第二個問題是建立完善的數(shù)據(jù)安全體系技術(shù)和落地。傳統(tǒng)的安全模式，已經(jīng)無法適應(yīng)現(xiàn)在數(shù)據(jù)安全的需要。因為目前的新態(tài)勢新要求在做好業(yè)務(wù)安全的基礎(chǔ)之上，如果做的比較優(yōu)秀的一些企業(yè)他們會通過一些比較智能化的平臺，在技術(shù)層面去實現(xiàn)對風險的核查、數(shù)據(jù)梳理、數(shù)據(jù)保護，還有數(shù)據(jù)類型監(jiān)控預(yù)警的核心能力。業(yè)務(wù)層面在全生命周期的管理也有落地措施，另一方面再理想一些，但目前可能見到的比較少，就是在實驗過程中流程自動化。因為人工智能和機器學習其實是未來數(shù)據(jù)安全工作的一個關(guān)鍵，大型企業(yè)，如果在數(shù)據(jù)和個人信息方面體量，非常大的一個企業(yè)，在理想狀況下應(yīng)該是遵從一種流程自動化，包括數(shù)據(jù)的定位提取，保持制度能切實落地或是有效管理方式。

順便插一句，在做評估時會出現(xiàn)某些問題，例如人員崗位變動產(chǎn)生的權(quán)限管理的矛盾點，HR無法承擔離職長遠場景下員工數(shù)據(jù)權(quán)限的管理問題，確實是我們在具體實踐過程中經(jīng)?？吹降囊恍﹩栴}。就是關(guān)于這種離職轉(zhuǎn)崗場景下權(quán)限清理不及時，這樣的一些流程問題，人員也不具備管理這方面內(nèi)容的能力，另一方面像數(shù)據(jù)資產(chǎn)管理，涉及到數(shù)據(jù)的一些流動，內(nèi)外部共享情況下，企業(yè)合作方的管理和資質(zhì)審核其實很多僅停留在商務(wù)條件方面，商務(wù)人員也是無法承擔對合作方能力資質(zhì)的鑒定，然后數(shù)據(jù)安全的管轄部門不清晰，比如說有很多公司，他們是很難將數(shù)據(jù)安全管理和網(wǎng)絡(luò)信息安全管理進行拆分，很長時間僅僅由最初始的信息安全部門擔任相關(guān)數(shù)據(jù)安全管理工作，但缺乏一定的標準文件對股市技術(shù)能力支撐，包括工作開展思路，還有面向數(shù)據(jù)操作的審計不完善，要么是沒有工具，要么就是存在一定的工具，但在人員配套的能力，或者技能，或者和業(yè)務(wù)是否能融合存在問題。

以及對于數(shù)據(jù)安全風險評估，因為剛才數(shù)據(jù)安全法也提到說要定期去開展風險評估，但是其實關(guān)于風險評估方面，企業(yè)在做內(nèi)部的評估和審計的時候缺乏一些規(guī)則和辦法。目前看到的很多案例里面，一些中小型單位并不具備這些能力，也沒有做這方面的工作，其實這就是一個風險點。以上講到的是數(shù)據(jù)安全治理中發(fā)現(xiàn)的一些問題，側(cè)面佐證了數(shù)據(jù)安全治理體系這四個要素在理想狀態(tài)下的是缺一不可。

剛才數(shù)據(jù)安全法中特別提到，支持做評估和評測工作幫助企業(yè)和單位，找到自己的能力差距，然后進行補齊，那么我們目前國內(nèi)的能力評估現(xiàn)狀是怎么樣的呢？一方面我們國家高度重視標準化工作的，在左上角的這個列表里面我們都能看到關(guān)于數(shù)據(jù)安全方面有一系列的標準文件，但是從現(xiàn)狀的另一方面來說，目前市面上的一些認證都還在基于比較傳統(tǒng)信息安全方面的，另外再從市場現(xiàn)狀來說，目前行業(yè)的數(shù)據(jù)安全治理還屬于發(fā)展初期，在評估和評測的過程當中，也會遇到以下這些問題：比如各個行業(yè)的能力水平不同，以及在開展評估過程中也發(fā)現(xiàn)雖然標準文件很多，但是具體可以量化用來評估度量的方法有一定缺失。另外，與監(jiān)管要求和公眾期待還存在一些差距，我們也現(xiàn)在還不具備貼近產(chǎn)業(yè)現(xiàn)狀的一個具體的指南。然后企業(yè)自身很少見到說形成一個非常完備的體系化的數(shù)據(jù)安全方面的防御能力。

企業(yè)數(shù)據(jù)安全治理能力不足，規(guī)則體系和業(yè)務(wù)場景太多，經(jīng)常在開展評估的過程中會花很大一部分時間去履行他們系統(tǒng)所涉及的應(yīng)用場景，還有數(shù)據(jù)流轉(zhuǎn)的環(huán)節(jié)，然后另一方面治理的人才比較缺乏。就像我們在評估過程中經(jīng)常能看到每個業(yè)務(wù)線配了一個安全接口人，安全BP的角色，但是職務(wù)可能是產(chǎn)品，可能是風控，他們不一定是數(shù)據(jù)安全治理方面的專業(yè)人才，大多數(shù)處于兼任的狀態(tài)。另一方面就是專門做數(shù)據(jù)安全治理方面，各企業(yè)反饋人員配置不足，難以支撐當前的業(yè)務(wù)體量。最后標題為立法要求，這塊講的是我們現(xiàn)在面臨的現(xiàn)狀。但是目前國家已經(jīng)把數(shù)據(jù)安全治理這方面已經(jīng)提到戰(zhàn)略高度了，在積極推進各種法律，所以需要無論是企業(yè)還是第三方機構(gòu)迅速建立一個能力評估的一套規(guī)則，然后去幫助各家盡快建立自己的治理能力，或者說做能力方面的提升。

下面我簡單介紹一下信通院推出的DSG評估，DSG評估主要是一款市場化的數(shù)據(jù)安全治理能力評估的一個服務(wù)，從去年十月份中國互聯(lián)網(wǎng)協(xié)會啟動了DSG標準的編制，現(xiàn)在其實已經(jīng)進入到2.0的迭代階段。但是1.0標準是在去年的時候頒布的，當時第一批通過DSG評估的，有聯(lián)通大數(shù)據(jù)、螞蟻、百度等單位，然后當時標準的制定來自百度、聯(lián)通、螞蟻、奇安信等20多家電信互聯(lián)網(wǎng)單位，30多名專家的參與。

然后具體的工作支撐，我做了一張這樣的一個圖，就是根據(jù)我剛才說到的現(xiàn)狀中的一些問題，首先從理論基礎(chǔ)上來說，這有92%和76%這兩個數(shù)字，我解釋一下大概是什么意思，我們內(nèi)部通過對數(shù)據(jù)安全法、還有個人信息保護法的一個對標和分析、拆解，我們把我們評估的方法，大多數(shù)都是采集于這兩個法案的一些要求，這兩個百分比其實是一個條款的覆蓋率情況，然后右側(cè)這些標準文件也都是我們編制評估辦法的一個重要參考材料，最后形成了我們這一套評估方法，都是我剛才前面講到了組織建設(shè)、制度文件、技術(shù)工具和人員能力，也就是說在開展具體評估的時候主要是看這四個維度，然后將這個企業(yè)能力水平進行評估評測，最后提供一些相應(yīng)的咨詢方面的建議和意見。

具體的能力項如上圖所示，分為三大塊，安全戰(zhàn)略是一個企業(yè)組織的安全規(guī)劃，以及人員管理，全生命周期安全，就是我們都知道的數(shù)據(jù)的全生命周期，基礎(chǔ)安全是合規(guī)管理、合作方管理，還有監(jiān)控與審計，鑒定與訪問等，風險和需求的評估，以及安全事件應(yīng)急處理的能力。然后結(jié)合我剛才所說的一些評估方法，因為我們有做分析處理，我們最后對企業(yè)評估分為基礎(chǔ)級、優(yōu)秀級和先進級。因為目前是屬于初始評估的階段，沒有把先進級這個口子放開，目前評估的企業(yè)基本集中在優(yōu)秀級和基礎(chǔ)級這兩個檔位。

評估時的重要依據(jù)是一個團體標準，是去年開展的DSG評估方法的團標，這個團標是來自不同的電信互聯(lián)網(wǎng)企業(yè)的30多位專家，跟我們一起共同制定的。然后也是我剛才提到的，我們評估的方法和這些能力項目具體是什么，相關(guān)文件可以在網(wǎng)上下載。

做DSG評估的意義是什么？其實剛才已經(jīng)介紹過很多遍，在此我在說一下。我們做DSG評估的主要意義是希望能夠準確的評估出行業(yè)數(shù)據(jù)安全治理能力的發(fā)展現(xiàn)狀，能夠發(fā)現(xiàn)企業(yè)在做數(shù)據(jù)安全方面的一些問題。然后能夠幫助企業(yè)因地制宜地指明發(fā)展方向，以及提升他們的治理能力。等級分布、共性問題分析以及發(fā)現(xiàn)標桿是對于我們評估側(cè)的三個重要意義，對于企業(yè)側(cè)的重要意義就是下面這6項，也就是說現(xiàn)狀總結(jié)，以及接收到我們的一些優(yōu)化的建議，包括在評估過程中，我們也會促進業(yè)內(nèi)交流，然后對于我們的評估單位也會去因地制宜的提供一些最佳實踐，以及包括向我們獲取咨詢。最后就是在業(yè)內(nèi)交流過程中，促進企業(yè)互相之間的一個宣傳和推廣。

給大家展示一下我們的評估企業(yè)，目前第二批正在評估當中，第三批正在報名。首批已經(jīng)完成，首批的情況均為優(yōu)秀，左側(cè)這五家單位。我自己也參與了第二批中一些項目，是中間這些單位，他們的評估結(jié)果已完成訪談，目前在進行結(jié)果評定，出來結(jié)果后送到專家評審，11月進行專家評審，如果評審通過會給相應(yīng)的企業(yè)頒發(fā)DSG評估證書。然后第三批我們現(xiàn)在進入報名中，如果通過專家評審之后，在12月的數(shù)據(jù)安全方面高峰論壇上會進行DSG能力等級證書頒發(fā)。

關(guān)于數(shù)據(jù)安全推進計劃，由中國信息通信研究院發(fā)起， 致力于推動法律法規(guī)及監(jiān)管要求的貫徹落實，促進數(shù)據(jù)安全技術(shù)交流，推廣數(shù)據(jù)安全最佳實踐，提升數(shù)據(jù)安全治理水平的公益性活動。具體事情包括做搭建交流平臺、開展數(shù)據(jù)安全研究、建立建設(shè)標準體系，以及提供相應(yīng)的測評服務(wù)，以及培訓與人才認證。10月20號我們舉辦了一期數(shù)據(jù)安全培訓研討會，這是第一期，是金融專場，會邀請信通院政經(jīng)所還有國內(nèi)律所，銀行金融機構(gòu)，還有互聯(lián)網(wǎng)金融公司的專家就數(shù)據(jù)安全治理和實踐進行一定的研討。

如果加入到我們數(shù)據(jù)安全推進計劃都會有什么樣的一個成員權(quán)益？做安全很難去回答一個問題：收益在哪里？我做這件事情投入之后，產(chǎn)出在哪里？其實在開展各項活動的時候，也會希望說給我們的同學們，還有成員們講清楚我們這個活動所能給大家?guī)淼氖找娑加心男?，一方面是法律法?guī)和政策解讀，剛才有提到，雖然各種法律紛紛開始施行，但是因為是基本刑法，還有很多具體的一些內(nèi)容可能是需要進一步的去拆解。我們這邊九月到十月期間舉辦監(jiān)管機構(gòu)最新的數(shù)據(jù)安全政策方面細化的解讀，從九月開始我們開展了很多數(shù)據(jù)安全方面標準文件的制定，我目前知道的就有三個是關(guān)于數(shù)據(jù)產(chǎn)品的服務(wù)能力方面的標準，審計產(chǎn)品標準，這些標準制定需要企業(yè)的老師們共同參與共同制定，這樣才能說這個標準是更科學，更有普適性的一個工作。培訓和公開課剛才也有提到，其實我們在做企業(yè)訪談過程中企業(yè)經(jīng)常反復的就是人才的能力提升，還有人才培訓這一塊存在痛點，那么我們這邊也有培訓和公開課。

DSI成員可以免費獲取一線專家的數(shù)據(jù)安全方面的公開課，可以優(yōu)惠參加數(shù)據(jù)安全體系化培訓，從九月啟動報名，然后還有“星河”案例，也就是關(guān)于數(shù)據(jù)方面的經(jīng)典案例，整個行業(yè)最佳實踐方面的案例題報?？梢灾苯油ㄟ^評選初審進入專家評審階段。還有關(guān)于數(shù)據(jù)安全治理能力的在線預(yù)評估，還有安全風險評估，評估側(cè)我們也有相應(yīng)的優(yōu)惠。最后是一些長期活動，比如說像是牽頭成立數(shù)據(jù)安全的項目組，聯(lián)合發(fā)布數(shù)據(jù)安全的研究成果。但是標紅星主要是由我們DSI聯(lián)合發(fā)起單位獨享的。

那么關(guān)于參與單位這塊，因為剛才有提到聯(lián)合發(fā)起單位，先簡單介紹一下現(xiàn)在參與情況，截止９月３０日，收到了一百零三家企業(yè)正式成為了我們的參與單位，主要行業(yè)集中在金融，互聯(lián)網(wǎng)，汽車，安全廠商等等這些行業(yè)里面，其中我們評定的這個聯(lián)合發(fā)起單位共30多家，包括以上這些公司集團。

那么關(guān)一些其他工作資訊的方面，我給大家簡單介紹一下。剛才提到，我們和成員單位緊密合作開展數(shù)據(jù)安全技術(shù)方面的研究，具體包括哪些技術(shù)呢？我這里做了一張全景圖。

其中標藍的內(nèi)容是我們目前在做的這個安全技術(shù)方面的研究，也是多多鼓勵各位企業(yè)的老師與我們共同開展這些研究，然后為標準研制，為行業(yè)的健康發(fā)展提供自己的思路、創(chuàng)新理念和經(jīng)驗。

我目前主要接收服務(wù)評估與評側(cè)方面的相關(guān)內(nèi)容，一方面是數(shù)據(jù)安全的風險評估，我們是根據(jù)數(shù)安法，個保法，網(wǎng)安法，個人信息安全管理安全規(guī)范，還有數(shù)據(jù)安全治理能力評估方法，等保方面等法律法規(guī)文件做了條款的收集和重新歸類。最后是通過系統(tǒng)管理安全，系統(tǒng)數(shù)據(jù)安全，系統(tǒng)應(yīng)用安全三個方面進行企業(yè)數(shù)據(jù)安全風險方面的評估，工作開展的方式是通過這些條款，做了一個風險矩陣，并且對相應(yīng)的風險點做量化打分，最后輸出一個風險等級，對應(yīng)不同的風險等級再加上企業(yè)相關(guān)的業(yè)務(wù)情況提供一些解決方案。這是我們這一項評估服務(wù)的內(nèi)容。

另一方面是針對一些涉及到大量個人信息方面的企業(yè)，我們也推出了個人信息保護方面的評估，具體是通過個人信息保護法，數(shù)據(jù)安全法，還有３５２７３這三個文件，主要是通過這三個文件，也是通過風險矩陣分析，然后評定風險等級，對應(yīng)推出相應(yīng)的解決方案給到企業(yè)。這兩部分內(nèi)容大家可以理解為是一種咨詢評估服務(wù)，主要包括以上六個維度。

我們團隊還有相關(guān)DSMM的認證服務(wù)，關(guān)于評估評測方面的這個內(nèi)容大家都可以直接聯(lián)系我去了解更多的消息。

-END-