為進(jìn)一步打破信息孤島、實(shí)現(xiàn)數(shù)據(jù)共享，助力“最多跑一次”改革和政府?dāng)?shù)字化轉(zhuǎn)型，各地政府紛紛成立大數(shù)據(jù)管理局，積極推進(jìn)政務(wù)云建設(shè)，實(shí)現(xiàn)政府信息系統(tǒng)整合共享。

　　但是，隨著政務(wù)信息整合共享工作的開展，各委辦局?jǐn)?shù)據(jù)在不斷匯聚集中，在這些匯聚集中的海量數(shù)據(jù)中不乏涉及國(guó)家安全、經(jīng)濟(jì)發(fā)展與社會(huì)民生的重要、敏感及個(gè)人隱私數(shù)據(jù)。各種數(shù)據(jù)整合匯聚后，會(huì)涉及數(shù)據(jù)發(fā)布、數(shù)據(jù)加載、共享交換、使用和銷毀等諸多環(huán)節(jié)，任一環(huán)節(jié)都可能因技術(shù)或人為因素造成敏感信息的泄露。

　　數(shù)據(jù)安全問(wèn)題已成為制約數(shù)據(jù)匯聚集中后數(shù)據(jù)開發(fā)利用、價(jià)值挖掘的主要瓶頸。解決數(shù)據(jù)安全問(wèn)題最根本的途徑，就是對(duì)數(shù)據(jù)進(jìn)行有針對(duì)性的安全治理。

　　Part1 數(shù)據(jù)安全治理總體框架

　　由于政府?dāng)?shù)據(jù)共享平臺(tái)具有數(shù)據(jù)規(guī)模龐大、使用場(chǎng)景復(fù)雜、數(shù)據(jù)資產(chǎn)變化快等特點(diǎn)，在過(guò)去“一刀切”式的管理和防護(hù)模式下，防護(hù)粒度設(shè)定較粗，存在一定的數(shù)據(jù)安全隱患，因此需要從頂層設(shè)計(jì)數(shù)據(jù)安全體系。

　　△ 數(shù)據(jù)安全治理總體框架圖

　　數(shù)據(jù)安全治理總體框架自上而下貫穿了決策層、管理層、執(zhí)行層到配合層以及監(jiān)督層等整個(gè)組織架構(gòu)，包含了從頂層戰(zhàn)略、政策總綱到管理制度、流程規(guī)范等各層級(jí)的完整制度體系，涉及到整體的技術(shù)規(guī)劃以及各項(xiàng)技術(shù)工具的落地實(shí)施。

　　明朝萬(wàn)達(dá)認(rèn)為：數(shù)據(jù)安全治理應(yīng)當(dāng)以數(shù)據(jù)資產(chǎn)的安全使用為愿景，通過(guò)專業(yè)的數(shù)據(jù)安全治理團(tuán)隊(duì)、明確的數(shù)據(jù)安全治理策略和流程，從安全管理規(guī)范、安全技術(shù)支撐、安全持續(xù)運(yùn)營(yíng)三個(gè)領(lǐng)域協(xié)同，打造立體防御體系，全方位保障數(shù)據(jù)全生命周期的安全。

　　Part2 數(shù)據(jù)安全治理建設(shè)流程

　　數(shù)據(jù)安全治理是一個(gè)動(dòng)態(tài)、持續(xù)的過(guò)程，所以在建設(shè)過(guò)程中，不建議一下子把范圍及內(nèi)容圈得那么大，可以從小部分重要業(yè)務(wù)板塊開始梳理，采取分步建設(shè)、持續(xù)迭代戰(zhàn)略。圍繞“評(píng)估服務(wù)、策略制定、技術(shù)落地”三步走的思路進(jìn)行方案設(shè)計(jì)。

　　△ 建設(shè)流程圖，包括6個(gè)實(shí)踐步驟

　　數(shù)據(jù)安全治理建設(shè)共包括六個(gè)實(shí)踐步驟，六個(gè)步驟形成完整的數(shù)據(jù)安全保護(hù)建設(shè)閉環(huán)，建設(shè)流程是一個(gè)系統(tǒng)的、持續(xù)的改進(jìn)過(guò)程，該流程可以定期輪詢執(zhí)行，確保數(shù)據(jù)安全治理建設(shè)持續(xù)更新，數(shù)據(jù)安全管理處于最佳狀態(tài)。

　　01組織構(gòu)建

　　在組織方面，從組織內(nèi)選派合適人員構(gòu)成一支由決策層（組織領(lǐng)導(dǎo)）、管理層（安全部門）、執(zhí)行層（業(yè)務(wù)部門）、監(jiān)督層（審計(jì)部門）構(gòu)成的負(fù)責(zé)推動(dòng)開展數(shù)據(jù)安全治理工作的團(tuán)隊(duì)。

　　02數(shù)據(jù)資產(chǎn)梳理

　　首先通過(guò)數(shù)據(jù)資產(chǎn)梳理工具對(duì)政府?dāng)?shù)據(jù)共享平臺(tái)上的數(shù)據(jù)資產(chǎn)進(jìn)行摸底，對(duì)數(shù)據(jù)資產(chǎn)的業(yè)務(wù)屬性，使用情況，權(quán)限狀態(tài)，安全需求，使用分布等進(jìn)行全面梳理，對(duì)于冗余、不一致的數(shù)據(jù)進(jìn)行修正確認(rèn)，最終形成數(shù)據(jù)資產(chǎn)清單。

　　03數(shù)據(jù)分類分級(jí)

　　依據(jù)國(guó)家和省公共數(shù)據(jù)分類分級(jí)相關(guān)規(guī)定以及業(yè)務(wù)場(chǎng)景制定內(nèi)部的分類分級(jí)標(biāo)準(zhǔn)，并按照一定的策略和方法進(jìn)行分類和標(biāo)識(shí)，形成數(shù)據(jù)資產(chǎn)分類清單，明確數(shù)據(jù)安全主體責(zé)任及防護(hù)邊界；在分類的基礎(chǔ)上，綜合分析數(shù)據(jù)的保密性、完整性、可用性和可控性等屬性遭到破壞后，對(duì)國(guó)家安全、公眾權(quán)益、個(gè)人隱私、企業(yè)合法權(quán)益的危害程度，進(jìn)行數(shù)據(jù)的逐類定級(jí)和標(biāo)識(shí)。最終通過(guò)自動(dòng)化技術(shù)，將分類分級(jí)的專家經(jīng)驗(yàn)和方法固化為規(guī)則模型和識(shí)別引擎，實(shí)現(xiàn)政務(wù)信息資源數(shù)據(jù)自動(dòng)化分類分級(jí)，大大提升了準(zhǔn)確率，并且降低了人力成本。

　　04風(fēng)險(xiǎn)評(píng)估、差距分析

　　對(duì)政務(wù)信息資源數(shù)據(jù)全生命周期的每一個(gè)環(huán)節(jié)所面臨的風(fēng)險(xiǎn)威脅進(jìn)行識(shí)別判定，進(jìn)而對(duì)每一個(gè)風(fēng)險(xiǎn)點(diǎn)進(jìn)行賦值計(jì)算最終輸出風(fēng)險(xiǎn)評(píng)估報(bào)告以及風(fēng)險(xiǎn)清單；針對(duì)數(shù)據(jù)在采集、傳輸、使用、交換、銷毀環(huán)節(jié)的安全防護(hù)要求，對(duì)比訪談和調(diào)研結(jié)果，進(jìn)行評(píng)價(jià)對(duì)比，找到當(dāng)前現(xiàn)狀與管控目標(biāo)間的差距，尤其是管控缺失項(xiàng)和薄弱項(xiàng)，并形成差距分析匯報(bào)。

　　05安全管控策略

　　根據(jù)數(shù)據(jù)分類分級(jí)結(jié)果，從管理、流程和技術(shù)等方面，制定基于數(shù)據(jù)安全視角的全生命周期數(shù)據(jù)安全管控策略，管理方面包括不限于規(guī)范管理決策職責(zé)、規(guī)范日常維護(hù)職責(zé)、規(guī)范崗位人員職責(zé)等；流程方面包括不限于制定數(shù)據(jù)安全管理整體機(jī)制流程安全管控策略、權(quán)限管理操作流程管控策略等；技術(shù)方面包括不限于制定基礎(chǔ)架構(gòu)的整體安全支撐技術(shù)、加密、脫敏、審計(jì)、水印、數(shù)據(jù)防泄漏等的管控策略。

　　06數(shù)據(jù)安全持續(xù)運(yùn)營(yíng)

　　通過(guò)建設(shè)數(shù)據(jù)安全監(jiān)控與審計(jì)平臺(tái)，對(duì)現(xiàn)有的敏感數(shù)據(jù)在動(dòng)態(tài)使用流轉(zhuǎn)中的監(jiān)控、分析、可視與統(tǒng)計(jì)，并基于UEBA行為分析模型識(shí)別數(shù)據(jù)的安全風(fēng)險(xiǎn)，一旦過(guò)程中發(fā)現(xiàn)風(fēng)險(xiǎn)行為及時(shí)預(yù)警，并針對(duì)風(fēng)險(xiǎn)施加動(dòng)態(tài)響應(yīng)及防護(hù)手段協(xié)同聯(lián)動(dòng)。通過(guò)優(yōu)化數(shù)據(jù)安全防護(hù)策略，進(jìn)而持續(xù)地提升數(shù)據(jù)安全防護(hù)能力，達(dá)到數(shù)據(jù)安全治理的最佳實(shí)踐。

　　Part3 數(shù)據(jù)安全治理方案的價(jià)值

　　數(shù)字化經(jīng)濟(jì)的到來(lái)，離不開數(shù)據(jù)的開放共享與有序使用。數(shù)據(jù)安全廠商需要能夠幫助用戶確定本單位的數(shù)據(jù)安全分類分級(jí)管理制度、標(biāo)準(zhǔn)，協(xié)助用戶完成數(shù)據(jù)定權(quán)分級(jí)，提供基于數(shù)據(jù)分類分級(jí)后的安全防護(hù)方案設(shè)計(jì)和建設(shè)服務(wù)，提升平臺(tái)的數(shù)據(jù)安全防護(hù)能力，也為推動(dòng)各市直單位將更多數(shù)據(jù)共享至大數(shù)據(jù)共享平臺(tái)增添信心。先進(jìn)的數(shù)據(jù)安全治理方案應(yīng)具備以下價(jià)值：

　　符合合法合規(guī)要求

　　滿足《政務(wù)信息共享數(shù)據(jù)安全技術(shù)要求》、《政務(wù)信息資源目錄編制指南（試行）以及政務(wù)信息數(shù)據(jù)分類分級(jí)等相關(guān)政策法規(guī)要求。

　　實(shí)現(xiàn)安全運(yùn)營(yíng)常態(tài)化

　　通過(guò)人工+工具的方式高效率完成數(shù)據(jù)摸底，持續(xù)掌握數(shù)據(jù)資產(chǎn)動(dòng)態(tài)；通過(guò)從數(shù)據(jù)視角的全生命周期風(fēng)險(xiǎn)分析，構(gòu)建統(tǒng)一的數(shù)據(jù)安全管控機(jī)制；通過(guò)對(duì)敏感數(shù)據(jù)使用流轉(zhuǎn)監(jiān)控，數(shù)據(jù)安全態(tài)勢(shì)感知，持續(xù)優(yōu)化安全策略和管理制度規(guī)范，實(shí)現(xiàn)數(shù)據(jù)安全常態(tài)化運(yùn)營(yíng)。

　　符合合法合規(guī)要求推進(jìn)政務(wù)數(shù)據(jù)資源開發(fā)利用

　　通過(guò)對(duì)海量數(shù)據(jù)的梳理及分類分級(jí)，做到對(duì)數(shù)據(jù)庫(kù)、數(shù)據(jù)資產(chǎn)分布及數(shù)據(jù)敏感級(jí)別情況的一目了然，將有利于促進(jìn)數(shù)據(jù)在各單位間的開放共享，進(jìn)一步挖掘數(shù)據(jù)價(jià)值，從而提升業(yè)務(wù)效益。

更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<