■本刊記者 趙志遠(yuǎn)

4月26日，第三屆中國(guó)數(shù)據(jù)安全治理高峰論壇在京舉辦，本屆峰會(huì)以“共享數(shù)據(jù)價(jià)值·共擔(dān)安全責(zé)任”為主題，并發(fā)布《數(shù)據(jù)安全治理白皮書》2.0和《數(shù)據(jù)安全治理建設(shè)指南》，助力企業(yè)機(jī)構(gòu)提升數(shù)據(jù)安全防護(hù)能力，讓數(shù)據(jù)安全治理從概念走向落地。

當(dāng)前，隨著互聯(lián)網(wǎng)+的快速推進(jìn)，IT系統(tǒng)與企業(yè)業(yè)務(wù)深度融合，數(shù)據(jù)正成為企業(yè)業(yè)務(wù)的核心資產(chǎn)，也越來(lái)越受到重視。與此同時(shí)，針對(duì)數(shù)據(jù)的威脅也在與日俱增，特別是近年來(lái)持續(xù)爆發(fā)的勒索軟件攻擊事件尤為突出。

安華金和創(chuàng)始人兼CEO 劉曉韜

數(shù)據(jù)保護(hù)成為業(yè)界關(guān)注的重點(diǎn)，相關(guān)法律法規(guī)的出臺(tái)，也在政策導(dǎo)向上為數(shù)據(jù)安全治理帶來(lái)規(guī)范，幫助企業(yè)實(shí)現(xiàn)數(shù)據(jù)安全合規(guī)，提升

數(shù)據(jù)安全防護(hù)與資產(chǎn)管理能力。

數(shù)據(jù)治理離不開(kāi)企業(yè)、用戶、監(jiān)管機(jī)構(gòu)的共同努力，特別是近年來(lái)數(shù)據(jù)安全治理理念的提出到實(shí)踐落地，逐步開(kāi)花結(jié)果，更是各方力量共同協(xié)作的結(jié)果。

從歷屆中國(guó)數(shù)據(jù)安全治理高峰論壇的發(fā)展歷程可以看到，數(shù)據(jù)安全治理經(jīng)歷了從無(wú)到有，從概念到落地的深入推進(jìn)過(guò)程。據(jù)安華金和創(chuàng)始人兼CEO劉曉韜介紹，在第一屆論壇時(shí)，數(shù)據(jù)安全治理還處于概念的階段，人們的認(rèn)知度并不是很高，但時(shí)至今日，勒索病毒的大爆發(fā)，給企業(yè)機(jī)構(gòu)帶來(lái)巨大損失，同時(shí)，網(wǎng)絡(luò)安全法、歐盟的GDPR等法律法規(guī)的出臺(tái)，以及個(gè)人信息保護(hù)法和數(shù)據(jù)安全法也已提上立法計(jì)劃，對(duì)數(shù)據(jù)安全來(lái)說(shuō)，其認(rèn)知度和保護(hù)工作都上升到新的高度。

數(shù)據(jù)安全治理是通過(guò)組織構(gòu)建、規(guī)范制定、技術(shù)支撐等要素共同完成的數(shù)據(jù)安全建設(shè)的方法論。劉曉韜表示，組織、技術(shù)、規(guī)范是數(shù)據(jù)安全治理的鐵三角（如圖1所示）。因此，數(shù)據(jù)安全治理需要國(guó)家及行業(yè)監(jiān)管機(jī)構(gòu)、國(guó)家及行業(yè)規(guī)范、產(chǎn)品技術(shù)公司三方面的通力合作。

圖1 數(shù)據(jù)安全治理的鐵三角

在行業(yè)落地上，就特別需要相關(guān)組織機(jī)構(gòu)、相關(guān)法律規(guī)范及行業(yè)規(guī)范的建立和制定。在劉曉韜看來(lái)，政府、金融等行業(yè)由于存在完善的組織機(jī)構(gòu)，相關(guān)的數(shù)據(jù)保護(hù)法律規(guī)范的制定和落地都較為成熟，例如銀保監(jiān)會(huì)發(fā)布了《銀行業(yè)金融機(jī)構(gòu)數(shù)據(jù)治理指引》等。在醫(yī)療、教育等行業(yè)，相關(guān)規(guī)范也在逐步完善。但在企業(yè)側(cè)，相對(duì)來(lái)說(shuō)還缺乏統(tǒng)一的管理措施，很難從行業(yè)的法規(guī)角度落地，數(shù)據(jù)保護(hù)工作的落地還較為困難，尚有許多工作要做。

從企業(yè)規(guī)模來(lái)看，大、中、小型企業(yè)數(shù)據(jù)安全治理理念是不同的。大型企業(yè)往往具備足夠的資金、技術(shù)及專業(yè)人員等的優(yōu)勢(shì)，數(shù)據(jù)保護(hù)體系相對(duì)較為完善；而中小企業(yè)特別是小企業(yè)，由于客觀條件限制，數(shù)據(jù)安全工作推進(jìn)較為困難。因此，劉曉韜認(rèn)為，小型企業(yè)無(wú)需做過(guò)度體系化的防護(hù)，而應(yīng)抓住核心問(wèn)題，如合規(guī)和審計(jì)，防范外部攻擊外，還需部署數(shù)據(jù)庫(kù)防火墻等產(chǎn)品，在核心業(yè)務(wù)數(shù)據(jù)上加強(qiáng)防護(hù)；中型企業(yè)除以上部署外，還應(yīng)考慮第三方運(yùn)維的安全管控、第三方數(shù)據(jù)共享的脫敏問(wèn)題等。

針對(duì)第三方產(chǎn)品的供應(yīng)鏈安全問(wèn)題，安華金和還將與SaaS廠商合作推出應(yīng)用系統(tǒng)公有化、數(shù)據(jù)存儲(chǔ)私有化的數(shù)據(jù)安全解決方案，以保障企業(yè)核心數(shù)據(jù)安全。

數(shù)據(jù)安全治理理念自2016年安華金和在國(guó)內(nèi)首次提出后，歷經(jīng)三年發(fā)展，已經(jīng)獲得越來(lái)越多的關(guān)注和認(rèn)可，數(shù)據(jù)安全治理需要方法論，更需要實(shí)踐落地。論壇上發(fā)布的《數(shù)據(jù)安全治理白皮書》2.0同1.0相比進(jìn)行了更多完善，并系統(tǒng)探討國(guó)內(nèi)外數(shù)據(jù)安全相關(guān)標(biāo)準(zhǔn)與框架，匯集了多個(gè)行業(yè)標(biāo)桿數(shù)據(jù)安全治理實(shí)踐，通過(guò)方法與實(shí)踐的結(jié)合，可以為企業(yè)進(jìn)行數(shù)據(jù)安全建設(shè)的設(shè)計(jì)與實(shí)施提供參考方案及案例實(shí)踐。

數(shù)據(jù)安全治理近年來(lái)得到了越來(lái)越多的實(shí)踐落地，但數(shù)據(jù)保護(hù)的道路還很漫長(zhǎng)，也希望有更多企業(yè)組織的參與，為數(shù)據(jù)安全保障匯聚力量。