研究背景

隨著數字化時代的迅猛發展，大數據對企業、社會和民生的影響愈發巨大，大數據的應用對于國家發展、企業運營乃至個體經營起到至關重要的作用，引領大數據成為當今時代的主題。然而，當下大到政府機密和行業敏感數據泄露，小到個人隱私暴露等不良事件對公共和個人安全造成了巨大的威脅。因此，大數據的應用既是機遇也是挑戰，本篇以企業數據安全管控為例，探討有利于保障企業數據安全的防護體系。

1、數據安全標準

國際層面，各國出臺了如GDPR、CCPA、COPPA、LGPD等。

國內層面，近期相繼出臺了《網絡安全法》、《兒童個人信息網絡保護規定》、《APP違法違規收集使用個人信息行為認定方法》、《數據安全管理辦法》(征求意見稿)、《網絡數據安全標準體系建設指南》(征求意見稿)和《中華人民共和國數據安全法(草案)》等。

2、數據生命周期

在GB/T36073—2018《數據管理能力成熟度評估模型》中，對大數據環境下數據在組織業務中的流轉情況定義了數據的6個生命周期階段，如圖所示。

(1)數據產生，指新的數據產生或現有數據內容發生顯著改變或更新的階段。數據的產生包括兩種形式：一種是組織內部系統生成的數據;另一種是組織從外部收集的數據。

(2)數據存儲，指非動態數據以任何數字格式進行物理存儲的階段。

(3)數據使用，指組織在內部針對動態數據進行的一系列活動的組合。

(4)數據傳輸，指數據在組織內部從一個實體通過網絡流動到另一個實體的過程。

(5)數據共享，指數據經由組織與外部組織及個人產生交互的階段。

(6)數據銷毀，指利用物理或技術手段使數據永久或臨時性不可用的過程。數據的安全防護過程覆蓋數據生命周期的6個階段，

3、數據安全防護體系

為了使企事業單位在開展數據安全體系建設時有所參照，解決建設前、中、后的顧慮和困惑。騰訊安全結合自身的應用與實踐經驗，繪制并發布數據安全能力圖譜，助力企業規劃數據安全體系的建設、加強數據場景的安全管控能力、指導數據安全能力的評估等場景。

騰訊數據安全能力圖譜提出了六大能力，即數據資產管控能力、數據安全運營能力、數據業務安全管控能力、數據支撐環境安全管控能力、數據運維安全管控能力和數據安全感知能力，覆蓋了數據全生命周期及重要的數據場景，在開展數據安全體系建設時具有很高的參考價值。

4、構建數據安全保障體系

企業開展數據安全建設工作需從組織架構、管理制度、安全團隊建設、技術保障等方面構建全方位的數據安全保障體系

(1)組織架構。設計數據安全組織架構時，可按照決策層、管理層、執行層和監督層的架構進行設計。

(2)管理制度。參考ISO27001管理體系框架，從方針、管理制度、操作規范、記錄表單等維度構建統一的數據安全管理體系。其中，方針是一級文件，主要描述企業在數據安全管理方面的目標、策略、愿景、基本原則和管理要求等。

(3)安全團隊建設。數據安全團隊建設必須要著眼未來、立足長遠，可從文化、能力、意識等方面開展團隊建設，與時俱進地學習新知識和新技術，才能更準確、更高效地識別企業新風險，才能更精準地處理風險，從而適應日益嚴峻的內外部環境，實現更有效的風險防范。

(4)技術保障。基于企業數據全流程管理并結合技術手段，聚焦數據承載平臺，提升終端數據安全、網絡數據安全、平臺數據安全和應用數據安全的防護能力，避免數據外泄。其中，涉及到的數據安全技術工具包括系統平臺、工具、功能、算法技術等，需從整體進行規劃，確保和企業的信息系統進行有效銜接。

(5)風險管理通過建立集安全規劃、安全監控、安全審計、安全事件管理、業務連續性于一體的風險管控機制，實現對系統數據安全風險的識別、計量、監測和控制，最終實現安全風險的可控、能控、在控。

5、數據安全管控平臺

1)平臺規劃模塊。包括平臺內容規劃(7項內容)、管控體系固化(7項內容)、 平臺技術方案設計(5項內容)三大模塊的 19項內容。如圖展示了平臺的規劃詳細模塊。