数据安全管理之道

       我想和各位大佬聊下数据安全管理和数据安全治理方面的一些话题。我今天主要是想和大家聊一些数据安全管理如何做的一些思路，希望对同行有所帮助，数据安全不仅仅是产品，还有顶层规划等更深层次的内容。
       下面开始我的内容，主要分为四个部分：
        第一个是背景 ，第二个是国际关于数据安全的一些法律法规，第三个是数据安全管理和数据安全治理的关系，最后是数据安全管理如何为数据安全治理提供支撑。
首先我们和大家简单回顾下三个信息安全泄露事件，第一个是早年华住酒店集团的数据泄漏事件，导致5亿旅客的信息遭到泄露，这些个人信息会被用于诈骗等其他违法行为，对社会和个人都有很大的危害。
第二个是国外搜索引和社交引擎巨头，facebook和google涉及的数据泄漏事件，无一例外收到了美国政府的天价罚单；最后一项是高考学生信息在网上售卖的信息。

       数据泄露事件众多，那么各个国家又出台了哪些相关的法律呢？
       我们简单看下首先是美国，出台了加州隐私方案，用于保护消费者的个人信息；欧盟出台了史上最严厉的通用数据保护条例GDRP,用于保护欧盟成员国公民的信息；我们的邻国日本也出台了相关的法律法规。
      我国出台了网络安全法，也提到了数据安全和个人隐私的相关要求。今年4月份数据安全草案和个人隐私保护草案也进行了二审，相信很快就会出台。

       随着国家对数据安全的重视程度越来越高，那么我作为安全厂商，我们能为用户做点什么呢？

       在讲这个之前，我先和大家谈谈最近比较火的数据安全治理和数据安全管理的区别，了解区别以后，我们就可以有一个很好的思路帮客户做数据安全。
数据安全治理简单的来说，就是企业的一个战略框架，而数据安全管理是为了达成战略，而进行的战术手段。同时数据安全治理的决策人是最高领导人和高管，执行人是部门经理和员工。我们知道区别后，就能有一个初始的思路来做数据安全，那么怎？使用数据安全管理为数据安全治理做支撑呢？接下来看下数据安全管理的思路。
这里把数据安全管理分为三个部分，第一个部分是安全项目管理，第二个是安运营管理，第三个是合规与风险管理。
       安全项目管理，除了我们最常见的安全防护检测审计措施外，我们可以在资产管理、数据加密脱敏、自动化运维、SOAR和零信任上做更多的工作，而这些是我认为支持数据安全管理非常重要手段。资产管理用于梳理家底，数据加密和脱敏对不同级别的数据和不同的用户权限，使用不同加密算法和不同的脱敏规则，自动化运维工具和SOAR可以把信息人员从繁琐的工作中解放出来，去做更能体现安全价值的事。

       安全运营管理，重点强调的并不是运营，而是管理。如何做好安全运营管理，首先要得到高层的支持，从法律法规风险和处罚等多方面来个阐述，争取得支持。得到支持后，我们就可以编制基于法规和行业标准的一些战略文件，也就顶层设计，在这里，我们把安全流程和和业务进行融合，让安全服务于业务，提高业务的效率降低业务面临的安全风险，最后我们通过建立考核机制，促组织人员对安全的积极性，真正的达到安全运营的目标。
       合规与风险管理基于前面组织策略为依据，讲安全流程与业务融合，降低业务的安全风险。