数据安全治理实践路线（下）

数据安全运营阶段通过不断适配业务环境和风险管理需求，持续优化安全策略措施，强化整个数据安全治理体系的有效运转。

数据安全运营

1. 风险防范
数据安全治理的目标之一是降低数据安全风险，因此建立有效的风险防范手段，对于预防数据安全事件发生有重要作用，可以从数据安全策略制定、数据安全基线扫描、数据安全风险评估三方面入手。

数据安全策略制定。一方面，根据数据全生命周期各项管理要求，制定通用安全策略，另一方面，结合各业务场景安全需要，制定针对性的安全策略。通过将通用策略和针对性策略结合部署，实现对数据流转过程的安全防护。

数据安全基线扫描。基于面临的风险形势，定期梳理、更新相关安全规范及安全策略，并转化为安全基线，同时直接落实到监控审计平台进行定期扫描。安全基线是组织数据安全防护的最低要求，各业务的开展必须满足。

数据安全风险评估。通过将日常化定期开展的数据安全风险评估结果与安全基线进行对标，发现不满足基线要求的评估项，再通过改进业务方案或强化安全技术手段的方式实现风险防范。

2. 监控预警
数据安全保护以知晓数据在组织内的安全状态为前提，需要组织在数据全生命周期各阶段开展安全监控和审计，以实现对数据安全风险的防控。可以通过态势监控、日常审计、专项审计等方式对相关风险点进行防控，从而降低数据安全风险。

态势监控。根据数据全生命周期的各项安全管理要求，建立组织内部统一的数据安全监控审计平台，对风险点的安全态势进行实时监测。一旦出现安全威胁，能够实现及时告警及初步阻断。

日常审计。针对账号使用、权限分配、密码管理、漏洞修复等日常工作的安全管理要求，利用监控审计平台开展审计工作，从而发现问题并及时处置。审计内容包括但不限于下表所示内容。

表--日常审计项目示例

专项审计。以业务线为审计对象，定期开展专项数据安全审计工作。审计内容包括数据全生命周期安全、隐私合规、合作方管理、鉴别访问、风险分析、数据安全事件应急等多方面内容，从而全面评价数据安全工作执行情况，发现执行问题并统筹改进。

3. 应急处理
一旦风险防范及监控预警措施失效，导致发生数据安全事件，组织应立即进行应急处置、复盘整改，并在内部进行宣贯宣导，防范安全事件的再次发生。

数据安全事件应急处置。根据数据安全事件应急预案对正在发生的各类数据安全攻击警告、数据安全威胁警报等进行紧急处置，确保第一时间阻断数据安全威胁。

数据安全事件复盘整改。应急处置完成后，应尽快在业务侧组织复盘分析，明确事件发生的根本原因，做好应急总结，沉淀应急手段，跟进落实整改，并完善相应应急预案。

数据安全应急预案宣贯宣导。根据数据安全事件的类别和级别，在相关业务部门或全线业务部门定期开展应急预案的宣贯宣导，降低发生类似数据安全事件的风险。

数据安全评估优化

数据安全评估优化阶段主要是通过内部评估与第三方评估相结合的方式，对组织的数据安全治理能力进行评估分析，总结不足并动态纠偏，实现数据安全治理的持续
优化及闭环工作机制的建立。

1. 内部评估
组织应形成周期性的内部评估工作机制，内部评估应由管理层牵头，执行层和监督层配合执行，确保评估工作的有效执行，并应将评估结果与组织的绩效考核挂钩，避免评估流于形式。常见的内部评估手段包括评估自查、应急演练、对抗模拟等。

评估自查通过设计评估问卷、调研表、定期执行检查工具等形式，在组织内部开展评估，主要评估内容至少应包括数据全生命周期的安全控制策略、风险需求分析、监控审计执行、应急处置措施、安全合规要求等内容。

应急演练通过构建内部人员泄露、外部黑客攻击等场景，验证组织数据安全治理措施的有效性和及时止损的能力，并通过在应急演练后开展复盘总结，不断改进应急预案及数据安全防护能力。应急演练可采用实战、桌面推演等方式，旨在验证数据安全事件应急的流程机制是否顺畅、技术工具是否实用、安全处置是否及时等，进一步完善应急预案，补足能力短板。

对抗模拟通过搭建仿真环境开展红蓝对抗，或模拟黑产对抗，帮助组织面对内外部数据安全风险时实现以攻促防，沉着应对，并在这个过程中不断挖掘组织数据安全可能存在的攻击面和渗透点，尤其是面对组织内部数据泄露风险，可以有针对性的完善数据安全治理工作机制和技术能力。

2. 第三方评估
除了内部评估外，组织还应引入第三方评估。第三方评估以国家、行业及团体标准等为执行准则，能客观、公正、真实地反映组织数据安全治理水平，实现对标差距分析。如中国信息通信研究院2020 年底推出的国内首个数据安全治理能力评估服务，结合业务场景和全生命周期数据流，从组织架构、制度流程、技术工具、人员能力的建设情况入手，综合考察组织数据安全治理能力的持续运转及自我改进能力。目前该评估服务已在金融、电信、互联网、汽车等多个行业领域获得广泛认可，是组织进行全面摸排、横向对比的重要抓手。