企业数据安全建设思路 续-2

提醒：这里面所涉及的内容不完整，我们在此只是将大概的思路进行一个阐述，如果有从事相关方面的专业人士可以在此基础上进行发散内容扩充，也可以根据企业或者是我们用户的不同环境去进行适当的删减，以便更好应对或试验我们最终用户环境的实际需求。

    关于上期我们所谈到的风险类型的事件，那从事件源头来考虑我们的风险到底该怎么去识别和判断。这里也是我们承上启下的一个环节，因为下一章节我们要讲到整体的设计思路，因为有问题因为有原因，我们才有了针对性的框架设计方案。

    从源头来说，我们主要从以下几个维度来进行思考和问题的识别，第一，用户是否关心是源泉，对于敏感数据包括企业内部的核心数据以及国家要求的个人隐私数据，是否有这种风险意识存在。第二，小企业没有专门的安全人员，如何去同步我们现有的 it信息化以及网络安全的建设发展。第三，我们内部发生安全事件之后，是否有进行及时的定责和追溯，可以是威慑作用，也可以是进一步的判断我们现有的安全水平，以此来相互促进安全的建设。最后我们的核心数据是否有分类，是否有定级？我们的文档数据是不是有分类？是不是有定级或者对中小企业明确是核心数据的内容，是否有进行加密等处理，我们现有的安全监控和审计是否做得充分，是否有及时进行检查？

    数据安全的综合方案框架设计思路

    上面有我们怎么去判断和识别问题，做了大维度的几个分析，那我们在这里就从痛点和需求上去设计一个相对框架性的思路方案。

框架上我们可以从4个大的维度去思考，分别是组织体系，管理体系，技术体系，运营体系。

    首先组织体系，也就是明确我们的管理单位或机构，设定明确数据安全责任人，建立基本的责权利的关系。当然在当前整个市场上看到的情况，最高层一定是担任数据安全组织体系的负责人，这样能够有力的推动数据安全，整体工作的执行和落地。其次人员配备上考虑在组织本身的一些能力和技术要求，同时要考虑组织的外部能力以及内部能力的建设问题，可以根据不同客户的需求适当的去进行拓展。现在企业有采用内训的方式来整体提升组织内的人员能力问题。也有部分在资金充足的情况下考虑外聘专家，或者根据不同的活动聘请外部人员直接参与相对应的活动。

    第二管理体系。组织体系建设了，有了人，有了分工怎么做事儿，需要有什么样的规范制度流程依据什么样的操作规章或是指导文件等等，这就是需要在我们管理体系上完成的工作，针对于这个里可以依据于不同的行业或者是客户属性，结合法律法规相对应的国标行规以及实际的业务场景，去针对性的设计我相应的一些规范和要求。目标是符合我业务的需要，公司战略的需要。这其实也是一个基准的前提条件，因为安全是要服务业务来的，所以说我们一定要明确我们相对应的数据情况。

    第三，技术体系。数据安全的技术体系通常情况下我们是围绕着数据的全生命周期去进行建设。正面所涉及的就包括数据的产生或采集，传输，存储，共享，应用，销毁的过程。从以上我们说的意思理解，也就是要结合我们数据在业务场景当中是如何进行流转使用和安全的结合。这里大家如果感兴趣也可以看一看数据安全治理的白皮书。不同厂家都在提不同的框架或思考维度，但最终从技术落地上相差不多从导向上技术落地上导向头，以业务为导向会以安全为导向，这是两个完全不同的出发点。

    第四，运营体系。这里的运营它不是一个简单的加设备，加能力，图展示的意思，它的意义是在于动态，持续，循环，不停优化的安全过程！当然运营也是在最后一个，他是必须得有一定能力做支撑的情况下去做的事情。对于运营我们可以理解为数据的集中化管理，日常监控规范化业务的识别，以及针对全网数据的持续监测，对于数据的深度分析，安全态势研判，在遇到紧急事件，具有专门的应急响应机制，事件处理机制等等。

待续……