直擊信通院ICT深度觀察大會：騰訊安全劉海洋分享企業資料安全評估最佳實踐

    資料安全是當前的熱門話題、共性話題，提升企業自身資料安全防護能力已成為行業共識。12月21日，中國資訊通訊研究院“ICT深度觀察”大會-資料安全產業分論壇舉行，騰訊安全雲鼎實驗室高階研究員劉海洋出席會議，從資料場景角度切入，深度剖析資料安全體系建設面臨的挑戰與發展趨勢，分享企業資料安全評估的最佳實踐。

資料安全體系建設的發展趨勢應是一體化和輕量化

資料已成為新的生產要素，在經濟發展中發揮的作用越來越大。相應地，資料面對的安全風險和挑戰也越來越多。今年9月施行的《資料安全法》，更標誌著資料安全和資料利用正式提升到國家法規層面。

在劉海洋看來，資料安全最大的難點在於便捷使用和安全管控之間的平衡。在資料安全工作中可以發現，資料安全管控措施往往與資料業務是交織在一起的。因此，資料安全並不是一味地去防、去控，而是要充分考慮其業務場景和處理活動，既要能用，還要安全。

如何更好地平衡資料使用和資料安全之間的矛盾？一體化、輕量化，將會是資料安全體系建設的發展趨勢。

一體化，主要體現在資料安全能力融合上。將眾多資料安全能力通過元件化的方式進行融合，形成企業的統一管控平臺，不僅可以降低投入成本，同時其靈活性也可適應複雜的資料場景。

輕量化，主要體現在能力接入方面。資料安全工作不是邊界類防護，需要業務深度參與，甚至有時為了安全要損失業務功能的便捷性。因此，資料安全能力的接入要充分考慮對業務流程的影響，儘量做到免改造、微改造。

資料安全體系建設的目的是讓資料遵規守序

在目前強監管態勢下，一體化、輕量化地進行資料安全體系建設，最終目的是讓資料管理遵循法規，讓資料流動遵守秩序。資料安全體系構建需要先進靈活的底座，才能應對多樣性的法規。從資料生命週期角度來看，企業資料安全評估及安全體系建設的最終路徑，概括起來則是：釐清資料資產——掌握使用狀況——明確差距與風險——理清建設思路。

在啟動資料安全評估之前，首先要明確資料安全現狀，做好資料資產盤點和資料分類分級工作。有哪些資料？資料在哪裡？現階段基本架構情況如何？是否符合資料安全合規的要求？回答了這些問題，才能在後續，結合業務發展與合規要求，制定適合企業自身需求的資料安全方案和策略。

對於最重要的資料安全評估，為掌握資料使用狀況，保證調研工作的效率和準確性，建議採用“面對面為主，遠端為輔”、“工具為主，人工為輔”的工作策略。從過往資料處理活動梳理的實踐經驗來看，一個資料場景可能有一個或多個處理活動，最好的辦法便是按資料流向開展梳理，以資料跨場景為邊界，關注每個處理活動中的資料角色和許可權。

而明確當前資料安全建設的差距與風險，不僅需要結合實踐經驗對當前資料運營狀況進行風險分析，形成風險評估報告，還要結合現行資料安全相關法律法規，對應評估點，發現自身資料安全體系在合規方面的差距。根據《資料安全法》和《個人資訊保護法》等相關條款，企業還應定期對資料安全情況開展風險評估，定期合規審計。

事實上，資料安全體系構建並非一蹴而就，而是不斷進行經驗總結、能力提升、工具完善，不斷完善評估體系，使其更高效、更準確。