為進(jìn)一步打破信息孤島、實現(xiàn)數(shù)據(jù)共享，助力“最多跑一次”改革和政府?dāng)?shù)字化轉(zhuǎn)型，各地政府紛紛成立大數(shù)據(jù)管理局，積極推進(jìn)政務(wù)云建設(shè)，實現(xiàn)政府信息系統(tǒng)整合共享。

　　但是，隨著政務(wù)信息整合共享工作的開展，各委辦局?jǐn)?shù)據(jù)在不斷匯聚集中，在這些匯聚集中的海量數(shù)據(jù)中不乏涉及國家安全、經(jīng)濟(jì)發(fā)展與社會民生的重要、敏感及個人隱私數(shù)據(jù)。各種數(shù)據(jù)整合匯聚后，會涉及數(shù)據(jù)發(fā)布、數(shù)據(jù)加載、共享交換、使用和銷毀等諸多環(huán)節(jié)，任一環(huán)節(jié)都可能因技術(shù)或人為因素造成敏感信息的泄露。

　　數(shù)據(jù)安全問題已成為制約數(shù)據(jù)匯聚集中后數(shù)據(jù)開發(fā)利用、價值挖掘的主要瓶頸。解決數(shù)據(jù)安全問題最根本的途徑，就是對數(shù)據(jù)進(jìn)行有針對性的安全治理。

　　Part1 數(shù)據(jù)安全治理總體框架

　　由于政府?dāng)?shù)據(jù)共享平臺具有數(shù)據(jù)規(guī)模龐大、使用場景復(fù)雜、數(shù)據(jù)資產(chǎn)變化快等特點，在過去“一刀切”式的管理和防護(hù)模式下，防護(hù)粒度設(shè)定較粗，存在一定的數(shù)據(jù)安全隱患，因此需要從頂層設(shè)計數(shù)據(jù)安全體系。

　　△ 數(shù)據(jù)安全治理總體框架圖

　　數(shù)據(jù)安全治理總體框架自上而下貫穿了決策層、管理層、執(zhí)行層到配合層以及監(jiān)督層等整個組織架構(gòu)，包含了從頂層戰(zhàn)略、政策總綱到管理制度、流程規(guī)范等各層級的完整制度體系，涉及到整體的技術(shù)規(guī)劃以及各項技術(shù)工具的落地實施。

　　明朝萬達(dá)認(rèn)為：數(shù)據(jù)安全治理應(yīng)當(dāng)以數(shù)據(jù)資產(chǎn)的安全使用為愿景，通過專業(yè)的數(shù)據(jù)安全治理團(tuán)隊、明確的數(shù)據(jù)安全治理策略和流程，從安全管理規(guī)范、安全技術(shù)支撐、安全持續(xù)運營三個領(lǐng)域協(xié)同，打造立體防御體系，全方位保障數(shù)據(jù)全生命周期的安全。

　　Part2 數(shù)據(jù)安全治理建設(shè)流程

　　數(shù)據(jù)安全治理是一個動態(tài)、持續(xù)的過程，所以在建設(shè)過程中，不建議一下子把范圍及內(nèi)容圈得那么大，可以從小部分重要業(yè)務(wù)板塊開始梳理，采取分步建設(shè)、持續(xù)迭代戰(zhàn)略。圍繞“評估服務(wù)、策略制定、技術(shù)落地”三步走的思路進(jìn)行方案設(shè)計。

　　△ 建設(shè)流程圖，包括6個實踐步驟

　　數(shù)據(jù)安全治理建設(shè)共包括六個實踐步驟，六個步驟形成完整的數(shù)據(jù)安全保護(hù)建設(shè)閉環(huán)，建設(shè)流程是一個系統(tǒng)的、持續(xù)的改進(jìn)過程，該流程可以定期輪詢執(zhí)行，確保數(shù)據(jù)安全治理建設(shè)持續(xù)更新，數(shù)據(jù)安全管理處于最佳狀態(tài)。

　　01組織構(gòu)建

　　在組織方面，從組織內(nèi)選派合適人員構(gòu)成一支由決策層（組織領(lǐng)導(dǎo)）、管理層（安全部門）、執(zhí)行層（業(yè)務(wù)部門）、監(jiān)督層（審計部門）構(gòu)成的負(fù)責(zé)推動開展數(shù)據(jù)安全治理工作的團(tuán)隊。

　　02數(shù)據(jù)資產(chǎn)梳理

　　首先通過數(shù)據(jù)資產(chǎn)梳理工具對政府?dāng)?shù)據(jù)共享平臺上的數(shù)據(jù)資產(chǎn)進(jìn)行摸底，對數(shù)據(jù)資產(chǎn)的業(yè)務(wù)屬性，使用情況，權(quán)限狀態(tài)，安全需求，使用分布等進(jìn)行全面梳理，對于冗余、不一致的數(shù)據(jù)進(jìn)行修正確認(rèn)，最終形成數(shù)據(jù)資產(chǎn)清單。

　　03數(shù)據(jù)分類分級

　　依據(jù)國家和省公共數(shù)據(jù)分類分級相關(guān)規(guī)定以及業(yè)務(wù)場景制定內(nèi)部的分類分級標(biāo)準(zhǔn)，并按照一定的策略和方法進(jìn)行分類和標(biāo)識，形成數(shù)據(jù)資產(chǎn)分類清單，明確數(shù)據(jù)安全主體責(zé)任及防護(hù)邊界；在分類的基礎(chǔ)上，綜合分析數(shù)據(jù)的保密性、完整性、可用性和可控性等屬性遭到破壞后，對國家安全、公眾權(quán)益、個人隱私、企業(yè)合法權(quán)益的危害程度，進(jìn)行數(shù)據(jù)的逐類定級和標(biāo)識。最終通過自動化技術(shù)，將分類分級的專家經(jīng)驗和方法固化為規(guī)則模型和識別引擎，實現(xiàn)政務(wù)信息資源數(shù)據(jù)自動化分類分級，大大提升了準(zhǔn)確率，并且降低了人力成本。

　　04風(fēng)險評估、差距分析

　　對政務(wù)信息資源數(shù)據(jù)全生命周期的每一個環(huán)節(jié)所面臨的風(fēng)險威脅進(jìn)行識別判定，進(jìn)而對每一個風(fēng)險點進(jìn)行賦值計算最終輸出風(fēng)險評估報告以及風(fēng)險清單；針對數(shù)據(jù)在采集、傳輸、使用、交換、銷毀環(huán)節(jié)的安全防護(hù)要求，對比訪談和調(diào)研結(jié)果，進(jìn)行評價對比，找到當(dāng)前現(xiàn)狀與管控目標(biāo)間的差距，尤其是管控缺失項和薄弱項，并形成差距分析匯報。

　　05安全管控策略

　　根據(jù)數(shù)據(jù)分類分級結(jié)果，從管理、流程和技術(shù)等方面，制定基于數(shù)據(jù)安全視角的全生命周期數(shù)據(jù)安全管控策略，管理方面包括不限于規(guī)范管理決策職責(zé)、規(guī)范日常維護(hù)職責(zé)、規(guī)范崗位人員職責(zé)等；流程方面包括不限于制定數(shù)據(jù)安全管理整體機(jī)制流程安全管控策略、權(quán)限管理操作流程管控策略等；技術(shù)方面包括不限于制定基礎(chǔ)架構(gòu)的整體安全支撐技術(shù)、加密、脫敏、審計、水印、數(shù)據(jù)防泄漏等的管控策略。

　　06數(shù)據(jù)安全持續(xù)運營

　　通過建設(shè)數(shù)據(jù)安全監(jiān)控與審計平臺，對現(xiàn)有的敏感數(shù)據(jù)在動態(tài)使用流轉(zhuǎn)中的監(jiān)控、分析、可視與統(tǒng)計，并基于UEBA行為分析模型識別數(shù)據(jù)的安全風(fēng)險，一旦過程中發(fā)現(xiàn)風(fēng)險行為及時預(yù)警，并針對風(fēng)險施加動態(tài)響應(yīng)及防護(hù)手段協(xié)同聯(lián)動。通過優(yōu)化數(shù)據(jù)安全防護(hù)策略，進(jìn)而持續(xù)地提升數(shù)據(jù)安全防護(hù)能力，達(dá)到數(shù)據(jù)安全治理的最佳實踐。

　　Part3 數(shù)據(jù)安全治理方案的價值

　　數(shù)字化經(jīng)濟(jì)的到來，離不開數(shù)據(jù)的開放共享與有序使用。數(shù)據(jù)安全廠商需要能夠幫助用戶確定本單位的數(shù)據(jù)安全分類分級管理制度、標(biāo)準(zhǔn)，協(xié)助用戶完成數(shù)據(jù)定權(quán)分級，提供基于數(shù)據(jù)分類分級后的安全防護(hù)方案設(shè)計和建設(shè)服務(wù)，提升平臺的數(shù)據(jù)安全防護(hù)能力，也為推動各市直單位將更多數(shù)據(jù)共享至大數(shù)據(jù)共享平臺增添信心。先進(jìn)的數(shù)據(jù)安全治理方案應(yīng)具備以下價值：

　　符合合法合規(guī)要求

　　滿足《政務(wù)信息共享數(shù)據(jù)安全技術(shù)要求》、《政務(wù)信息資源目錄編制指南（試行）以及政務(wù)信息數(shù)據(jù)分類分級等相關(guān)政策法規(guī)要求。

　　實現(xiàn)安全運營常態(tài)化

　　通過人工+工具的方式高效率完成數(shù)據(jù)摸底，持續(xù)掌握數(shù)據(jù)資產(chǎn)動態(tài)；通過從數(shù)據(jù)視角的全生命周期風(fēng)險分析，構(gòu)建統(tǒng)一的數(shù)據(jù)安全管控機(jī)制；通過對敏感數(shù)據(jù)使用流轉(zhuǎn)監(jiān)控，數(shù)據(jù)安全態(tài)勢感知，持續(xù)優(yōu)化安全策略和管理制度規(guī)范，實現(xiàn)數(shù)據(jù)安全常態(tài)化運營。

　　符合合法合規(guī)要求推進(jìn)政務(wù)數(shù)據(jù)資源開發(fā)利用

　　通過對海量數(shù)據(jù)的梳理及分類分級，做到對數(shù)據(jù)庫、數(shù)據(jù)資產(chǎn)分布及數(shù)據(jù)敏感級別情況的一目了然，將有利于促進(jìn)數(shù)據(jù)在各單位間的開放共享，進(jìn)一步挖掘數(shù)據(jù)價值，從而提升業(yè)務(wù)效益。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<