保護要求及措施，可參照國家相關法律、法規(guī)、標準及自身的數(shù)據(jù)安全相關管理制度、規(guī)范、標準執(zhí)行。

05 數(shù)據(jù)安全運營管控建設

數(shù)據(jù)安全保障體系因其業(yè)務的持續(xù)性，需要進行長期性服務，建立完善的數(shù)據(jù)安全運營團隊是必然選擇。數(shù)據(jù)安全運營主要包括以下內容：

數(shù)據(jù)安全運維：主要是數(shù)據(jù)安全措施的使用、運維，駐場或定期對數(shù)據(jù)安全產(chǎn)品的使用情況進行分析，并結合管理要求，持續(xù)進行管控措施策略和配置的優(yōu)化，并定期輸出數(shù)據(jù)安全運維報告和策略優(yōu)化建議等;

應急預案與演練：按照相關要求，制定數(shù)據(jù)安全事件應急預案。并按照制定的應急規(guī)劃，按照安全事件的危害程度、影響范圍等對安全事件建分級，定期進行應急預案演練;

監(jiān)測預警：圍繞數(shù)據(jù)安全目標，依據(jù)相關安全標準，建立數(shù)據(jù)安全監(jiān)測預警和安全事件通報制度，收集分析數(shù)據(jù)安全信息，對安全風險及時上報，包括按需發(fā)布數(shù)據(jù)安全監(jiān)測預警信息等;

應急處置：相關方按照應急預案，在發(fā)生安全事件時，采取應急處置措施，向主管部門上報重大安全事件，定期對應急預案和處置流程優(yōu)化完善;

災難恢復：在數(shù)據(jù)安全事件發(fā)生后，根據(jù)安全事件的影響和優(yōu)先級，采取合適的恢復措施，確保信息系統(tǒng)業(yè)務流程按照規(guī)劃目標恢復。

06 數(shù)據(jù)安全監(jiān)管

移動互聯(lián)網(wǎng)時代下，數(shù)據(jù)承載的價值越來越高，數(shù)據(jù)面臨巨大的威脅，監(jiān)管部門出臺相關法律法規(guī)，對數(shù)據(jù)從業(yè)者提出了相關要求，也明確了監(jiān)管機構的責任。公安機關作為監(jiān)管單位，將依法履職盡責，對數(shù)據(jù)處理者履行數(shù)據(jù)風險監(jiān)測與風險評估等數(shù)據(jù)安全保護義務、遵守國家核心數(shù)據(jù)管理制度、向境外提供重要數(shù)據(jù)、配合公安機關開展數(shù)據(jù)調取、向外國司法或者執(zhí)法機構提供數(shù)據(jù)等行為依法開展監(jiān)督管理。