1.企业存在哪些数据安全问题

（一）合法合规

各国都在加强数据安全立法，保护涉及本国国家安全、公共安全、经济安全和社会稳定的重要数据和个人信息安全。数据安全要求企业严格遵守企业所在国法律法规，尊重他国主权、司法管辖权和对数据的安全管理权，并在此基础上，发展数据安全保护技术。以网络安全法、数据安全法、GDPR为代表的一系列国内外法律法规的颁布，增大了数据合规和数据跨境风险。

（二）安全攻击

黑客、勒索病毒、突发的数据泄露事件持续上升，造成组织财务损失，破坏了声誉和客户信任度。

（三）新技术快速应用

新的IT架构和云服务被广泛应用，数据量增长迅速，但是全面的数据安全管理严重滞后。

（四）数据安全管理制度不健全

没有全公司的数据安全管理制度

（五）数据安全风险识别不全面

没有系统的进行风险识别

（六）敏感数据不确定

没有进行数据的分类分级

（七）用户权限不清晰

敏感数据的访问权限定义不清晰

（八）审批机制不合理

没有敏感数据使用的审批流程

（九）数据防泄漏

数据防泄漏安全策略配置不合理

（十）数据传输安全

未使用加密方式进行数据传输

2. 如何开展数据安全治理

    数据安全治理的总体指导思路是：从企业战略、组织架构、治理与合规、风险以及现有的数据安全治理体系等内容出发，参考行业和国际模型，形成企业数据安全治理规划，进行数据分类，并制定数据安全策略，建立数据安全管控点，统一进行数据安全策略管理和风险分析。经过行业的实践，初步总结出了如下图所示的数据安全治理规划方案。

图 1：数据安全治理规划

阶段 1: 战略引领

阶段 2: 蓝图设计

阶段 3: 路径规划

3. 如何进行数据安全产品选型

（一）数据分类分级产品

此类产品的核心技术是数据识别，包括数据库、服务器等系统中的静态数据识别和传输流动中的动态数据识别。部分厂商的“敏感数据发现系统”，在数据资产识别、分类分级等基础功能之上，增加了脱敏检测、流量监控、审计等功能。这类产品在实际应用过程中，需要与业务有深度磨合，需要较多人工干预。例如，分类分级产品在交付过程中，企业数据字典的建立、识别规则的建立和工具个性化配置等工作，是产品在实际环境中真正发挥作用的关键环节，需要数据安全技术人员与业务人员共同完成，一般需要数月甚至更长的时间才能正常运转。

（二）数据库安全、数据脱敏、数据防泄漏产品

数据库加密、数据库审计与防护、动 / 静态数据脱敏、数据防泄漏等安全产品已经进入成熟期，各家产品的功能基本相似，应用场景明确。随着数据库国产化进程的不断推进，适配多种数据库是此类产品未来的发展方向。 在考虑此类产品的时候，也需要考虑企业应用数据库的情况，确保安全产品在部署过程中能匹配数据库环境，才能满足业务的需求。

（三）数据水印、数据溯源产品

根据信通院 2021 年发布的《数据安全技术与产业发展研究报告》，仅有 15% 的企业推出了数据水印、溯源产品，对比企业提供数据脱敏产品的占比为 56%。

（四）隐私计算产品

目前隐私计算产品的商业化应用主要集中在金融行业，其他行业应用较少。该技术的成本过高且企业对数据共享的监督能力较弱，隐私计算产品尚未得到广泛应用。在技术领域需要围绕数据生命周期、数据安全技术领域相结合进行数据安全差距分析，有针对性的加强数据安全技术能力建设。基于数据安全的事前事中事后的全面安全防御体系，需要包含以下的安全能力：

图 2：事前事中事后安全防御体系

在应用不同的安全产品的过程中需要保障安全管控策略的一致性。以数据为中心的安全管控需要通

过如下几个步骤开展工作：

图 3：DCSA

以上的方式把数据分类、数据防护、访问控制、授权、监测告警和以及审计很好的编排起来，并保障安全策略一致地应用在每一个数据集上。如果不同安全管控环节存在差异或者不一致性，可以很清晰的掌控和定位。如上步骤实施的数据安全防护才能最大化的保障数据的安全性。

4. 规划路径和蓝图设计

企业在早期和中期阶段，会把更多重心放在数据安全保护意识的文化建设上，也会加强数据处理活动的监管和合规要求。当企业进入成熟阶段，数据处理的合规变得很关键。这个阶段，机构也会加强技术的投入。获得高管层的支持至关重要，跟技术投入和其他举措一样。为了获得高管的支持，信息安全负责人必须给出一个清晰且务实的 roadmap 以及能帮助快速提升组织能力的资源，综合考虑管理要素、技术要素和基础要素。以 PIPL 的规划为例。

图 4：规划路径蓝图