数据安全工作中容易被忽视的几个点

我以往在文档安全领域还是有比较多的认知，但是当面对数据安全这个课题的时候，发现还是有一些领域是力不从心的；同时在做规划过程中，与一些同行有过一些讨论，觉得有几个点可能比较容易被忽视，分享出来、以飨读者。

1、数据安全的内涵和边界

先回答清楚下面几个问题：我们负责的“数据安全”范畴中

（1）“数据”是指公司控制范围内流转、存储的所有数据吗？还是仅指识别、分级后的需要加以控制的数据？

（2）“数据”包括结构化数据和非结构化数据吗？格式化数据大体指的是数据库、大数据平台存储的数据，以及应用系统内部和系统之间流转的数据；非格式化数据大体指是各种办公文档、文件、聊天记录、邮件、图片音视频等。

（3）“数据”包括电子数据、纸质数据吗？

（4）以上定义的“数据”有可能会包含员工的个人数据吗？比如聊天记录、个人文档图片、邮件等，都是什么形态存在的？

（5）“安全”指的是什么意思？是数据的机密性、完整性、可用性、抗抵赖性、可追溯性中的哪几个？除了通常说数据安全要做到防泄漏、防滥用、防篡改，“安全”一词还包括什么含义？

（6）机密性、完整性、可用性、抗抵赖性、可追溯性分别要做到什么地步？是绝对不允许泄漏，还是允许低频度、低危害的泄漏或滥用？完整性强度要达到怎样的状态？追溯能力要达到什么状态？某些行业，“安全”还隐含“自证清白”的目标，也就是万一有投诉或者外部调查，自己可以举证自己是否清白。这个可以列入到追溯能力的定义中。

（7）“安全”的状态、强度，对于不同密级、敏感程度的数据是否有区别？如果有，是怎样的？

（8）如果你是数据安全负责人，你未来如何评价数据安全工作的好坏，如何向客户、领导展现工作质量的高低？

识别清楚以上几个问题，才能真正把数据安全工作的目标、内涵、边界定义清楚。

2. 数据安全与业务之间的关系

数据安全始终是信息安全工作的一部分，而信息安全工作是必须要为业务服务、为业务增长服务的，因此，数据安全也必须要为业务服务，而不是为了安全人员服务。

我记得方兴（FlashSky）写过一个系列的5篇文章，论述了数据安全的价值和重要性，其核心思想之一就是“数据必须要流动起来才能产生价值，数据安全也必须在数据流动中采取安全措施，否则数据虽然安全了，但是数据的价值也没有了”。当今数字化转型的大潮席卷中国各行各业，其技术方向之一就是大数据的应用为业务赋能。在这个过程中，数据必然会大量、自由地流动、分享、使用，爆发价值。那么数据安全在企业中怎么做？

我的主要思路是

（1） 尽一切努力减少纸件数据的流转，把业务过程推上系统，先完成信息化过程；

配合、推动公司的流程标准化、规范化进程，标准化、规范化之后，才能把线下的流程（2）（纸质流转过程，靠邮件和电话的业务流程，靠文档发来发去的业务过程）线上化、系统化、服务化；

（3）在各类线上、系统、服务中嵌入安全手段、工具，实现数据安全的服务化；

3、数据安全与隐私保护、数据合规之间的关系

隐私保护的重要性已经不言而喻。而企业在开展数据安全工作过程中，只要涉及到员工个人隐私或客户信息（乃至客户隐私信息），不管你愿不愿意，都必须回答“数据安全与隐私保护（数据合规）是什么关系”这个问题。在当前语境下，隐私保护的范畴比数据合规还要小。根据我的理解，数据合规指的是在某国/地区的法律法规要求下，合规合法地采集、传递、存储和使用某些重要数据，比如邮件、个人信息、客户信息等。

要回答这个问题，要从企业实际环境出发，具体回答、明确这几个问题

（1）数据安全和数据合规工作分别由哪个部门/团队或哪个人负责？

（2）数据安全工作开展的组织、方法、工具可以在哪些方面或维度帮助数据合规工作？具体怎么做？

（3）如果现在没有明确地定义数据合规工作的责任方，数据安全的责任方又能做些什么，使得公司的数据合规风险可控？

（4）公司内部员工的隐私保护不善，可能也会给公司运营带来风险。那么数据安全工作应如何界定公司员工的隐私保护策略呢？需要将之作为一种敏感、重要数据加以安全控制吗？

4、数据安全与总体安全文化、策略的关系

数据安全是总体信息安全工作的一部分，当然，对于某些行业、企业，约等于其总体信息安全工作。因此，数据安全的策略、导向必然要体现总体安全文化。

比如，总体的安全文化可能是趋严的，对于违规行为是低容忍的，那么数据安全的策略、导向大概率就是牺牲一些可用性和用户体验，尽可能避免数据安全风险的发生。比如，总体的企业文化可能是相对宽松、自由的，对于违规行驶是低容忍的，那么数据安全的策略、导向大概率就是要千方百计保障用户体验，但是默默地在后台做好记录、检测和审计，一旦发现涉嫌违规就要及时出现，以体现无处不在的潜在威慑。甚至可能领导们现在也没想好数据安全策略到底怎么定，数据安全风险高不高，那可能刚开始的时候，数据安全策略就以记录、检测为主，等发现了较严重、高发的数据安全事件后，或发生了外部事件以后，再以事件推动策略的调整。

我印象中不止一家企业提到过这样的现象：企业内部有些高价值人员对公司的数据安全、信息安全措施不信任，不用公司的电脑，不装公司的安全软件甚至不用公司的邮箱（除非迫不得已）。

出现这种情况的绝大部分原因，都在于他们都认为IT人员、安全人员掌握了超级权限，要么可以在后台改数据，要么可以在后台进行监控，出于各种原因，这些高价值人员对IT、安全人员不信任。我认为这时应采取2种方式破局

（1）将IT人员掌握超级权限、可以后台改数据看数据的风险视为高风险，优先采取安全控制措施、加以改进；

（2）尝试引入第三方力量对IT人员、安全人员进行监管，比如合规部门、审计部门或者外部单位。这其实也是整个信息安全文化在数据安全工作的一个缩影。

5、数据安全工作的协作与打通

之所以写这条，是因为数据安全工作无论最后由谁负责，一定是需要其他团队、部门的协作与配合的。因此，一定要在组织层面进行协作和打通，比如：

（1）要有数据安全组织。一线、业务部门发现数据安全风险要上报，数据安全工作要求要下达、落实，都得在一线有人。可以在每个部门新建个数据安全专员，也可以复用现有的安全专员、合规专员、风险专员、数据治理专员。有了人，就要给他们培训、赋能，奖励机制等等。

（2）要在关键流程上有卡点、控制措施。比如新建系统要立项评审，如果涉及敏感数据就要满足一系列要求；比如数据在系统间同步、流转，就要控制变更过程，在其中加入评审点，识别并评估数据安全风险；比如业务部门要求数据团队提取敏感业务数据给他们，那就要在IT服务流程中设置卡点，进行必要的审批、数据的安全传递等等。

（3）要和其他团队协作。终端上的安全管控措施可能在终端团队，那终端DLP、文档加密等这些措施必须要合作吧？数据从生产环境到测试环境的中转过程要加脱敏措施，要和运维团队合作吧？公司是不是允许微信的开放式沟通，内部的文档、知识要不要集中式管理？怎么管？这些都会极大地影响数据安全的策略和工具配置，必然要和相关团队合作。

（4）有了组织，有了协作需求，就要通过绩效目标、会议、定期沟通汇报等形式把相关部门、团队、人员的目标对齐，把政策规范、项目建设、系统运营、检查审计、问题改进等情况“可视化”出来，真正地推动组织协同。

文盾信息非结构化数据安全协作平台：实现了企事业单位核心数据从采集、储存、使用、销毁等全生命周期的智能化、多元化、一体化管控，支持在不替换原有系统的前提下确保组织敏感数据安全，并智能对数据进行分级保护、协同办公、权限控制，保护脱离组织内网环境的数据文档安全可控，实现安全与效率共存，轻松保障数据资产安全。