数据安全必由之路 - 数据安全治理 施建俊 博士 信息安全咨询合伙人 安永（中国）企业咨询有限公司 目录 · 01 从网络安全到数据安全的认知 · 02 网络变革到数据安全的成长演化 · 03 数据安全治理的实践参考 01 从网络安全到数据安全的认知 随着网络日新月异的发展，虚拟空间和现实世界 上网习 惯 通 讯 方 式 定位 数据的价值 况 状 务 财 方式 维 思 健康状况 进行了深度融合，面对不断涌现的各种已知和未知的 网络安全威胁，网络安全也成为了大家所关注的一个 领域。 兴趣爱好 而在今天的大数据时代，获取便利的同时也承担 消 身 份 信 息 费 习 惯 行程安排 人际关系 … 社交 群 多 窥探者，更会可能成为国际政治博弈的筹码。 更 着保护个人信息的责任。数据的价值不仅引来贪婪的 银行卡号 2个 27.9% 386万美元 每时每刻，全世界有2个企业因为信息 发生1万条数据泄露事件的可能性 平均数据泄露成本 安全问题而倒闭 《中国财富》 《2018年Ponemon数据泄露损失研究》 《2018年Ponemon 数据泄露损失研究》 148美元 665,000美元 915亿 每条数据泄露的平均成本 平均数据泄露恢复成本《NetDeligence 总体对中国经济损失约915亿元《中国网民 《2018年Ponemon 数据泄露损失研究》 2016 Cyber Claim Study 》 权益保护调查报告（2016）》 面对不断涌现的挑战，安全亦是机“御”，却不曾停滞 ？如何保护数据可用性 数据 存储 数据 处理 ？如何保障数据质量 ？如何保证数据留存合规 数据 销毁 数据 采集 ？如何进行数据源的管理与鉴别 ？如何保护用户隐私 ？采集数据是否合规 ？如何安全高效的进行跨部门数据共享 ？如何防范数据泄露 数据 传输 数据 交换 数据生命周期 ？ 问题与挑战 02 网络变革到数据安全的成长演化 鉴法 Ø 2018年5月25日，欧洲联盟出台《通用数据保护条例》 （GDPR）。 Ø 2018年6 月，美国加州通过了《2018 年加州消费者隐私 法案》（CCPA），该法案被称为美国“最严厉、最全面的 个人隐私保护法案”，规范了企业收集处理数据的方式； Ø 2019年5月7日，华盛顿州州长签发修订的《数据泄露通知 法》，该法将在2020年3月1日生效。 Ø …… Ø 2019年5月13日，国家标准新闻发布会在市场监管总局马甸办公 区新闻发布厅召开，网络安全等级保护制度2.0标准正式发布， 实施时间为2019年12月1日。 Ø 国家互联网信息办公室会同相关部门研究起草了《数据安全管理 办法（征求意见稿）》，并于2019年5月28日公布。 Ø 2019年6月13日，国家互联网信息办公室发布《个人信息出境安 全评估办法（征求意见稿）》，向社会公开征求意见。 Ø …… 论法 网络安全等级保护2.0 数据安全管理办法（征求意见稿） 网信办个人信息出境安全评估办法 • • 数据安全责任人须由具体人员担任，并 （征求意见稿） 直接和具体数据挂钩。 • 境外数据接收者数据安全能力约束。 对网络爬虫、AI合成等技术行为进行了 • 数据出境后适用法律法规变化问题。 • 曲线实施境外数据接收方管辖。 • 多途径保障个人信息主体在数据出境 细化增加了重要审计数据、重要配 置数据、重要视频数据和重要个人 信息这几类保护对象。 • 新增了“个人信息保护”的要求。 • 增强了“数据备份恢复”的要求。 • 限制。 • 明确了举证责任倒置。 后维权。 03 数据安全治理的实践参考 数据治理体系 要求、指导 ► 数据应用与服务 提供全面、高效数据运用， 促进数据管理能力的持续 提升，是数据治理和数据 管理的目标。 DAS 数据应用与服务 促 进 数据应用 与服务基础 ► 数据保障 数据管理的管理和高层控 制，支撑数据管理、数据 应用与服务良好运营和达 标。 实 现 DM 数据管理 ► 数据管理 对不同类型数据的全生命 周期进行控制和管理，提 高数据质量，实现数据应 用与服务。 数据仓库与应用 系统建设与管理 数据服务 数据需求管理 数据架构 与 模型管理 数据 标准 管理 支 撑 数据 质量 管理 元数据 管理 主数据 管理 数据隐私 与 安全管理 数据保留 与 归档管理 DS 数据保障 数据战略与目标 数据组织与职责 数据政策与制度 内容 管理 保 障 数据安全治理重点 1. 基于业务流程和产品功能，理清数据资产。 2. 识别数据安全风险，结合攻击链路确定风险场景。 3. 自上而下地进行数据保护体系的设计。 数据安全 治理层面 数据安全 管理层面 数据安全 保障层面 风险评估 意识教育 数据质量 事件告知义务 责任人制 政策与制度 处理活动记录 第三方管理 数据产生 数据获取 数据传输 数据使用 数据存储 数据销毁 应用运行支持 主机运行支持 网络运行支持 数据库运行支持 物理设备运行支持 ► “自顶而下”的方法，以全盘地解决 数据安全问题。 ► 业务 场景 分析 关键 数据 识别 数据 流转 识别 安全 策略 设计 为使数据安全防护方案有效，应建立 快速 见效 建议 应建立治理机制，定义角色及其职责 ，以有效地管理和维护此方案。 ► 应根据全面的数据安全风险评估所发 现的差距，加强所有支持性流程。 ► 安全 需求 管理 安全 控制 识别 系统 分类 保护 系统 基线 要求 网络 安全 审计 应用 安防 测试 应采用涵盖全部三个领域（人员、流 程、技术）的技术解决方案，以有效 的监控、防止、和响应所有潜在的数 据安全风险。 感 谢 聆 听