直击信通院ICT深度观察大会：腾讯安全刘海洋分享企业数据安全评估最佳实践

　　数据安全是当前的热门话题、共性话题，提升企业自身数据安全防护能力已成为行业共识。12月21日，中国信息通信研究院“ICT深度观察”大会-数据安全产业分论坛举行，腾讯安全云鼎实验室研究员刘海洋出席会议，从数据场景角度切入，深度剖析数据安全体系建设面临的挑战与发展趋势，分享企业数据安全评估的实践。

　　数据安全体系建设的发展趋势应是一体化和轻量化

　　数据已成为新的生产要素，在经济发展中发挥的作用越来越大。相应地，数据面对的安全风险和挑战也越来越多。今年9月施行的《数据安全法》，更标志着数据安全和数据利用正式提升到国家法规层面。

　　在刘海洋看来，数据安全的难点在于便捷使用和安全管控之间的平衡。在数据安全工作中可以发现，数据安全管控措施往往与数据业务是交织在一起的。因此，数据安全并不是一味地去防、去控，而是要充分考虑其业务场景和处理活动，既要能用，还要安全。

　　如何更好地平衡数据使用和数据安全之间的矛盾?一体化、轻量化，将会是数据安全体系建设的发展趋势。

　　一体化，主要体现在数据安全能力融合上。将众多数据安全能力通过组件化的方式进行融合，形成企业的统一管控平台，不仅可以降低投入成本，同时其灵活性也可适应复杂的数据场景。

　　轻量化，主要体现在能力接入方面。数据安全工作不是边界类防护，需要业务深度参与，甚至有时为了安全要损失业务功能的便捷性。因此，数据安全能力的接入要充分考虑对业务流程的影响，尽量做到免改造、微改造。

　　数据安全体系建设的目的是让数据遵规守序

　　在目前强监管态势下，一体化、轻量化地进行数据安全体系建设，最终目的是让数据管理遵循法规，让数据流动遵守秩序。数据安全体系构建需要先进灵活的底座，才能应对多样性的法规。从数据生命周期角度来看，企业数据安全评估及安全体系建设的最终路径，概括起来则是：厘清数据资产——掌握使用状况——明确差距与风险——理清建设思路。

　　在启动数据安全评估之前，首先要明确数据安全现状，做好数据资产盘点和数据分类分级工作。有哪些数据?数据在哪里?现阶段基本架构情况如何?是否符合数据安全合规的要求?回答了这些问题，才能在后续，结合业务发展与合规要求，制定适合企业自身需求的数据安全方案和策略。

　　对于最重要的数据安全评估，为掌握数据使用状况，保证调研工作的效率和准确性，建议采用“面对面为主，远程为辅”、“工具为主，人工为辅”的工作策略。从过往数据处理活动梳理的实践经验来看，一个数据场景可能有一个或多个处理活动，的办法便是按数据流向开展梳理，以数据跨场景为边界，关注每个处理活动中的数据角色和权限。

　　而明确当前数据安全建设的差距与风险，不仅需要结合实践经验对当前数据运营状况进行风险分析，形成风险评估报告，还要结合现行数据安全相关法律法规，对应评估点，发现自身数据安全体系在合规方面的差距。根据《数据安全法》和《个人信息保护法》等相关条款，企业还应定期对数据安全情况开展风险评估，定期合规审计。

　　事实上，数据安全体系构建并非一蹴而就，而是不断进行经验总结、能力提升、工具完善，不断完善评估体系，使其更高效、更准确。