信息化觀察網(wǎng)

精細化管理的意義

數(shù)據(jù)安全是目前安全行業(yè)主要發(fā)展方向之一，傳統(tǒng)以網(wǎng)絡(luò)為中心的安全廠商近年來不斷豐富自身產(chǎn)品線，相繼增加數(shù)據(jù)安全領(lǐng)域產(chǎn)品，可以看出，數(shù)據(jù)安全行業(yè)是未來各大安全企業(yè)戰(zhàn)略爭奪點，總體而言，現(xiàn)今數(shù)據(jù)安全整體建設(shè)平均處于1.0階段，業(yè)務(wù)與數(shù)據(jù)未進行深度融合，數(shù)據(jù)安全實現(xiàn)業(yè)務(wù)目標有限。

精細化管理是一種理念，是組織業(yè)務(wù)發(fā)展的指導(dǎo)思想，是組織發(fā)展到一定階段的必要建設(shè)。精細化管理可分為規(guī)范化、精細化、個性化三個層面。精細化管理多用于生產(chǎn)制造領(lǐng)域，而數(shù)據(jù)安全與精細化管理的融合將解決粗獷的數(shù)據(jù)安全防護粒度，加深安全與業(yè)務(wù)融合度，全面支撐數(shù)據(jù)安全實現(xiàn)業(yè)務(wù)發(fā)展目標。

未來的數(shù)據(jù)安全2.0階段便是以實現(xiàn)業(yè)務(wù)目標為導(dǎo)向，融合組織內(nèi)部業(yè)務(wù)系統(tǒng)，通過精細化管理相關(guān)手段，實現(xiàn)管理的規(guī)范化、對象的精細化、防護的個性化，全面提升組織內(nèi)部數(shù)據(jù)安全防護水平。

數(shù)據(jù)安全精細化

數(shù)據(jù)安全治理應(yīng)是數(shù)據(jù)安全精細化管理的一種表現(xiàn)方式，即數(shù)據(jù)安全治理的目標是實現(xiàn)數(shù)據(jù)安全的精細化管理。

管理規(guī)范化

管理規(guī)范化體系，是精細化管理實施過程中的必要條件，是管理水平的直觀體現(xiàn)。管理規(guī)范化在數(shù)據(jù)安全建設(shè)、運維過程中起到重要的約束作用，所以完善、可收斂的數(shù)據(jù)安全管理體系非常重要。數(shù)據(jù)安全管理體系的建設(shè)需要從組織內(nèi)部戰(zhàn)略、合規(guī)等多個角度考慮，形成多等級的管理規(guī)范化文件。

第一級應(yīng)為管理總綱。是組織安全戰(zhàn)略，主要包含愿景、方針、基本原則、安全策略、違規(guī)處理等內(nèi)容。

第二級為管理制度。以數(shù)據(jù)生命周期為基礎(chǔ)的的各種安全管理規(guī)章制度要求。

第三級為操作流程和規(guī)范性文件。組織業(yè)務(wù)過程中的作業(yè)指導(dǎo)書或指南，以便管理內(nèi)容可落地執(zhí)行。

第三級為表單文件。由安全系統(tǒng)產(chǎn)生的報表、人工產(chǎn)生各種記錄文件。

管理體系架構(gòu)

數(shù)據(jù)安全管理體系并不是摒棄組織內(nèi)部建設(shè)以網(wǎng)絡(luò)為中心的安全管理規(guī)范，而是在此基礎(chǔ)上融合數(shù)據(jù)安全管理要求，形成全面的管理規(guī)范。

對象精細化

數(shù)據(jù)安全的對象為組織內(nèi)部各種數(shù)據(jù)，在對象精細化管理前，需要大量摸家底、理數(shù)據(jù)的工作，以便準確有效對屬性（列）分類分級。目前業(yè)界可參考的分類分級較少（貴州政府數(shù)據(jù)分類標準，工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類分級指南），沒有明確的分級方法論，目前組織對自身內(nèi)部數(shù)據(jù)進行分級時可參考《數(shù)據(jù)安全管理辦法》、《個人信息安全規(guī)范》、《中華人民共各國政府信息公開條例》等上層建筑文件，再結(jié)合組織內(nèi)部數(shù)據(jù)特性，抽取分類分級原則，形成有效、準確、可收斂的分類分級方法論。

數(shù)據(jù)定性分類

一旦形成細粒度方法論，便可實現(xiàn)對數(shù)據(jù)屬性的定級分類，達到數(shù)據(jù)精細化效果，為防護個性化做準備。數(shù)據(jù)分類分級是數(shù)據(jù)安全精細化管理的前提，是進行個性化安全保障的前提。

防護個性化

防護個性化是針對相同數(shù)據(jù)不同場景、不同數(shù)據(jù)相同場景下的個性化管控，既要滿足靈活多變，又要滿足針對防護，個性化防護需要梳理現(xiàn)有業(yè)務(wù)場景（元素包括：業(yè)務(wù)系統(tǒng)、數(shù)據(jù)等級、請求人員等），由業(yè)務(wù)場景轉(zhuǎn)換成技術(shù)防護策略，再從技術(shù)防護策略填充至安全產(chǎn)品中，最終實現(xiàn)數(shù)據(jù)在采集、傳輸、存儲、處理、交換（共享、應(yīng)用）、銷毀等數(shù)據(jù)生命周期下的個性化安全防護。防護個性化由于依托業(yè)務(wù)場景，所以業(yè)務(wù)場景發(fā)生改變時，對應(yīng)的防護需要動態(tài)改變，防護個性化是一個持續(xù)且動態(tài)的過程。

數(shù)據(jù)安全精細化管理是結(jié)果，數(shù)據(jù)安全治理是手段，數(shù)據(jù)安全治理目的是實現(xiàn)數(shù)據(jù)安全的精細化管理，所以組織不應(yīng)將手段（數(shù)據(jù)安全治理）設(shè)立成戰(zhàn)略目標，而是應(yīng)將結(jié)果（數(shù)據(jù)安全精細化管理）設(shè)立成戰(zhàn)略目標。