第二個(gè)問(wèn)題是建立完善的數(shù)據(jù)安全體系技術(shù)和落地。傳統(tǒng)的安全模式，已經(jīng)無(wú)法適應(yīng)現(xiàn)在數(shù)據(jù)安全的需要。因?yàn)槟壳暗男聭B(tài)勢(shì)新要求在做好業(yè)務(wù)安全的基礎(chǔ)之上，如果做的比較優(yōu)秀的一些企業(yè)他們會(huì)通過(guò)一些比較智能化的平臺(tái)，在技術(shù)層面去實(shí)現(xiàn)對(duì)風(fēng)險(xiǎn)的核查、數(shù)據(jù)梳理、數(shù)據(jù)保護(hù)，還有數(shù)據(jù)類型監(jiān)控預(yù)警的核心能力。業(yè)務(wù)層面在全生命周期的管理也有落地措施，另一方面再理想一些，但目前可能見(jiàn)到的比較少，就是在實(shí)驗(yàn)過(guò)程中流程自動(dòng)化。因?yàn)槿斯ぶ悄芎蜋C(jī)器學(xué)習(xí)其實(shí)是未來(lái)數(shù)據(jù)安全工作的一個(gè)關(guān)鍵，大型企業(yè)，如果在數(shù)據(jù)和個(gè)人信息方面體量，非常大的一個(gè)企業(yè)，在理想狀況下應(yīng)該是遵從一種流程自動(dòng)化，包括數(shù)據(jù)的定位提取，保持制度能切實(shí)落地或是有效管理方式。

順便插一句，在做評(píng)估時(shí)會(huì)出現(xiàn)某些問(wèn)題，例如人員崗位變動(dòng)產(chǎn)生的權(quán)限管理的矛盾點(diǎn)，HR無(wú)法承擔(dān)離職長(zhǎng)遠(yuǎn)場(chǎng)景下員工數(shù)據(jù)權(quán)限的管理問(wèn)題，確實(shí)是我們?cè)诰唧w實(shí)踐過(guò)程中經(jīng)?？吹降囊恍﹩?wèn)題。就是關(guān)于這種離職轉(zhuǎn)崗場(chǎng)景下權(quán)限清理不及時(shí)，這樣的一些流程問(wèn)題，人員也不具備管理這方面內(nèi)容的能力，另一方面像數(shù)據(jù)資產(chǎn)管理，涉及到數(shù)據(jù)的一些流動(dòng)，內(nèi)外部共享情況下，企業(yè)合作方的管理和資質(zhì)審核其實(shí)很多僅停留在商務(wù)條件方面，商務(wù)人員也是無(wú)法承擔(dān)對(duì)合作方能力資質(zhì)的鑒定，然后數(shù)據(jù)安全的管轄部門(mén)不清晰，比如說(shuō)有很多公司，他們是很難將數(shù)據(jù)安全管理和網(wǎng)絡(luò)信息安全管理進(jìn)行拆分，很長(zhǎng)時(shí)間僅僅由最初始的信息安全部門(mén)擔(dān)任相關(guān)數(shù)據(jù)安全管理工作，但缺乏一定的標(biāo)準(zhǔn)文件對(duì)股市技術(shù)能力支撐，包括工作開(kāi)展思路，還有面向數(shù)據(jù)操作的審計(jì)不完善，要么是沒(méi)有工具，要么就是存在一定的工具，但在人員配套的能力，或者技能，或者和業(yè)務(wù)是否能融合存在問(wèn)題。

以及對(duì)于數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估，因?yàn)閯偛艛?shù)據(jù)安全法也提到說(shuō)要定期去開(kāi)展風(fēng)險(xiǎn)評(píng)估，但是其實(shí)關(guān)于風(fēng)險(xiǎn)評(píng)估方面，企業(yè)在做內(nèi)部的評(píng)估和審計(jì)的時(shí)候缺乏一些規(guī)則和辦法。目前看到的很多案例里面，一些中小型單位并不具備這些能力，也沒(méi)有做這方面的工作，其實(shí)這就是一個(gè)風(fēng)險(xiǎn)點(diǎn)。以上講到的是數(shù)據(jù)安全治理中發(fā)現(xiàn)的一些問(wèn)題，側(cè)面佐證了數(shù)據(jù)安全治理體系這四個(gè)要素在理想狀態(tài)下的是缺一不可。

剛才數(shù)據(jù)安全法中特別提到，支持做評(píng)估和評(píng)測(cè)工作幫助企業(yè)和單位，找到自己的能力差距，然后進(jìn)行補(bǔ)齊，那么我們目前國(guó)內(nèi)的能力評(píng)估現(xiàn)狀是怎么樣的呢？一方面我們國(guó)家高度重視標(biāo)準(zhǔn)化工作的，在左上角的這個(gè)列表里面我們都能看到關(guān)于數(shù)據(jù)安全方面有一系列的標(biāo)準(zhǔn)文件，但是從現(xiàn)狀的另一方面來(lái)說(shuō)，目前市面上的一些認(rèn)證都還在基于比較傳統(tǒng)信息安全方面的，另外再?gòu)氖袌?chǎng)現(xiàn)狀來(lái)說(shuō)，目前行業(yè)的數(shù)據(jù)安全治理還屬于發(fā)展初期，在評(píng)估和評(píng)測(cè)的過(guò)程當(dāng)中，也會(huì)遇到以下這些問(wèn)題：比如各個(gè)行業(yè)的能力水平不同，以及在開(kāi)展評(píng)估過(guò)程中也發(fā)現(xiàn)雖然標(biāo)準(zhǔn)文件很多，但是具體可以量化用來(lái)評(píng)估度量的方法有一定缺失。另外，與監(jiān)管要求和公眾期待還存在一些差距，我們也現(xiàn)在還不具備貼近產(chǎn)業(yè)現(xiàn)狀的一個(gè)具體的指南。然后企業(yè)自身很少見(jiàn)到說(shuō)形成一個(gè)非常完備的體系化的數(shù)據(jù)安全方面的防御能力。

企業(yè)數(shù)據(jù)安全治理能力不足，規(guī)則體系和業(yè)務(wù)場(chǎng)景太多，經(jīng)常在開(kāi)展評(píng)估的過(guò)程中會(huì)花很大一部分時(shí)間去履行他們系統(tǒng)所涉及的應(yīng)用場(chǎng)景，還有數(shù)據(jù)流轉(zhuǎn)的環(huán)節(jié)，然后另一方面治理的人才比較缺乏。就像我們?cè)谠u(píng)估過(guò)程中經(jīng)常能看到每個(gè)業(yè)務(wù)線配了一個(gè)安全接口人，安全BP的角色，但是職務(wù)可能是產(chǎn)品，可能是風(fēng)控，他們不一定是數(shù)據(jù)安全治理方面的專業(yè)人才，大多數(shù)處于兼任的狀態(tài)。另一方面就是專門(mén)做數(shù)據(jù)安全治理方面，各企業(yè)反饋人員配置不足，難以支撐當(dāng)前的業(yè)務(wù)體量。最后標(biāo)題為立法要求，這塊講的是我們現(xiàn)在面臨的現(xiàn)狀。但是目前國(guó)家已經(jīng)把數(shù)據(jù)安全治理這方面已經(jīng)提到戰(zhàn)略高度了，在積極推進(jìn)各種法律，所以需要無(wú)論是企業(yè)還是第三方機(jī)構(gòu)迅速建立一個(gè)能力評(píng)估的一套規(guī)則，然后去幫助各家盡快建立自己的治理能力，或者說(shuō)做能力方面的提升。

下面我簡(jiǎn)單介紹一下信通院推出的DSG評(píng)估，DSG評(píng)估主要是一款市場(chǎng)化的數(shù)據(jù)安全治理能力評(píng)估的一個(gè)服務(wù)，從去年十月份中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)啟動(dòng)了DSG標(biāo)準(zhǔn)的編制，現(xiàn)在其實(shí)已經(jīng)進(jìn)入到2.0的迭代階段。但是1.0標(biāo)準(zhǔn)是在去年的時(shí)候頒布的，當(dāng)時(shí)第一批通過(guò)DSG評(píng)估的，有聯(lián)通大數(shù)據(jù)、螞蟻、百度等單位，然后當(dāng)時(shí)標(biāo)準(zhǔn)的制定來(lái)自百度、聯(lián)通、螞蟻、奇安信等20多家電信互聯(lián)網(wǎng)單位，30多名專家的參與。

然后具體的工作支撐，我做了一張這樣的一個(gè)圖，就是根據(jù)我剛才說(shuō)到的現(xiàn)狀中的一些問(wèn)題，首先從理論基礎(chǔ)上來(lái)說(shuō)，這有92%和76%這兩個(gè)數(shù)字，我解釋一下大概是什么意思，我們內(nèi)部通過(guò)對(duì)數(shù)據(jù)安全法、還有個(gè)人信息保護(hù)法的一個(gè)對(duì)標(biāo)和分析、拆解，我們把我們?cè)u(píng)估的方法，大多數(shù)都是采集于這兩個(gè)法案的一些要求，這兩個(gè)百分比其實(shí)是一個(gè)條款的覆蓋率情況，然后右側(cè)這些標(biāo)準(zhǔn)文件也都是我們編制評(píng)估辦法的一個(gè)重要參考材料，最后形成了我們這一套評(píng)估方法，都是我剛才前面講到了組織建設(shè)、制度文件、技術(shù)工具和人員能力，也就是說(shuō)在開(kāi)展具體評(píng)估的時(shí)候主要是看這四個(gè)維度，然后將這個(gè)企業(yè)能力水平進(jìn)行評(píng)估評(píng)測(cè)，最后提供一些相應(yīng)的咨詢方面的建議和意見(jiàn)。

具體的能力項(xiàng)如上圖所示，分為三大塊，安全戰(zhàn)略是一個(gè)企業(yè)組織的安全規(guī)劃，以及人員管理，全生命周期安全，就是我們都知道的數(shù)據(jù)的全生命周期，基礎(chǔ)安全是合規(guī)管理、合作方管理，還有監(jiān)控與審計(jì)，鑒定與訪問(wèn)等，風(fēng)險(xiǎn)和需求的評(píng)估，以及安全事件應(yīng)急處理的能力。然后結(jié)合我剛才所說(shuō)的一些評(píng)估方法，因?yàn)槲覀冇凶龇治鎏幚?，我們最后?duì)企業(yè)評(píng)估分為基礎(chǔ)級(jí)、優(yōu)秀級(jí)和先進(jìn)級(jí)。因?yàn)槟壳笆菍儆诔跏荚u(píng)估的階段，沒(méi)有把先進(jìn)級(jí)這個(gè)口子放開(kāi)，目前評(píng)估的企業(yè)基本集中在優(yōu)秀級(jí)和基礎(chǔ)級(jí)這兩個(gè)檔位。

評(píng)估時(shí)的重要依據(jù)是一個(gè)團(tuán)體標(biāo)準(zhǔn)，是去年開(kāi)展的DSG評(píng)估方法的團(tuán)標(biāo)，這個(gè)團(tuán)標(biāo)是來(lái)自不同的電信互聯(lián)網(wǎng)企業(yè)的30多位專家，跟我們一起共同制定的。然后也是我剛才提到的，我們?cè)u(píng)估的方法和這些能力項(xiàng)目具體是什么，相關(guān)文件可以在網(wǎng)上下載。

做DSG評(píng)估的意義是什么？其實(shí)剛才已經(jīng)介紹過(guò)很多遍，在此我在說(shuō)一下。我們做DSG評(píng)估的主要意義是希望能夠準(zhǔn)確的評(píng)估出行業(yè)數(shù)據(jù)安全治理能力的發(fā)展現(xiàn)狀，能夠發(fā)現(xiàn)企業(yè)在做數(shù)據(jù)安全方面的一些問(wèn)題。然后能夠幫助企業(yè)因地制宜地指明發(fā)展方向，以及提升他們的治理能力。等級(jí)分布、共性問(wèn)題分析以及發(fā)現(xiàn)標(biāo)桿是對(duì)于我們?cè)u(píng)估側(cè)的三個(gè)重要意義，對(duì)于企業(yè)側(cè)的重要意義就是下面這6項(xiàng)，也就是說(shuō)現(xiàn)狀總結(jié)，以及接收到我們的一些優(yōu)化的建議，包括在評(píng)估過(guò)程中，我們也會(huì)促進(jìn)業(yè)內(nèi)交流，然后對(duì)于我們的評(píng)估單位也會(huì)去因地制宜的提供一些最佳實(shí)踐，以及包括向我們獲取咨詢。最后就是在業(yè)內(nèi)交流過(guò)程中，促進(jìn)企業(yè)互相之間的一個(gè)宣傳和推廣。

給大家展示一下我們的評(píng)估企業(yè)，目前第二批正在評(píng)估當(dāng)中，第三批正在報(bào)名。首批已經(jīng)完成，首批的情況均為優(yōu)秀，左側(cè)這五家單位。我自己也參與了第二批中一些項(xiàng)目，是中間這些單位，他們的評(píng)估結(jié)果已完成訪談，目前在進(jìn)行結(jié)果評(píng)定，出來(lái)結(jié)果后送到專家評(píng)審，11月進(jìn)行專家評(píng)審，如果評(píng)審?fù)ㄟ^(guò)會(huì)給相應(yīng)的企業(yè)頒發(fā)DSG評(píng)估證書(shū)。然后第三批我們現(xiàn)在進(jìn)入報(bào)名中，如果通過(guò)專家評(píng)審之后，在12月的數(shù)據(jù)安全方面高峰論壇上會(huì)進(jìn)行DSG能力等級(jí)證書(shū)頒發(fā)。

關(guān)于數(shù)據(jù)安全推進(jìn)計(jì)劃，由中國(guó)信息通信研究院發(fā)起， 致力于推動(dòng)法律法規(guī)及監(jiān)管要求的貫徹落實(shí)，促進(jìn)數(shù)據(jù)安全技術(shù)交流，推廣數(shù)據(jù)安全最佳實(shí)踐，提升數(shù)據(jù)安全治理水平的公益性活動(dòng)。具體事情包括做搭建交流平臺(tái)、開(kāi)展數(shù)據(jù)安全研究、建立建設(shè)標(biāo)準(zhǔn)體系，以及提供相應(yīng)的測(cè)評(píng)服務(wù)，以及培訓(xùn)與人才認(rèn)證。10月20號(hào)我們舉辦了一期數(shù)據(jù)安全培訓(xùn)研討會(huì)，這是第一期，是金融專場(chǎng)，會(huì)邀請(qǐng)信通院政經(jīng)所還有國(guó)內(nèi)律所，銀行金融機(jī)構(gòu)，還有互聯(lián)網(wǎng)金融公司的專家就數(shù)據(jù)安全治理和實(shí)踐進(jìn)行一定的研討。

如果加入到我們數(shù)據(jù)安全推進(jìn)計(jì)劃都會(huì)有什么樣的一個(gè)成員權(quán)益？做安全很難去回答一個(gè)問(wèn)題：收益在哪里？我做這件事情投入之后，產(chǎn)出在哪里？其實(shí)在開(kāi)展各項(xiàng)活動(dòng)的時(shí)候，也會(huì)希望說(shuō)給我們的同學(xué)們，還有成員們講清楚我們這個(gè)活動(dòng)所能給大家?guī)?lái)的收益都有哪些，一方面是法律法規(guī)和政策解讀，剛才有提到，雖然各種法律紛紛開(kāi)始施行，但是因?yàn)槭腔拘谭ǎ€有很多具體的一些內(nèi)容可能是需要進(jìn)一步的去拆解。我們這邊九月到十月期間舉辦監(jiān)管機(jī)構(gòu)最新的數(shù)據(jù)安全政策方面細(xì)化的解讀，從九月開(kāi)始我們開(kāi)展了很多數(shù)據(jù)安全方面標(biāo)準(zhǔn)文件的制定，我目前知道的就有三個(gè)是關(guān)于數(shù)據(jù)產(chǎn)品的服務(wù)能力方面的標(biāo)準(zhǔn)，審計(jì)產(chǎn)品標(biāo)準(zhǔn)，這些標(biāo)準(zhǔn)制定需要企業(yè)的老師們共同參與共同制定，這樣才能說(shuō)這個(gè)標(biāo)準(zhǔn)是更科學(xué)，更有普適性的一個(gè)工作。培訓(xùn)和公開(kāi)課剛才也有提到，其實(shí)我們?cè)谧銎髽I(yè)訪談過(guò)程中企業(yè)經(jīng)常反復(fù)的就是人才的能力提升，還有人才培訓(xùn)這一塊存在痛點(diǎn)，那么我們這邊也有培訓(xùn)和公開(kāi)課。

DSI成員可以免費(fèi)獲取一線專家的數(shù)據(jù)安全方面的公開(kāi)課，可以優(yōu)惠參加數(shù)據(jù)安全體系化培訓(xùn)，從九月啟動(dòng)報(bào)名，然后還有“星河”案例，也就是關(guān)于數(shù)據(jù)方面的經(jīng)典案例，整個(gè)行業(yè)最佳實(shí)踐方面的案例題報(bào)?？梢灾苯油ㄟ^(guò)評(píng)選初審進(jìn)入專家評(píng)審階段。還有關(guān)于數(shù)據(jù)安全治理能力的在線預(yù)評(píng)估，還有安全風(fēng)險(xiǎn)評(píng)估，評(píng)估側(cè)我們也有相應(yīng)的優(yōu)惠。最后是一些長(zhǎng)期活動(dòng)，比如說(shuō)像是牽頭成立數(shù)據(jù)安全的項(xiàng)目組，聯(lián)合發(fā)布數(shù)據(jù)安全的研究成果。但是標(biāo)紅星主要是由我們DSI聯(lián)合發(fā)起單位獨(dú)享的。

那么關(guān)于參與單位這塊，因?yàn)閯偛庞刑岬铰?lián)合發(fā)起單位，先簡(jiǎn)單介紹一下現(xiàn)在參與情況，截止９月３０日，收到了一百零三家企業(yè)正式成為了我們的參與單位，主要行業(yè)集中在金融，互聯(lián)網(wǎng)，汽車，安全廠商等等這些行業(yè)里面，其中我們?cè)u(píng)定的這個(gè)聯(lián)合發(fā)起單位共30多家，包括以上這些公司集團(tuán)。

那么關(guān)一些其他工作資訊的方面，我給大家簡(jiǎn)單介紹一下。剛才提到，我們和成員單位緊密合作開(kāi)展數(shù)據(jù)安全技術(shù)方面的研究，具體包括哪些技術(shù)呢？我這里做了一張全景圖。

其中標(biāo)藍(lán)的內(nèi)容是我們目前在做的這個(gè)安全技術(shù)方面的研究，也是多多鼓勵(lì)各位企業(yè)的老師與我們共同開(kāi)展這些研究，然后為標(biāo)準(zhǔn)研制，為行業(yè)的健康發(fā)展提供自己的思路、創(chuàng)新理念和經(jīng)驗(yàn)。

我目前主要接收服務(wù)評(píng)估與評(píng)側(cè)方面的相關(guān)內(nèi)容，一方面是數(shù)據(jù)安全的風(fēng)險(xiǎn)評(píng)估，我們是根據(jù)數(shù)安法，個(gè)保法，網(wǎng)安法，個(gè)人信息安全管理安全規(guī)范，還有數(shù)據(jù)安全治理能力評(píng)估方法，等保方面等法律法規(guī)文件做了條款的收集和重新歸類。最后是通過(guò)系統(tǒng)管理安全，系統(tǒng)數(shù)據(jù)安全，系統(tǒng)應(yīng)用安全三個(gè)方面進(jìn)行企業(yè)數(shù)據(jù)安全風(fēng)險(xiǎn)方面的評(píng)估，工作開(kāi)展的方式是通過(guò)這些條款，做了一個(gè)風(fēng)險(xiǎn)矩陣，并且對(duì)相應(yīng)的風(fēng)險(xiǎn)點(diǎn)做量化打分，最后輸出一個(gè)風(fēng)險(xiǎn)等級(jí)，對(duì)應(yīng)不同的風(fēng)險(xiǎn)等級(jí)再加上企業(yè)相關(guān)的業(yè)務(wù)情況提供一些解決方案。這是我們這一項(xiàng)評(píng)估服務(wù)的內(nèi)容。

另一方面是針對(duì)一些涉及到大量個(gè)人信息方面的企業(yè)，我們也推出了個(gè)人信息保護(hù)方面的評(píng)估，具體是通過(guò)個(gè)人信息保護(hù)法，數(shù)據(jù)安全法，還有３５２７３這三個(gè)文件，主要是通過(guò)這三個(gè)文件，也是通過(guò)風(fēng)險(xiǎn)矩陣分析，然后評(píng)定風(fēng)險(xiǎn)等級(jí)，對(duì)應(yīng)推出相應(yīng)的解決方案給到企業(yè)。這兩部分內(nèi)容大家可以理解為是一種咨詢?cè)u(píng)估服務(wù)，主要包括以上六個(gè)維度。

我們團(tuán)隊(duì)還有相關(guān)DSMM的認(rèn)證服務(wù)，關(guān)于評(píng)估評(píng)測(cè)方面的這個(gè)內(nèi)容大家都可以直接聯(lián)系我去了解更多的消息。

-END-