數(shù)據(jù)資產(chǎn)是企業(yè)及組織擁有或控制,能給企業(yè)及組織帶來(lái)未來(lái)經(jīng)濟(jì)利益或社會(huì)效益的,以物理或電子的方式記錄的數(shù)據(jù)資源,如文件資料、電子數(shù)據(jù)等。
——《數(shù)據(jù)資產(chǎn)管理實(shí)踐白皮書5.0》
如今,信息化、數(shù)字化深入發(fā)展,各行各業(yè)所產(chǎn)生的的數(shù)據(jù)呈爆發(fā)式增長(zhǎng),企業(yè)所持有的數(shù)據(jù)資產(chǎn)變得越來(lái)越“貴”,已成為企業(yè)重要的核心資產(chǎn),開展數(shù)據(jù)治理工作也就成了各行業(yè)的當(dāng)務(wù)之急。
明朝萬(wàn)達(dá)作為中國(guó)新一代信息安全技術(shù)的代表廠商,憑借對(duì)數(shù)據(jù)安全領(lǐng)域的深入研究和探索,擁有過硬的產(chǎn)品技術(shù)實(shí)力以及豐富的多行業(yè)實(shí)踐經(jīng)驗(yàn)。在此,明朝萬(wàn)達(dá)數(shù)據(jù)安全專家將采用六何分析法為大家介紹數(shù)據(jù)治理的開端即數(shù)據(jù)資產(chǎn)盤點(diǎn)。
為什么(Why)
自2021年9月1日《數(shù)據(jù)安全法》正實(shí)施以來(lái),數(shù)據(jù)資產(chǎn)盤點(diǎn)儼然成為了數(shù)據(jù)應(yīng)用的前提。如果企業(yè)缺少了數(shù)據(jù)資產(chǎn)盤點(diǎn)工作的支撐,那么無(wú)論其是否對(duì)資產(chǎn)的安全級(jí)別、重要程度有準(zhǔn)確的認(rèn)知,數(shù)據(jù)的無(wú)序使用必然要承擔(dān)相對(duì)應(yīng)的法律風(fēng)險(xiǎn)。做好資產(chǎn)分類,數(shù)據(jù)定級(jí)已經(jīng)成為新時(shí)代數(shù)據(jù)應(yīng)用的必然條件,而數(shù)據(jù)資產(chǎn)盤點(diǎn)則是數(shù)據(jù)資產(chǎn)分類定級(jí)工作落實(shí)的前提。
做什么(What)
想要論述資產(chǎn)盤點(diǎn)的(What)理論,就要先明確數(shù)據(jù)資產(chǎn)盤點(diǎn)能為企業(yè)做哪些事情:企業(yè)有哪些數(shù)據(jù)?有多少數(shù)據(jù)?數(shù)據(jù)的價(jià)值如何?數(shù)據(jù)存儲(chǔ)在什么位置?數(shù)據(jù)的歸屬人/責(zé)任人是誰(shuí)?哪些是重要數(shù)據(jù)?哪些是敏感數(shù)據(jù)?
綜上,通過數(shù)據(jù)資產(chǎn)盤點(diǎn)企業(yè)可以很容易的梳理出數(shù)據(jù)的脈絡(luò),流轉(zhuǎn)的方式,進(jìn)而搭建數(shù)據(jù)資產(chǎn)地圖,摸清企業(yè)數(shù)據(jù)資產(chǎn)家底,明確數(shù)據(jù)資產(chǎn)存量,以及通過分類的方式可以確定數(shù)據(jù)范圍,數(shù)據(jù)受益人、責(zé)任人、管理人等,從而為后續(xù)的數(shù)據(jù)確權(quán)工作打下夯實(shí)的基礎(chǔ)。
此外,數(shù)據(jù)資產(chǎn)目錄的落地可以不僅僅是一個(gè)維度,不管是針對(duì)數(shù)據(jù)應(yīng)用,還是數(shù)據(jù)確權(quán),甚至是行業(yè)標(biāo)準(zhǔn)的數(shù)據(jù)耦合,我們都可以通過數(shù)據(jù)資產(chǎn)目錄的方式將前期梳理的理論知識(shí)進(jìn)行落地,將國(guó)家法律法規(guī)、行業(yè)標(biāo)準(zhǔn)等擬合進(jìn)企業(yè)數(shù)據(jù)資產(chǎn)的屬性中來(lái),為資產(chǎn)打上“安全標(biāo)簽”,真正做到數(shù)據(jù)應(yīng)用有跡可循,有法可依,安全可靠。
何人(Who)
從理論上來(lái)講,數(shù)據(jù)資產(chǎn)盤點(diǎn)工作應(yīng)該是由更熟悉企業(yè)數(shù)據(jù)的業(yè)務(wù)部門負(fù)責(zé)牽頭,其他職能部門全力配合來(lái)完成。但在實(shí)際操作中,業(yè)務(wù)部門往往只熟悉自己負(fù)責(zé)的那一部分,缺乏全局視角,如果單由某個(gè)業(yè)務(wù)部門牽頭,就很容易造成“摸著石頭過河”的實(shí)踐窘境,使數(shù)據(jù)資產(chǎn)盤點(diǎn)工作低效化。
因此,企業(yè)數(shù)據(jù)資產(chǎn)盤點(diǎn)的組織架構(gòu)頂層一定要找到一個(gè)具有全局思維的人進(jìn)行統(tǒng)籌,才能規(guī)劃出更高效合理的數(shù)據(jù)盤點(diǎn)計(jì)劃、盤點(diǎn)框架和盤點(diǎn)原則,定義出本次資產(chǎn)盤點(diǎn)的核心目的以及輸出價(jià)值。根據(jù)計(jì)劃協(xié)同經(jīng)辦部門指定資產(chǎn)盤點(diǎn)的數(shù)據(jù)盤點(diǎn)模板,指定數(shù)據(jù)的歸口部門對(duì)響應(yīng)數(shù)據(jù)進(jìn)行定則分發(fā),再由使用數(shù)據(jù)的業(yè)務(wù)部門完成數(shù)據(jù)資產(chǎn)盤點(diǎn)工作。企業(yè)數(shù)據(jù)資產(chǎn)盤點(diǎn)的統(tǒng)籌人一般是企業(yè)的TI部門或?qū)iT成立的數(shù)據(jù)管理小組,也可以是外聘來(lái)的數(shù)據(jù)專家。
何時(shí)(When)
目前,國(guó)內(nèi)各大企業(yè)經(jīng)過多年的信息化建設(shè),已積累了種類繁多、體量龐大的數(shù)據(jù),并且隨著業(yè)務(wù)的持續(xù)發(fā)展,業(yè)務(wù)范圍、資產(chǎn)規(guī)模、客戶規(guī)模均不斷擴(kuò)大,產(chǎn)生的數(shù)據(jù)規(guī)模也在快速增長(zhǎng)。而數(shù)據(jù)規(guī)模的快速增長(zhǎng)為企業(yè)帶來(lái)了數(shù)字化轉(zhuǎn)變、智能化變革的機(jī)遇,同時(shí)也對(duì)數(shù)據(jù)資產(chǎn)的掌控能力提出更高要求。
因此,全面推進(jìn)數(shù)據(jù)資產(chǎn)盤點(diǎn)工作,是準(zhǔn)確識(shí)別出有價(jià)值的數(shù)據(jù)資產(chǎn),并對(duì)數(shù)據(jù)資產(chǎn)開展統(tǒng)一規(guī)范管理,進(jìn)而實(shí)現(xiàn)數(shù)據(jù)資產(chǎn)價(jià)值最大化和良性循環(huán)的重要基礎(chǔ)性工作,企業(yè)開展數(shù)據(jù)資產(chǎn)盤點(diǎn)工作正當(dāng)其時(shí)。
何地(Where)
數(shù)據(jù)資產(chǎn)盤點(diǎn)目前是在企業(yè)內(nèi)部進(jìn)行。
如何(How)
? 構(gòu)建統(tǒng)一的數(shù)據(jù)標(biāo)準(zhǔn)
企業(yè)數(shù)據(jù)的存儲(chǔ)往往是雜亂無(wú)序的,數(shù)據(jù)的來(lái)源不盡相同,相同數(shù)據(jù)項(xiàng)不同數(shù)據(jù)業(yè)務(wù)來(lái)源可能相對(duì)應(yīng)的數(shù)據(jù)定義和數(shù)據(jù)價(jià)值都存在極大的差異,這不利于數(shù)據(jù)整合形成有效的數(shù)據(jù)資源。因此在盤點(diǎn)前,需要根據(jù)目前環(huán)境下行業(yè)的相關(guān)國(guó)家標(biāo)準(zhǔn),以及企業(yè)自身的業(yè)務(wù)現(xiàn)狀,制定出適合易用,有針對(duì)性的的數(shù)據(jù)標(biāo)準(zhǔn),形成全局統(tǒng)一的數(shù)據(jù)定義和數(shù)據(jù)價(jià)值體系,后續(xù)相關(guān)資產(chǎn)盤點(diǎn)工作將在此標(biāo)準(zhǔn)體系下展開。
? 定義數(shù)據(jù)資產(chǎn)的數(shù)據(jù)范圍
哪些數(shù)據(jù)是數(shù)據(jù)資產(chǎn)?能給企業(yè)未來(lái)帶來(lái)經(jīng)濟(jì)效益的物理文件算不算數(shù)據(jù)資產(chǎn)?在不在這次資產(chǎn)盤點(diǎn)的統(tǒng)計(jì)范圍?電子文件的存儲(chǔ)模式,除傳統(tǒng)的結(jié)構(gòu)化數(shù)據(jù)(泛指數(shù)據(jù)庫(kù)存儲(chǔ))外,數(shù)據(jù)文件,非結(jié)構(gòu)化數(shù)據(jù)文件在不在統(tǒng)計(jì)范圍內(nèi)?存儲(chǔ)的路徑以及存儲(chǔ)的形態(tài)有哪些?數(shù)據(jù)治理小組需結(jié)合目前企業(yè)現(xiàn)狀明確資產(chǎn)梳理范圍,制定梳理計(jì)劃,確定數(shù)據(jù)流轉(zhuǎn)閉環(huán),才能更高效地完成數(shù)據(jù)資產(chǎn)盤點(diǎn)工作。
? 明確數(shù)據(jù)梳理的統(tǒng)計(jì)口徑
針對(duì)數(shù)據(jù)發(fā)現(xiàn)的掃描結(jié)果,需要對(duì)數(shù)據(jù)進(jìn)行識(shí)別、定義、標(biāo)記,并基于數(shù)據(jù)項(xiàng)的主數(shù)據(jù)內(nèi)容,以及數(shù)據(jù)存儲(chǔ)的元數(shù)據(jù)屬性,明確要統(tǒng)計(jì)、收集的有效資產(chǎn)識(shí)別項(xiàng),繪制數(shù)據(jù)資產(chǎn)地圖,將數(shù)據(jù)的存儲(chǔ)內(nèi)容、存儲(chǔ)位置、存儲(chǔ)量等進(jìn)行有序呈現(xiàn)。
? 數(shù)據(jù)定級(jí)、資產(chǎn)分類
數(shù)據(jù)資產(chǎn)的話題之所以火熱,是因?yàn)殡S著大數(shù)據(jù)時(shí)代的不斷發(fā)展,越來(lái)越多的人意識(shí)到數(shù)據(jù)能夠給企業(yè)帶來(lái)的巨大價(jià)值,那如何高效的利用數(shù)據(jù),快速的使數(shù)據(jù)發(fā)光發(fā)熱,就是我們進(jìn)行資產(chǎn)分類的目的。
數(shù)據(jù)定級(jí)解決了我們?cè)跀?shù)據(jù)應(yīng)用過程中或是違反法律法規(guī),或是侵犯公俗良約的風(fēng)險(xiǎn)。隨著數(shù)據(jù)安全發(fā)展的進(jìn)一步落地,現(xiàn)在市場(chǎng)上大部分行業(yè)都有著自己的數(shù)據(jù)定級(jí)準(zhǔn)則,國(guó)家相關(guān)法律法規(guī)以及行業(yè)定級(jí)標(biāo)準(zhǔn)耦合進(jìn)數(shù)據(jù)分類目錄內(nèi),通過分類數(shù)據(jù)歸屬,達(dá)到實(shí)際數(shù)據(jù)自動(dòng)打標(biāo)的目的。
? 數(shù)據(jù)確權(quán),明確數(shù)據(jù)歸屬
通過前期調(diào)研,數(shù)據(jù)溯源,找到數(shù)據(jù)使用者,確定數(shù)據(jù)資產(chǎn)的業(yè)務(wù)歸屬人和責(zé)任人,堅(jiān)決落實(shí)“誰(shuí)生產(chǎn),誰(shuí)負(fù)責(zé)”,“誰(shuí)使用,誰(shuí)負(fù)責(zé)”,“誰(shuí)管理,誰(shuí)負(fù)責(zé)”的數(shù)據(jù)確權(quán)原則,可以為日后的數(shù)據(jù)應(yīng)用,數(shù)據(jù)分析,數(shù)據(jù)分類保護(hù)等相關(guān)工作提供目標(biāo)以及責(zé)任指向。
Chinasec(安元)智能數(shù)據(jù)治理平臺(tái)
將企業(yè)數(shù)據(jù)資產(chǎn)價(jià)值最大化是當(dāng)前企業(yè)在數(shù)字化轉(zhuǎn)型過程中的首要目標(biāo)。作為國(guó)內(nèi)領(lǐng)先的數(shù)據(jù)安全技術(shù)、產(chǎn)品和服務(wù)提供商,明朝萬(wàn)達(dá)基于對(duì)數(shù)據(jù)安全領(lǐng)域的深入探索,結(jié)合企業(yè)在數(shù)字化轉(zhuǎn)型過程中產(chǎn)生的實(shí)際需求以及企業(yè)對(duì)數(shù)據(jù)治理的要求,自主研發(fā)了Chinasec(安元)智能數(shù)據(jù)治理平臺(tái),該產(chǎn)品以數(shù)據(jù)分類分級(jí)為數(shù)據(jù)治理切入點(diǎn),以數(shù)據(jù)特征為基礎(chǔ)定義行業(yè)/企業(yè)內(nèi)部數(shù)據(jù)分類分級(jí)標(biāo)準(zhǔn),通過自動(dòng)發(fā)現(xiàn)、數(shù)據(jù)錄入等方式對(duì)企業(yè)內(nèi)部數(shù)據(jù)庫(kù)資產(chǎn)進(jìn)行管理。
該產(chǎn)品同時(shí)支持對(duì)企業(yè)內(nèi)部服務(wù)器的非結(jié)構(gòu)化文件進(jìn)行管理。通過分類分級(jí)任務(wù)對(duì)數(shù)據(jù)庫(kù)資產(chǎn)/非結(jié)構(gòu)化資產(chǎn)進(jìn)行匹配掃描,非結(jié)構(gòu)化文件梳理為資產(chǎn)目錄,以分類分級(jí)任務(wù)為掃描入口將不同行業(yè)的分類分級(jí)模板作用在掃描任務(wù)中,通過高性能掃描引擎對(duì)非結(jié)構(gòu)化資產(chǎn)文件進(jìn)行匹配、識(shí)別。支持輸出詳細(xì)的分類分級(jí)報(bào)告,企業(yè)用戶可直觀感知敏感資產(chǎn)信息,提供多維度的分類分級(jí)報(bào)告為企業(yè)管理員人員的數(shù)據(jù)安全決策提供數(shù)據(jù)依據(jù)。
產(chǎn)品優(yōu)勢(shì)
? 數(shù)據(jù)資產(chǎn)清查
幫助企業(yè)對(duì)數(shù)據(jù)資產(chǎn)進(jìn)行全面的清查和摸排,了解敏感數(shù)據(jù)分布、類型、量級(jí),做到心中有數(shù),以此構(gòu)建企業(yè)級(jí)的數(shù)據(jù)資產(chǎn)目錄,為之后企業(yè)數(shù)據(jù)資產(chǎn)管理和數(shù)據(jù)安全體系建設(shè)打好基礎(chǔ)。
? 數(shù)據(jù)庫(kù)自動(dòng)嗅探識(shí)別技術(shù)
支持多種數(shù)據(jù)庫(kù)自動(dòng)發(fā)現(xiàn),主動(dòng)嗅探網(wǎng)內(nèi)數(shù)據(jù)庫(kù),可以指定IP段和端口的范圍進(jìn)行搜索,并提供資產(chǎn)認(rèn)領(lǐng)功能。
? 支持?jǐn)?shù)據(jù)庫(kù)類型全面
產(chǎn)品支持結(jié)構(gòu)化資產(chǎn)MYSQL、ORACLE、SQLSERVER、POSTGRESQL、DB2、REDIS、ELASTICSEARCH等國(guó)內(nèi)、外主流數(shù)據(jù)庫(kù)19種數(shù)據(jù)源,同時(shí)還支持通過導(dǎo)入對(duì)應(yīng)的模板文件為基礎(chǔ)的MySql-dump、Excel/CSV、XML、TXT文件創(chuàng)建對(duì)應(yīng)的數(shù)據(jù)資產(chǎn)。
? 支持非結(jié)構(gòu)化資產(chǎn)采集
產(chǎn)品支持非結(jié)構(gòu)化數(shù)據(jù)采集,用戶將文件信息掛載到產(chǎn)品服務(wù)器Microsoft Word/Excel/PowerPoint、Openoffice、WPS等辦公文檔,ZIP、ISO、RAR、EML等壓縮文件等42余種電子出版格式以及其它以文本形式存儲(chǔ)的格式進(jìn)行內(nèi)容掃描。
? 內(nèi)置豐富的分類分級(jí)行業(yè)模版
在國(guó)家和行業(yè)規(guī)范標(biāo)準(zhǔn)的基礎(chǔ)上,通過多年的實(shí)際分類分級(jí)業(yè)務(wù)沉淀,內(nèi)置構(gòu)建了適合金融、醫(yī)療行業(yè)的基礎(chǔ)分類分級(jí)模版,并可根據(jù)企業(yè)實(shí)際的業(yè)務(wù)需要快速動(dòng)態(tài)調(diào)整,以構(gòu)建適合企業(yè)的數(shù)據(jù)分類分級(jí)模版。
? 分類分級(jí)結(jié)果可視化
產(chǎn)品提供了豐富的圖表,通過可視化的方式呈現(xiàn)不同分類分級(jí)模板的掃描結(jié)果,用戶可直觀感知企業(yè)內(nèi)部的敏感文件資產(chǎn)以及敏感級(jí)別。
