如何构建企业EDG数据安全保障体系？

一. 什么是EDG

EDG (Enterprise Data Governance),全称为“企业数据治理”，由企业数据治理部门发起并推行，全面推进数字化转型战略的背景下开展企业数据治理工作，以DAMA数据管理知识体系为指导，对标业内最佳实践，从组织机制、技术支撑、专项能力三个方面，规划并建设数据管理的组织、制度、标准、流程、技术平台等，构建企业统一的数据资产管理体系，通过企业全域数据汇聚、数据共享、数据运营，提高数据运营效率，推动数据资产变现，促进数据价值的挖掘和利用。

图1 EDG框架图

二. 企业如何开展EDG数据安全保障工作

EDG数据安全保障工作并非单一产品或平台的构建，而是覆盖数据全部使用场景的数据安全体系建设。因此，需要按步骤、分阶段的逐渐完成。为了有效地实践数据安全能力，形成数据安全的闭环，我们需要一个系统化的数据安全能力建设框架。

图2 数据安全能力建设框架

整体来看，EDG的数据安全保障能力建设框架是以法律法规监管要求和业务发展需要为输入，在充分识别组织业务场景、风险现状的基础上，制定组织数据的分类分级标准，同时结合组织数据安全在管理、技术、运营维度的能力要求，满足数据生命周期各个过程域的安全。从以下四个维度框架进行设计：

1. 数据安全规划维度

数据安全最终是为组织的业务发展服务的，不能游离于业务之外或独立存在。在满足法律法规要求的前提下，数据安全能力建设须切合业务发展需要来开展，同时结合风险管理，制定数据分类分级标准，为管理、技术、运营能力建设提供指导。

2. 数据安全管理维度

组织建设：指数据安全组织的架构建立、职责分配和沟通协作。组织可分为决策层、审计层、管理层、执行层、参与层等五层结构。其中，决策层由参与业务发展决策的高管和数据安全官组成，制定数据安全的目标和愿景，在业务发展和数据安全之间做出良好的平衡；监督层由风控、审计、合规等多部门组成，对数据安全制度落地执行情况、数据安全工具执行有效性、数据安全风险等方面开展监控与审计；管理层是数据安全核心实体部门及业务部门管理层组成，负责制定数据安全策略和规划，及具体管理规范；执行层由数据安全相关运营、技术和各业务部门接口人组成，负责保证数据安全工作推进落地。参与层即员工和合作伙伴，范围包括组织内部人员和有合作的第三方的人员，须遵守并执行组织内对数据安全的要求，特别是共享敏感数据的第三方，从协议、办公环境、技术工具方面等做好约束和管理。

制度流程：指数据安全具体管理制度体系的建设和执行，包括数据安全方针和总纲、数据安全管理规范、数据安全操作指南和作业指导，以及相关模板和表单等。

人员能力：指为实现以上组织、制度和技术工具的建设和执行其人员应具备的能力。核心能力包括数据安全管理能力、数据安全运营能力、数据安全技术能力及数据安全合规能力。根据不同数据安全能力建设维度匹配不同人员能力要求。

3. 数据安全技术维度

数据安全技术能力建设工作并非从零开始，而是以组织基础设施安全建设为基础，围绕数据安全生命周期安全的各项要求，建立与制度流程相配套并保证有效执行的技术和工具，技术工具建议使用标准的数据安全产品或平台，也可以是自主开发的组件或工具，需要综合所有生命周期过程域进行整体规划和实现，且要和组织的业务系统和信息系统等进行衔接。同时，数据安全技术能力需要支撑运营能力的执行与监控，保证覆盖数据使用的各个场景中的数据安全需求。

4. 数据安全运营维度

数据安全能力建设是一个长期持续的过程，需要在组织内持续性的落实数据安全的相关制度和流程，并基于组织的业务变化和技术发展不断的调整和优化，通过持续对数据生命周期内安全风险的监测，评估组织现有数据安全控制措施的有效性进行识别和判断，将数据安全策略、制度规程及技术工具在通过安全运营能力在组织内部的推广落地。

三. 构建EDG数据安全保障体系

中测安华以数据安全风险评估为手段，摸清企业数据安全现状，分析数据安全需求，形成EDG数据安全战略和数据分类分级体系，从而开始设计数据安全企业顶层规划，进而从数据安全管理体系建设、数据安全技术体系建设、数据安全运营体系建设、数据安全审计、数据安全人才培养五个方面开启EDG数据安全保障体系建设。

图3 构建EDG保障体系路线图

1. 数据安全整体规划

以数据为中心、多元化主体共同参与、兼顾发展与安全为原则，从业务、合规、风险三个层面开展安全咨询工作，分析企业实际的安全需求，在合作保障及风险管理的前提下，设计数据安全企业顶层规划，实现数据的开发利用，保障业务的持续健康发展，确保数据安全与业务发展的双向促进。

2. 数据安全管理体系建设

遵照企业顶层规划设计，从组织架构、制度流程、人员能力三方面，明确组织负责数据安全管理、数据安全执行、数据安全监督、数据安全参与等工作的团队及职责分工，并制定各项数据安全管理制度进行约束，构建全员参与、有法可依、有章可循的数据安全管理能力。

3. 数据安全技术防护建设

围绕数据安全管理策略，以大数据技术为底座，基于数据内容渗透的审计手段，利用人工智能技术构建数据内容评估智能化、数据业务分类自动化、数据流转轨迹可视化的数据安全态势感知平台，助力企业EDG数据安全防护达到全景、全程洞悉数据资产安全风险，并可以及时定位、快速处置安全事件。

4. 数据安全运营体系建设

从事前风险防范、事中监控预警、事中应急处理三个方面，建立数据安全运营工作机制，运营过程中以持续性监控和分析为核心，依托ITIL工作流程，将建立的指标体系进行有效结合，形成可收敛的运营体系，使业务运转良性化，实现安全与业务目标一致。

5. 数据安全审计体系建设

以业务线为审计对象，多部门协同定期开展专项数据安全审计工作。建立审计组织架构、制度体系、审计流程、报告机制等规范，重点审计内容包括数据生命周期安全、隐私合规、合作方管理、鉴别访问、风险分析、数据安全事件应急等多方面内容，从而全面评价数据安全工作执行情况，发现执行问题并统筹改进。

6. 数据安全人才培养

围绕决策层、管理层、执行层不同层级人员的岗位和业务需要，制定不同的课程大纲、培训课程、考核重点，从而提升企业人员的数据安全管理能力、数据安全技术能力、数据安全运营能力、数据安全合规能力、数据安全防护意识等，更好地为企业的EDG安全保驾护航。

声明：本文来自中测安华，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。