如何做好企业数据安全策略

随着大数据时代的到来，数据安全和敏感信息越来越受到个人、企业乃至国家的重视。那么，我们如何看待与数据安全相关的各种问题和痛点呢？我们应该如何应对？

那么，我们如何看待数据安全带来的问题呢？我们应该如何应对？我们先回到数据安全的本质。

什么是数据安全

彻底了解数据安全，无非是了解数据安全的对象和手段，很多情况下，解释清楚对象比手段更关键，对象比手段更容易混淆。如果表示保护的对象都错了，或者表示根本不可能清楚，那还有什么保护？

现实中有很多企业，连自己想要保护的对象都不清楚！即使在数据安全成熟的金融机构，也难以避免保护对象不明确的问题。不要认为这是危言耸听。在过去的一年里，我与许多金融机构的业务和技术部门进行了交谈。当被业务主管部门询问时，如何界定敏感信息的范围？营业部接表示。我们没有定义它。数据安全是科技部门的事。去科技处问同样的问题。科技部门的回答是，我们开发了一系列强大的安全防护技术来保护生产数据的安全，但什么是敏感信息需要业务部门来定义。

那么，技术部门是数据的所有者吗？显然，科技部门不生成数据，不修改数据，不定义数据，只负责数据在系统中的落地，所以应该只是数据的技术实现者，最多可以是数据托管者。业务主管部门是数据的真正拥有者，最终对数据负责，定义数据，解释数据，对数据质量负责。因此，业务主管部门应定义自身数据的业务重要性，包括敏感度级别。当然，也需要有一个统一的数据管理部门(可以是信息技术部)进行统筹管理，制定分类标准，组织业务部门对自身数据的敏感程度进行识别。当然，这个过程并没有那么简单，因为它涉及到企业内部多个部门的沟通协调，往往业务部门倾向于表示“我的数据是最重要、最敏感、最需要保护的。

这里可能还有另一个极端。让我们用另一个例子给你表示表示。我之前曾经问过一个机构的业务部门，你能顺利得到日常业务分析要用到的所有数据吗？营业部负责人生气地说表示:“我拿不到！我们想要的所有数据都在其他XXX部门。每次我们问他们要数据，都是表示，涉及敏感信息，不能随便给。表示需要某种形式的批准。我们征求了合规部和科技部的意见，大家都认为可能存在潜在的合规风险，没人敢做决定！最后，它往往会消失！”是的，尤其是在数据野蛮增长和监管严格相互矛盾的当下时代背景下，得到数据的人赢得了世界，得到数据的人也不会轻易与其他部门共享和使用数据，对合规监管也没有清晰明确的解释(众所周知，监管规定只是一般的原则性要求，但不可能像表示那样具体)，那么只会无处可去，严重影响业务用户的需求！生于风险控制的同事都知道，风险控制和效率之间需要平衡，没有绝对的控制和100%的效率。数据安全也是如此。需要在符合企业自身风险偏好的前提下，建立一套适合企业的管理机制。否则很容易陷入两个极端：要么因为违规被处罚，要么过于保守，无法有效开展业务。我相信这不是投资者和管理者希望看到的结果。

企业应该如何有效应对数据安全？

首先，我们必须认识到，数据安全或敏感信息保护不是某个部门(尤其是科技部门)的事，而是公司管理层和所有部门的事。不要认为简单地把工作交给信息技术部就能解决数据安全问题，这是不现实的。科技部门在这方面往往是“弱势群体”，需要管理层的大力支持和决策，以及各部门主动承担相应的安全管理职能，从而推动实现。科技厅的新年愿望是，公司管理层不会等到重大安全事件发生才出现并进行指责，而是对日常安全管理给予关注和资源支持。

第二，要重视流程和人员的管理。如果仔细分析过去一年行业内的敏感信息泄露情况，可以发现大部分数据泄露并不是因为企业缺乏先进的安全技术和加密实力等。这些经常出现问题的企业(尤其是金融机构)在安全技术上已经非常先进和成熟，问题往往出在内部管理流程和人员上。例如，如果内部员工实施欺诈，那么强大的安全技术有什么用？直接内部突破！

第三，是培养员工和客户的安全意识。是的，这不是一件容易的事情！因为人总是懒，不管是员工还是客户，都怕麻烦。朋友们以前一直拿它开玩笑，表示。这就是“医生不医自己”。听起来很合理。又是自省，自省！这就好比“天下无贼”的理想。一方面希望所有客户都有强烈的安全防护意识，不会被安全诱导和欺骗；另一方面，希望员工能够遵守公司的安全政策，严格遵守职业道德；另一方面，希望外部安全风险或恶意事件减少。这需要全行业乃至全社会安全意识的培养，任重而道远！

明确定义敏感信息的范围

首先，我们来看看国家标准是如何定义敏感信息的。根据国家质量监督检验检疫总局、国家标准化管理委员会最新发布的《信息安全技术个人信息安全规范》，所谓个人敏感信息是指“可能危及人身、财产安全，容易导致个人名誉、身心健康损害或者歧视性待遇的个人信息”。除了财产信息、健康生理信息、生物识别信息、身份信息、网络身份信息外，还包括电话号码、网页浏览记录、行踪轨迹等。在国家标准层面，首次对个人敏感信息的内涵和外延进行了界定和举例说明，为企业、监管部门和第三方评估机构的监督管理和评估提供了基本依据。虽然有相关国家标准作为依据，但如何实施数据安全，企业必须进一步明确具体的数据项和敏感分类等级。不具体、细化、不可执行是目前行业普遍存在的问题。作者和一些金融机构的高管经常谈论如何定义它。似乎有些字段非常明确，必须纳入敏感信息的保护范围，如客户的身份证号、电话号码、支付密码等。但是有些字段比较模糊，比如姓名(包括以前的名字)、性别等信息，结合不同的数据应用场景和用户会有不同的考虑，定义确实比较复杂。

有高管会直接问，表示整合子公司客户数据，支持跨业务条线、跨板块的客户数据分析和交叉营销，增强集团内部的产业协同，促进业务发展是否可行？在这里，我不倾向于给出一个简单的是或否的答案，但我会问一个问题：你想如何集成，你有什么样的安全保护机制和手段？所有这些都需要详细解释法规遵从性要求，研究数据目标和要求，以及详细的方案设计。从合规的角度来说，抛开其他因素，假设现在监管部门来你处检查，我们从010到300怎么知道敏感信息已经明确定义并妥善保护，没有违反相关合规要求，以及相应的证据(系统、文件等)。)可以提供证明吗？

要想在表示服务审计机构或监管机构，首先要在表示服务企业自身。如何理解监管指引的要求，并将这些原则性要求细化，并落实到日常经营管理活动中，如何控制，效果如何？如果你连表示这个圈都不知道，或者被卡住了，无法做出合理的解释，那一定是哪里出了问题！

比如企业可以解释表示:基于监管要求的解释，客户信息可以分为三类，一类是完全敏感的信息，这些字段有J项，严格保护，不允许单独使用；一类是非敏感信息，有Q项，可以在给定的业务场景和适当的授权下使用；另一类是敏感信息。总共有k个项目。单独出现时，不会作为敏感信息使用，而是参照非敏感信息使用和管理。但是，一旦它与其他特定的数据结合使用，它将成为管理的敏感信息。然后，针对这三类数据明确规范相应的管理方法、机制和具体手段，并落实到具体的信息系统中进行保护。这样至少可以是表示说明企业本身已经明确了敏感信息管理和配套管控体系的范围，在不违反监管硬性条款要求的前提下(除非连原则都无法遵守)，可以合理解释一般情况。当然，审计机构(或监管机构)也在不断检查和摸索，在看到不同企业的不同做法后，对具体监管要求进行了详细解读和细化，并向被审计(或监管检查)目标单位提出问题发现和整改建议。因此，这取决于企业是否有能力领先于审计或监管机构。[来源：互联网]