访谈嘉宾：王鹏

记     者：张安媛

分 析 师：王剑桥

《中华人民共和国数据安全法》已于2021年9月1日正式实施，与之配套的《中华人民共和国个人信息保护法》也已经于2021年11月1日起正式施行。2021年可谓是数据安全的元年，也是数据安全大规模合规建设的开始，标志着中国数据安全市场的主要推动力也将从风险控制需求全面转向合规建设需求。如何符合《数据安全法》及《个人信息保护法》要求，如何切实缓解数据安全风险，成为各行业、各地区、各组织、各部门需要解决的首要问题之一。

《数据安全法》第四条规定“维护数据安全，应当坚持总体国家安全观，建立健全数据安全治理体系，提高数据安全保障能力。”在这种背景下，各组织应该如何开展数据安全治理工作和如何完善自身的数据安全保障能力呢？围绕着这一问题，本期牛人访谈，我们邀请到天融信科技集团副总裁王鹏，围绕数据安全治理话题展开了一系列讨论与分享。

王鹏

天融信科技集团副总裁、广东省网络空间安全标准化技术委员会委员、中国信息安全测评认证中心CISP-DSG讲师及教材主要编撰者。

在网络及数据安全领域有20余年工作经验，多年来为国内众多重要的政府机构、央企等用户提供专业的网络安全咨询、数据安全治理等服务，对国内外网络及数据安全发展、隐私保护等法规、标准有深入研究。

安全牛：数据安全发展至今已有十多年的历史了，从最初企业内部人为的对数据关注、重视到对不同数据的分级分类，再到数据安全治理产品的引入和发展，您是如何理解现阶段的数据安全的？

王鹏：要理解什么是“数据安全”，首先要清楚数据安全、网络安全和信息安全涉及的概念和它们间的联系。

首先，我们需要清楚什么是“数据”、什么是“信息”。“信息”本质上属于逻辑概念，信息是价值的本质；而“数据”是一个实体概念，按照《数据安全法》的定义：“数据，是指任何以电子或者其他方式对信息的记录。”因此数据是信息的承载形式，同样的信息可以用不同的介质、方式承载。数据安全治理，治理的对象是“数据”，因此我们要明确有哪些数据承载形式，比如：数据库、文件、存储介质等，如此管理才会更具象。另外，还要搞清楚，这些承载形式所记录的信息价值、重要程度及其遭到破坏后可能造成的危害程度等；而个人信息保护时，则需要衡量数据中所承载的“信息”与个人实体的关联关系。

对于网络安全和数据安全的关系，网络本质上是数据承载、传输、处理的主要环境，也是网络安全攻防对抗的战场。数据安全是无法孤立于网络安全而独立存在的，如果网络安全得不到保障，数据安全保护是无从谈起的。《数据安全法》第二十七条也明确规定了“利用互联网等信息网络开展数据处理活动，应当在网络安全等级保护制度的基础上，履行上述数据安全保护义务。”这也明确了数据安全与网络安全的关系。

我们在做数据安全治理时，需要全盘考虑，将网络安全防护措施与数据安全管控需求统一起来，治理后会同时满足《网络安全法》、《数据安全法》、《个人信息保护法》，乃至其他相关的法律、法规、标准及规范要求。

安全牛：针对目前行业需求，以及相关法律法规的影响，您认为数据安全治理应该是怎样的？要想满足国家对数据治理的要求、实现数据资产的有效管理，应该采取怎样的治理思路？

王鹏：数据安全治理本质上是推进数据安全建设、提升数据安全保障能力的过程。需要解决几个关键问题：1、我们有什么数据？2、这些在什么环境下采集和处理？3、处理这些数据的目的是什么？4、数据在什么场景下使用？5、需要防范哪些风险？6、要做到什么程度、达成何种目标？7、我们该怎么做？等等。

从天融信的实际经验出发，我们在2012年提出了“以数据为中心的安全体系建设”理念, 将数据安全治理分为六个主要内容：数据安全治理评估、数据安全组织建设、数据安全管理建设、数据安全技术建设、数据安全运营建设和数据安全监管建设。

安全牛：请您详述数据安全治理的六个主要内容是什么，用户通过这一整个的治理过程可以达到怎样的数据安全治理效果？

王鹏：其中，数据安全治理评估主要通过人工和自动化的手段帮助用户了解当前的业务关系、数据资产及其流动关系，理清当前数据安全的主要风险及解决的优先级，以此设定数据安全建设的目标及策略；

数据安全组织建设是落实数据安全责任的过程，是成功开展数据安全建设的前提，这个过程要将数据安全分工细化到人；

数据安全管理建设是管理体系、机制和方法的构建过程，确定在数据安全体系中人、技术及操作过程的关系及具体执行方法，是数据安全建设的基础；

数据安全技术建设是对管理体系的延续，技术作为具体的执行方式，需要和管理要求及流程保持一致，这不仅仅是采用技术产品的问题，更多的是要将这些技术产品、手段有机整合起来；

数据安全运营是数据安全能力的保持和改进过程，需要在运营中监测数据安全威胁事件及风险，快速发现、快速处置、快速恢复，同时溯源分析、审计核查等过程也可以帮助企业不断改进数据安全体系；

数据安全监管是企业自身管理的需要也是维护国家安全、社会秩序、公民合法权益的需要，数字时代的监管需要建立在高效的监管工具的基础上，打通企业和政府的信息传递渠道。

通过以上数据安全治理咨询服务过程，可以帮助用户快速梳理数据、评估环境、验证能力、确定目标、建立体系、设计策略，整合数据安全管理规范、控制过程、数据保护措施及网络安全能力，实现数据差异化保护。

例如：梳理数据，需要建立覆盖企业全局的数据资产的分类分级清单；评估环境，需要将企业的业务、相关系统及数据安全保护措施进行场景描述及风险分析；确定目标，则需要根据企业的行业特征、合规要求及业务使命等因素，确定未来数据安全要达到的能力水平；设计策略，宏观上需要明确不同类别数据在不同场景下需要采取哪些控制措施及保护程度，微观上则需要确定不同的技术产品需要怎样配置等。

安全牛：您认为企业用户在建设以数据为中心的安全体系中面临着哪些困难？应该如何解决？

王鹏：从我的经验来看，建设以数据为中心的安全体系、实现数据安全的综合治理，其难点主要表现在组织协调问题、安全意识问题、流程协同问题、策略管理问题、技术手段问题、审计改进问题等六个方面。

组织协调方面：刚才也提到了数据安全治理需要多部门协同，但很多组织都是“烟囱式”的组织形式，跨部门的协调难度很大，且科技部门和业务部门的协调关系也不对等，需要建立一个统一的数据安全管理组织；

安全意识方面：数据安全治理需要业务部门、使用部门的共同参与，需要提高他们的网络安全及数据安全意识，科技部门也需要抓紧培训数据安全的专业人才队伍；

流程协同方面：数据安全涉及到采集、传输、存储、处理、交换、销毁等多个阶段，涉及众多应用场景，比如数据跨境、数据交易、数据公开等，这需要建立统一的协同机制才能有效管控；

策略管理方面：一致性对于数据安全策略来讲十分重要，而实际情况是不同的业务系统、安全设备往往是由不同的团队、人员管理的，策略的一致性需要良好的管控；

技术手段方面：目前多数组织已经完成了网络安全等级保护建设，具备了基本的安全防护能力，但网络安全措施的手段主要针对网络流量，且控制粒度一般较低，很少针对数据本身进行内容级、行为级控制，对数据安全复杂的场景管控需求来讲往往是不够的，需要补充手段，且需要进行有机整合；

审计改进方面：多数组织都能按照《网络安全法》要求完成日志记录的工作，但往往缺乏有效的、人工参与的审计，先进的组织会引入态势感知、行为分析等系统，但其分析模型一般相对简单，很难满足数据安全管控的需求。

安全牛：您认为如果从企业自身角度出发，企业用户在实施具体的数据治理方案前应做哪些准备工作？

王鹏：如果从企业角度考虑数据安全治理，应首先着重加强数据中心的安全控制，确保数据的处理环境是安全可靠的，能够对抗较强的渗透性攻击，应对数据价值集中化造成的风险集中问题，先把明显、关键的问题解决掉，比如应对勒索病毒、防范数据篡改及破坏等；其次，要重点落实数据分类分级管控机制，应以网络及数据安全技术措施为基础，以数据安全管控平台为依托，建立动态的内容识别、价值判定、数据分类及安全分级、风险评估分析能力，并能够采用标签化、属性化的控制机制对数据的使用过程进行管控，以应对数据的流动性及不断演化的问题，避免人工管控的低效，提升数据安全管控效率及效能；第三，要重点管控数据的交换过程，包括内部跨部门、跨系统的数据共享，内部对外提供数据，对公众开放数据等多种情况，应建立完善的制度流程及技术控制机制。

安全牛：《数据安全法》的出台和实施对未来数据安全保护技术的发展有什么影响？安全厂商对此有何看法？应如何应对？

王鹏：可以肯定的是，《数据安全法》的实施对安全厂商及安全产业都是有积极作用的。《数据安全法》明显刺激了数据安全市场需求的增长，各厂商在数据安全方面也会有更多的研发及技术投入，对整个产业生态发展有很强的推进作用。但另一方面，《数据安全法》的合规建设也面临很大的技术挑战，对安全建设所最终交付的能力会有更高要求，这需要从理论、技术及管理等方面积极创新，也需要安全厂商不断整合技术及服务资源，持续提升交付水平。

《数据安全法》的出台和实施，代表着未来网络和数据安全的合规发展趋势，数字时代以数据为主要生产要素的产业合作使得企业的安全问题不再是孤立存在的，任何的安全问题都有可能直接影响到公民利益、社会秩序和国家安全。如何打通一个完整的数据安全管控链条是我们需要共同面临的问题，这需要与各行业客户、监管部门的广泛协同，也需要产业链上下游的深入合作，共同营造开放创新的数据安全产业生态。

安全牛评

数据安全的三驾马车《网络安全法》、《数据安全法》、《个人信息保护法》已全部实施，在这一背景下，企业需要进一步严格对数据安全的防护要求。

企业在数据安全上通常面临着从何下手的问题，因此各大厂商均推出数据安全治理方案，以一种体系化交付的模式，解决用户的问题。企业在进行数据安全治理前，一定要做的是对自身的业务和风险的评估工作，以服务为开始厘清思路，以服务为结束实现持续的防护。企业的数据安全能力不是一蹴而就的，而是应该与业务紧密结合，安全建设随着业务发展而动态变化。通过技术产品和人员意识结合的方式，提升数据安全能力。