安策数据加密保护-传统数据安全治理的理论难以落地的几个原因

   因为传统的数据安全管理理论是在数据治理中“数据价值论”从理论上讲，主要是增加数据治理框架中管理系统、框架系统和技术工具的安全属性，提高数据安全能力，实现业务需求与数据安全（风险/威胁/合规）之间的平衡。典型理论的代表是：Gartner数据安全管理DSG，微软的专门强调隐私，保密和合规的数据安全管理框架DGPC，国内数据安全管理委员会的数据安全建设方法论，以及2019年8月30日正式发布的《信息安全技术 数据安全能力成熟度模型（GB/T国家标准37988-2019)DSMM成熟度模型的数据安全能力。

   虽然传统理论将数据安全提升到治理层面，从政策体系、企业结构和技术手段等多个维度推动数据安全技术的实施，但在实际治理过程中总会遇到各种障碍，整体效果并不令人满意。“雷声大，雨点小”实施人员也陷入了难以改变现状的焦虑和困惑，数据安全事件仍在源源不断地涌现，数据泄漏频繁，危害和影响范围难以控制。原因是传统的数据安全管理理论难以在实践中快速复制。

       考虑到我国国情和数据安全业务市场现状，主要围绕解决企业组织数字化转型过程中数据流的核心需求，应从数据安全合规驱动，注重数据分类、合规条款匹配和数据安全能力对接调度，更好地帮助企业组织建立数据安全体系。

对于企业组织来说，更注重在数据流中释放价值，同时确保数据处理过程中的安全基线，以及数据共享和开放的安全使用场景。简而言之，企业组织对数据安全工作的要求是“量身定制，不断提升，高效务实，释放价值”数据治理安全理论更适合企业组织解决业务数据治理和安全同步建设。

1、从数据中比较传统的数据治理安全理论

      1)基于安全工具的能力

  从数据安全风险评估开始“木桶”理论建设主要关注数据在整个生命周期中的可用性、完整性和保密性的安全防护，从而构建以数据安全为核心的安全体系结构，往往依靠大量的人力和成本，购买和掌握安全工具，进行安全能力建设。相反，它忽略了业务的原始需求，业务部门难以满足，数据安全建设周期长，效果慢，可能无法充分释放数据价值。

       2)数据管理业务维度的先治理，然后安全

  优先明确自身数据资源的价值，对数据资产要素进行分类和分级保护，整合、叠加不同来源的数据，引入多维智能分析，依托自身数据、安全能力和对开放运营的支持，更好地完善数据安全保护系统，通过更多的合作伙伴进行创新应用，业务部门也可以直观地看到结果和效益，“金山银山藏在数据湖仓库里”充分发挥海量数据的商业价值。

       3)大数据流共享业务场景下数据安全的新挑战

      在大数据时代，数据呈现出前所未有的爆炸式增长，数据规模大，数据流快，数据流动动态，数据系统动态，数据类型多样，赋予数据前所未有的价值。在这个时代的背景下，快速有效地实现数据流共享，释放价值，也面临着数据安全的新挑战。例如，虽然金融业已经使用大数据分析工具来提高其风险识别能力和降低信用风险，但大多数金融业的业务链都太长了。数据安全问题的任何一个环节都将对金融数据资产的安全构成严重威胁。

2、来自数据的数据治理安全理论比较.数据安全施工要求

   数据管理安全理论的数据安全是指以数据为中心的整个生命周期的数据安全，构建企业组织的整个数据安全系统，保护数据分类和敏感数据的整个生命周期。网络安全是一个按边界划分的网络，数据相对处于无边界状态。从数据生成到数据销毁的生命周期的六个阶段，通过不同的技术手段进行数据安全保护，网络安全级别保护2.0的数据安全建设主要从四个方面进行：用户行为识别（加强用户行为识别）、数据访问控制（有效建立数据访问控制机制）、敏感数据脱敏（数据本身使用和数据脱敏和加密）、业务或重要数据加密、网络安全数据更注重用户合法使用数据行为的安全控制，业务耦合低。

      业务数据是流动的，随着业务的流动，数据安全应该与业务有更多的交互形成内生安全或内置安全，嵌入到业务数据保护的整个业务过程中，从数据安全系统设计梳理业务数据的背景，嵌入安全能力和工具，从数据数据管理安全理论可以真正实现数据资产的目标。

03、数据共享开放驱动业务治理的发展与创新

      数据管理安全理论的核心是数据。数据承载着业务，驱动着业务。因此，数据安全与业务相结合。数据安全驱动业务是未来的发展趋势；数据管理安全应该来自数据。数据安全建设的保护主体应定位在数据层面，以数据为中心构建安全系统，以数据生命周期为闭环，进行更细粒度的安全保护，确保数据在各个环节得到有效、动态的保护和检测。

  通过数据全生命周期安全的全发现、全链路管理、全景控制的数据安全闭环，AI引擎根据业务、合规等因素发现敏感信息的位置、血缘分析、分类分级、法律法规匹配、定义、判断、校准和保护重要敏感数据。AI引擎和动态知识库是核心。只有建立一个正常的数据安全闭环，持续改进，才能提高组织的整体数据管理和数据安全能力，释放数据价值，创造一个持续健康的数据管理安全生态。

       在数据安全闭环中，数据分类和分类是基础。企业组织根据数据安全的现状，明确数据的分布和使用，制定自己的数据分类和分类要求，实现数据的结构化管理和利用，形成业务数据分类的标准化输出。数据分类便于业务数据管理，避免一刀切的控制模式，从而在后续的数据安全管理中使用更精细的安全工具。

根据数据分类和分类的结果，企业组织从管理、流程和技术等方面制定数据安全全生命周期数据安全控制策略，使业务数据在共享使用和安全使用之间取得平衡，并制定相应的访问权限，对不同敏感级别的数据进行加密、脱敏和数据泄漏控制，大大提高了数据安全控制的效率。

来源：安策信息、SafePloy安策数据治理 | 关键词：数据安全  数据安全治理  数据安全合规   | 受欢迎指数（）