Gartner发布中国数据安全安全与风险管理领导者指南：将孤立的数据安全产品集成到数据安全平台中，实施一致的数据安全策略

在中国开展业务或与中国相关的组织面临着越来越多的数据安全风险和法规。安全和风险管理领导者必须采用风险优先的数据安全计划和投资，以响应监管要求，以增强数据驱动的数字创新能力。

主要发现

跨组织职能的分散的数据安全举措和不协调的利益相关者责任阻碍了组织实现企业规模的一致数据安全治理（DSG）。
数据发现和分类是 DSG 的基础，并且在大多数组织中都是通过手动流程实施的。然而，这既不具有可扩展性，也不有效。
随着组织数据处理活动的动态发展，时间点数据风险评估（DRA）通常不足以满足风险识别和处理方面多样化且不断变化的合规要求。
本地和云中应用程序和数据存储之间的数据移动不断增加，导致安全和风险管理 ( SRM )领导者难以实现统一的数据可见性和安全控制。

建议

中国负责数据安全的安全和风险管理领导者必须：

通过组建数据安全指导委员会 (DSSC)并确定关键利益相关者，建立企业级DSG和管理职能。该 DSSC 可以选择并构建适合目的的DSG框架，该框架定义了一组数据安全策略，可将安全风险降低到商定的缓解级别。
通过采用现代分类方法（例如元数据丰富）和具有机器学习、自然语言处理（NLP）和计算机视觉功能的自动化数据分类工具，简化跨结构化和非结构化平台运行的数据发现和分类流程。
应用 DRA 评估数据安全策略的实施情况。利用自动化技术或第三方服务，将合规评估（例如全面数据风险合规评估、特定行业数据风险评估、数据出站传输安全评估）视为持久且持续的任务。
通过采用整合方法将孤立的数据安全产品集成到数据安全平台 (DSP) 中，在不同的数据安全产品中实施一致的数据安全策略。

战略规划假设

到2025年，50%在中国开展业务或与中国相关的大型跨国公司将拥有专门的数据安全角色，具备当地法律专业知识和语言技能，以满足中国市场相关的数据保护需求，今天还不到 10%。

到2025年，由于对更高级别数据安全的压抑需求和产品能力的快速提升，中国30%处理重要业务数据或个人数据的组织将采用自动化技术进行数据发现和分类。

介绍

在中国开展业务的组织现在面临着前所未有的由恶意活动和合规要求（例如《中国数据安全法》（DSL）和《中国个人信息保护法》（PIPL））带来的数据安全风险。尽管地方监管机构不断发布新的网络和数据安全防护措施，但中国已经形成了强大的数字化业务创新氛围（参见《2023年领导力愿景：中国的首席信息官及其团队》）。探索新数字产品和服务数据的竞争继续推动中国的投资和新的商业行为。

与此同时，对数据处理不当和滥用的担忧正在上升。多年来，受到严格监管的部门（例如政府、金融、医疗保健和电信）一直有义务遵守行业监管机构的行业特定标准和指导。他们仍然需要跟上不断变化的数据安全和使用监管要求。这些行业之外的许多组织发现自己处于类似的境地。他们的旅程才刚刚开始，需要快速赶上。尽管市场上有可用的数据安全框架、标准和技术，但找到框架、流程、技术和熟练人才的正确组合以实现合规性和更好的数据安全仍然是许多 SRM 领导者面临的挑战。

组织需要快速正规化符合业务创新需求和既定框架的数据安全计划。规划和设置数据安全计划需要哪些步骤？本研究报告介绍了一种结构化、迭代和基于风险的方法（见图 1）。 SRM 领导者可以运用技巧和资源来正式确定其 DSG 和管理职能；优先考虑数据安全风险和投资；并实施一套连贯的安全控制措施。

图 1：基于风险的数据安全计划设置方法

分析

建立企业规模的DSG 和管理职能

虽然利用数据为业务创新、决策、自动化决策和增强人员绩效提供见解的机会不断增加，但相关的业务和合规风险也在不断扩大。 DSG 使组织能够评估由数据安全、数据驻留和隐私问题引起的业务风险并确定其优先级，并建立数据安全策略来解决已识别的业务风险并支持业务成果。

有效的 DSG 和管理需要首席信息安全官、首席数据和分析官 (CDAO)、数据隐私官 (DPO)和业务领导者之间的交叉合作，以打破沟通障碍，并明确数据安全的责任和目标流程。这种协作可以通过建立 DSSC 在组织内正式化。

为了确保业务风险得到明确识别、阐明并与数据风险保持一致，DSSC 中必须包含具有足够资历的业务部门的多元化代表，以便他们能够在委员会会议期间做出大部分决策，而无需向上级汇报。尽管每个组织的 DSSC 结构可能不同，但以下关键利益相关者（参见表 1）或同等职能应被视为组织中 DSSC 不可或缺的成员。

一旦DSSC制度化，DSSC主席可以参考运行DSSC的最佳实践（参见利用数据安全指导委员会实现数据安全治理目标）来维持DSSC的稳定有效运行。请注意，在大多数情况下，首席信息安全官将担任 DSSC 主席，负责监督利益相关者的观点和贡献，并指导数据安全策略的制定，以将业务风险降低到业务领导者可接受和批准的水平。

表1 ：DSSC 的主要利益相关者

利益相关者	角色
行政级商业领袖	提供对支持业务流程的数据使用及其对业务成果的贡献的期望，并作为企业数据资源的最终所有者决定数据安全所需的保护级别（风险偏好）。
首席数据和分析官 ( CDAO )	作为数据驱动洞察的企业领导者，从数据治理和数据生命周期管理的角度提供输入，以开发企业数据资产和分析的价值。
企业架构	将数据安全要求纳入企业架构中，并确保数据安全要求是通过设计隐式内置的。
企业风险	深入了解各种数据安全风险将如何影响或扰乱业务运营，例如项目交付、客户支持和合规性。
首席信息安全官 (CISO)	通过实施企业信息安全治理和技术，保护数据资产免受攻击媒介的侵害。
数据隐私官 (DPO)	维护、制定并确保隐私影响评估的执行达到业务领导者通过数据安全策略批准的水平。确保组织的个人数据处理活动符合适用的隐私法律和法规。

资料来源：Gartner（2022 年 10 月）

具有数据安全管理功能和专用数据安全管理器 (DSM) 的组织（特别是大型企业）可以在其 DSG 计划中实现可扩展性并获得更高水平的业务支持。专门的 DSM 可以充当 DSSC 的代表，制定数据安全策略和标准、监控数据安全计划并及时响应和报告新出现的问题。

创建与现有数据安全和数据治理无缝集成的数据安全管理框架、控制目录和流程可能很费力，但对于支持业务运营、同时实施适当的数据安全和隐私控制以降低业务风险是必要的。 Gartner DSG 框架可与其他国际和本地标准结合使用，以制定适合用途的数据安全章程、控制目录和流程（见图 2）。

图 2：数据安全管理框架、控制目录和流程之间的关系

数据安全管理框架：提供一个组织控制的结构，以确保它们完整且具有凝聚力。

Gartner DSG 框架：帮助组织评估需要通过制定数据安全策略和编排安全控制来缓解的业务风险并确定其优先级。
ISO/IEC 38505-1:2017：通过通知和指导理事机构在组织内使用和保护数据，提供组织内有效、高效和可接受的数据使用的指导原则。
GB/T 37988-2019信息安全技术数据安全能力成熟度模型l：中国地方标准提供了评估组织数据安全能力的工具，并在整个数据生命周期中发展组织、技术、流程和人员的数据安全能力（包括数据收集、传输、存储、处理、交换和销毁）。

控制目录：提供控制菜单，以系统地优化组织的数据安全风险暴露。

JR/T0223-2021金融数据安全——数据生命周期安全规范：金融行业专用标准，为金融机构根据金融数据的特点开展数据保护工作提供了一套全面的数据安全控制措施。
GB/T 39725-2022 信息安全技术健康数据安全指南：医疗行业标准定义了数据安全措施（重点是授权管理、身份认证、访问控制管理和去标识化）和八种典型场景医疗保健数据使用（例如，医生访问、患者查询和临床研究）以及相关的控制措施。

安全流程：提供强制性或自由裁量的程序操作，以满足安全控制目标。每个数据安全过程包括一系列以编排方式执行的相互依赖、链接的动作，以实现特定的数据安全任务或结果（例如，数据分类和分级、数据屏蔽和安全数据共享）。上述每个控制目录都提供了基于数据管理生命周期的类似数据安全流程列表。

在选择安全管理框架、控制目录和流程的合适组合时，组织应考虑：

主动与您的业务利益相关者合作，确定可能影响您选择安全框架和控制措施的内部和外部背景因素（例如，数字业务战略、探索客户数据的研发投资、行业部门、监管、立法或合同义务以及客户期望）。
确定是否已为您的特定行业部门开发了安全框架或控制目录。行业特定标准通常映射回行业特定法规和其他国家认可的标准。从合规性角度来看，这使您的数据安全计划更具防御性。
选择与业务风险偏好、安全团队的能力和组织的安全成熟度一致的框架和控制措施。避免外展组织的能力。

简化数据发现和分类

数据发现和分类通过数据的识别、分类和优先级确定有效且高效的数据安全性。它涵盖组织的结构化和非结构化数据，无论是在本地还是在云中，对于响应市场竞争和监管要求的安全、隐私和数据治理以及合规性计划至关重要。它还使组织能够获得有关其处理的数据的业务环境和敏感性的所需知识。

数据发现对多个非结构化和结构化数据源进行搜索、分析、索引、跟踪和报告。它为组织提供了数据所在位置以及数据如何在组织边界内和跨组织边界流动的可见性。这些见解将成为数据风险和合规性评估流程的重要输入。数据发现通过模式匹配技术（例如正则表达式、关键字数组和元数据签名）以及人工智能驱动的方法（包括机器学习、NLP 和计算机视觉）来检查内容。

术语“数据分类”通常用于描述对数据应用标记或元数据标签的工具。然而，分类不仅仅是标记和标签，因为它还增强了对数据集的分析，在数据存储库或目录中进行结构化，或者对数据资产的使用进行直接控制（请参阅构建有效的数据分类和处理文档和工具包：分类和处理敏感数据）。数据防泄露 (DLP) 和数据访问治理 (DAG)等安全控制可从数据的预分类或标记中受益匪浅。

在数据安全中，数据通常按类型、所有者、监管、敏感性和保留要求进行分类，这使组织能够将其安全、隐私和分析工作集中在重要和敏感的数据集上。在考虑隐私法规时，数据很少按其商业价值进行分类（例如，个人身份信息和敏感个人信息）或按类型（例如，合同、健康记录或发票）。成功的数据分类计划需要SRM和商业领袖深入的业务和安全知识以及组织数据和分析之间的协作。

在受到严格监管的行业（例如金融、医疗保健、电信、制造和汽车）运营的组织可以参考已发布的行业指南来进行数据分类和分类。对于那些监管不严格的组织，国家信息安全标准化技术委员会（TC260 ）发布的通用数据分类指南也可供参考，并可作为制定组织自己的数据分类方案的基础。这使得数据分类计划的结果更好地符合法规要求。

数据发现和分类举措经常失败，因为它们依赖于未经充分培训的用户的手动操作。作为数据（安全）治理计划的一部分，实施自动化工具和用户培训将提高整个组织中数据发现和分类计划的采用和可扩展性。

中国有许多供应商提供自动化工具，可以识别驻留在不同数据存储上的数据（结构化和非结构化），为用户提供标签基线，同时允许他们覆盖分类（有理由）以增强整体结果。组织应考虑具有元数据管理和机器学习的自动化工具，并结合使用用户驱动和自动化数据分类来确保尽可能多的数据集尽可能准确地识别、标记和分类。

大多数供应商提供一套开箱即用的检测模式，这些模式通常专注于标准数据格式和受监管的数据，例如个人数据、政府记录（包括社会身份号码）或财务信息（例如信用卡号）。模式通常按法规和行业标准进行分组，例如通用数据保护条例 ( GDPR )、支付卡行业数据安全标准 ( PCI DSS )、PIPL 和前述的中国行业特定分类标准。这简化了工具集中优先级的选择和设置。

供应商认识到维护这些模式至关重要，并频繁发布更新。组织应选择具有更丰富的内置识别和分类模式、自定义标记/标记的灵活性以及与其他数据安全技术（例如匿名、加密、DLP和DSP）的互操作性的数据发现和分类工具

实施数据风险和合规性评估流程

DRA 是一个用于审查数据安全和隐私控制是否有效实施以及是否满足组织在所有适用的安全产品和应用程序中的风险偏好和监管要求的流程。DRA流程（包括数据映射和数据访问分析）检查产品控制的有效性，并在数据在端点和特定存储位置之间以及整个架构之间流动时识别差距或不一致的安全和访问控制。这样可以创建数据风险登记册和业务决策，以便在每个数据安全、隐私、IAM 或应用程序产品中实施一致的策略规则。

在实施 DRA 流程时，SRM 领导者应考虑：

与业务领导者合作支持 DRA，从而能够直接了解和洞察业务成果、业务项目处理数据集的要求以及了解业务事件的影响。
创建组织最关键数据资产的数据映射，并进行数据安全态势管理 (DSPM)分析，以根据范围内的数据评估向每个用户或计算机帐户提供的权限。
识别未缓解的数据风险以及这些风险如何仍可能造成业务风险。通过 Gartner 的 DSG 框架和风险、价值和成本 ( RVC ) 优化模型传达您的发现，以优先考虑业务风险和收益对人员配置和预算变更的业务支持。
在风险优先级划分过程中利用财务 DRA ( FinDRA )方法，这将帮助您评估对业务的经济影响，以便决定安全预算应该有多大。
评估现有 DSP 供应商在现有 DSP 上集成 DRA 功能模块的能力。利用 DSP 启用 DRA 作为日常数据安全运营的一部分。

在中国，数据安全监管日益严格，数据安全合规评估成为维持数据处理活动稳定运行的迫切需求。数据安全合规性评估可识别数据安全产品和管理流程所应用的控制中的差距和不一致。评估的输出通常是评估报告的记录，包括发现的差距和其他调查结果、建议的调查结果整改和评估方法，并且必须根据不同的要求保存一定的时间。评估内容也对系统策略或配置敏感，确保您拥有一个安全的存储库来存储评估报告。

不同主管部门和监管机构的合规要求不同，数据安全合规评估的评估主体、范围和频率也不同（见表2），这使得评估的启动和完成评估过程所需的专业知识变得复杂。

表2 ：中国数据安全合规评估类型

评估类型	适用实体	评估范围	频率	参考要求
全方位数据安全风险评估	重要数据处理者在国外股票市场上市的数据处理者	数据安全管理体系数据保护措施执行国家数据安全法律、行政法规和标准数据安全事件处理重要数据的共享、交易、委托处理或向境外提供处理数据安全投诉	每年	中华人民共和国数据安全法网络数据安全管理规定（草案）
金融部门数据风险评估	金融机构	数据安全管理数据安全保护数据安全运营	每年（最少）或按需（当触发特殊条件时）	JR/T金融数据安全数据安全评估规范（草案）
电信和互联网行业数据风险评估	电信基础设施企业互联网企业域名注册服务企业	数据安全管理体系及数据保护措施执行合规评估、数据分类、第三方安全管理、访问授权管理和安全审计非法访问、批量复制、传输和删除的识别和处理数据安全事件处理重要数据备份及加密	按需（由行业监管机构触发）	YD/T 3956-2021 电信网络与互联网数据安全评估规范
工业部门数据风险评估	工业和信息化领域重要数据和核心数据的处理者	数据安全管理体系数据保护措施安全评估的执行数据安全产品应用数据安全监控	每年	工业和信息化领域数据安全风险评估实施规则（试行）（草案）
汽车行业数据风险评估	处理重要数据的汽车数据处理器	数据安全管理体系数据保护措施与国内外第三方共享数据数据安全事件处理处理数据安全投诉	每年	汽车数据安全管理若干规定（试行）
数据出境传输风险评估	将重要数据和个人信息传输出境的数据处理者	数据出境的目的、范围、方式的合法性、合法性、必要性出站数据传输的规模、范围、类型和敏感度外国接收者的义务和能力个人信息权益维护渠道与外国接收者签订的规定数据保护义务的法律合同	按需（数据出站活动开始之前）	数据出境安全评估办法

资料来源：Gartner（2022 年 10 月）

随着组织数据处理活动的不断发展，基于时间点的数据安全合规评估通常不足以满足数据风险评估的多样化合规要求，从而触发按需合规评估。组织可以利用流程自动化和/或第三方服务来实施数据安全合规性评估。市场上出现了由法律和咨询公司提供的新兴 SaaS 服务，这可以减少组织的手动工作并补充缺乏的领域知识。

在选择此类 SaaS 服务时，组织应评估供应商提供完整和更新的监管清单的能力、定制评估工作流程的灵活性以及评估期间领域专家的在线支持。

应用整合方法来集成孤立的数据安全产品

数据安全策略的创建和执行具有挑战性，因为有各种各样的数据安全产品提供特定的安全控制并针对特定存储库或处理步骤监视数据访问和活动。供应商产品通常彼此独立运行，很少集成或共享策略；使用专有的数据发现和分类技术；并应用专有技术进行相同的安全控制。由于缺乏对（敏感）数据、数据存储、策略和适用控制的整体可见性，这会阻碍跨这些不同的供应商管理控制台协调安全策略，并抑制数据的业务利用。

为了弥合控制差距并协调数据安全控制和策略，SRM 领导者应制定从孤立的数据安全产品到 DSP 的中长期过渡计划，从而实现更简单、一致的端到端数据安全。

DSP 为数据提供整合的安全和保护功能。它们将以前孤立的功能聚合在一个共同的政策工具下，大大简化了数据安全性。根据 Gartner 2022 年的调查，超过 70% 的抽样中国数据安全供应商（n = 24）提供了各种 DSP 产品。这些供应商优先考虑并专注于某些技术，包括：

数据发现和分类：根据模式匹配和相对敏感级别搜索数据并将其分配到类别，然后将该结果记录在存储库中或作为文档上的标记或标签。
数据（库）活动监控 ( DAM )：检测更改并针对权限升级或数据更改创建警报，以检测潜在的恶意内部或外部黑客活动并满足监管合规性要求。
数据脱敏：将数据转换为不可读或至少无法识别的数据，从而允许以合规的方式进行处理。它包括用于创建数据集的去识别化副本以便在一个或多个应用程序或进程中进行处理的静态数据脱敏 (SDM) 和动态数据脱敏 ( DDM ) ，后者在应用程序或人员访问数据时实时应用脱敏操作（使用中的数据）。
数据库加密（字段/记录）/令牌化：字段级加密 ( FLE ) 通过所有密钥管理、加密和解密操作来保护各个字段和文档。标记化和格式保留加密 ( FPE ) 通过在将数据加载到应用程序或数据存储中时用替代值替换其值来保护数据字段。
数据风险分析：通过分析数据分类标签、数据访问权限、行为数据以及数据存储的配置或漏洞，计算并可视化数据风险评分和其他数据风险指标，以在数据泄露发生之前主动修复安全性和合规性差距。

产品供应商还计划在其产品开发路线图中扩展广泛的功能。在选择数据安全技术或计划集成组织中现有的技术时，SRM 领导者应寻找集成多种安全控制的 DSP 等技术，以简化控制的编排并降低运营复杂性和成本。