数据资产是企业及组织拥有或控制,能给企业及组织带来未来经济利益或社会效益的,以物理或电子的方式记录的数据资源,如文件资料、电子数据等。
——《数据资产管理实践白皮书5.0》
如今,信息化、数字化深入发展,各行各业所产生的的数据呈爆发式增长,企业所持有的数据资产变得越来越“贵”,已成为企业重要的核心资产,开展数据治理工作也就成了各行业的当务之急。
明朝万达作为中国新一代信息安全技术的代表厂商,凭借对数据安全领域的深入研究和探索,拥有过硬的产品技术实力以及丰富的多行业实践经验。在此,明朝万达数据安全专家将采用六何分析法为大家介绍数据治理的开端即数据资产盘点。
为什么(Why)
自2021年9月1日《数据安全法》正实施以来,数据资产盘点俨然成为了数据应用的前提。如果企业缺少了数据资产盘点工作的支撑,那么无论其是否对资产的安全级别、重要程度有准确的认知,数据的无序使用必然要承担相对应的法律风险。做好资产分类,数据定级已经成为新时代数据应用的必然条件,而数据资产盘点则是数据资产分类定级工作落实的前提。
做什么(What)
想要论述资产盘点的(What)理论,就要先明确数据资产盘点能为企业做哪些事情:企业有哪些数据?有多少数据?数据的价值如何?数据存储在什么位置?数据的归属人/责任人是谁?哪些是重要数据?哪些是敏感数据?
综上,通过数据资产盘点企业可以很容易的梳理出数据的脉络,流转的方式,进而搭建数据资产地图,摸清企业数据资产家底,明确数据资产存量,以及通过分类的方式可以确定数据范围,数据受益人、责任人、管理人等,从而为后续的数据确权工作打下夯实的基础。
此外,数据资产目录的落地可以不仅仅是一个维度,不管是针对数据应用,还是数据确权,甚至是行业标准的数据耦合,我们都可以通过数据资产目录的方式将前期梳理的理论知识进行落地,将国家法律法规、行业标准等拟合进企业数据资产的属性中来,为资产打上“安全标签”,真正做到数据应用有迹可循,有法可依,安全可靠。
何人(Who)
从理论上来讲,数据资产盘点工作应该是由更熟悉企业数据的业务部门负责牵头,其他职能部门全力配合来完成。但在实际操作中,业务部门往往只熟悉自己负责的那一部分,缺乏全局视角,如果单由某个业务部门牵头,就很容易造成“摸着石头过河”的实践窘境,使数据资产盘点工作低效化。
因此,企业数据资产盘点的组织架构顶层一定要找到一个具有全局思维的人进行统筹,才能规划出更高效合理的数据盘点计划、盘点框架和盘点原则,定义出本次资产盘点的核心目的以及输出价值。根据计划协同经办部门指定资产盘点的数据盘点模板,指定数据的归口部门对响应数据进行定则分发,再由使用数据的业务部门完成数据资产盘点工作。企业数据资产盘点的统筹人一般是企业的TI部门或专门成立的数据管理小组,也可以是外聘来的数据专家。
何时(When)
目前,国内各大企业经过多年的信息化建设,已积累了种类繁多、体量庞大的数据,并且随着业务的持续发展,业务范围、资产规模、客户规模均不断扩大,产生的数据规模也在快速增长。而数据规模的快速增长为企业带来了数字化转变、智能化变革的机遇,同时也对数据资产的掌控能力提出更高要求。
因此,全面推进数据资产盘点工作,是准确识别出有价值的数据资产,并对数据资产开展统一规范管理,进而实现数据资产价值最大化和良性循环的重要基础性工作,企业开展数据资产盘点工作正当其时。
何地(Where)
数据资产盘点目前是在企业内部进行。
如何(How)
☑ 构建统一的数据标准
企业数据的存储往往是杂乱无序的,数据的来源不尽相同,相同数据项不同数据业务来源可能相对应的数据定义和数据价值都存在极大的差异,这不利于数据整合形成有效的数据资源。因此在盘点前,需要根据目前环境下行业的相关国家标准,以及企业自身的业务现状,制定出适合易用,有针对性的的数据标准,形成全局统一的数据定义和数据价值体系,后续相关资产盘点工作将在此标准体系下展开。
☑ 定义数据资产的数据范围
哪些数据是数据资产?能给企业未来带来经济效益的物理文件算不算数据资产?在不在这次资产盘点的统计范围?电子文件的存储模式,除传统的结构化数据(泛指数据库存储)外,数据文件,非结构化数据文件在不在统计范围内?存储的路径以及存储的形态有哪些?数据治理小组需结合目前企业现状明确资产梳理范围,制定梳理计划,确定数据流转闭环,才能更高效地完成数据资产盘点工作。
☑ 明确数据梳理的统计口径
针对数据发现的扫描结果,需要对数据进行识别、定义、标记,并基于数据项的主数据内容,以及数据存储的元数据属性,明确要统计、收集的有效资产识别项,绘制数据资产地图,将数据的存储内容、存储位置、存储量等进行有序呈现。
☑ 数据定级、资产分类
数据资产的话题之所以火热,是因为随着大数据时代的不断发展,越来越多的人意识到数据能够给企业带来的巨大价值,那如何高效的利用数据,快速的使数据发光发热,就是我们进行资产分类的目的。
数据定级解决了我们在数据应用过程中或是违反法律法规,或是侵犯公俗良约的风险。随着数据安全发展的进一步落地,现在市场上大部分行业都有着自己的数据定级准则,国家相关法律法规以及行业定级标准耦合进数据分类目录内,通过分类数据归属,达到实际数据自动打标的目的。
☑ 数据确权,明确数据归属
通过前期调研,数据溯源,找到数据使用者,确定数据资产的业务归属人和责任人,坚决落实“谁生产,谁负责”,“谁使用,谁负责”,“谁管理,谁负责”的数据确权原则,可以为日后的数据应用,数据分析,数据分类保护等相关工作提供目标以及责任指向。
Chinasec(安元)智能数据治理平台
将企业数据资产价值最大化是当前企业在数字化转型过程中的首要目标。作为国内领先的数据安全技术、产品和服务提供商,明朝万达基于对数据安全领域的深入探索,结合企业在数字化转型过程中产生的实际需求以及企业对数据治理的要求,自主研发了Chinasec(安元)智能数据治理平台,该产品以数据分类分级为数据治理切入点,以数据特征为基础定义行业/企业内部数据分类分级标准,通过自动发现、数据录入等方式对企业内部数据库资产进行管理。
该产品同时支持对企业内部服务器的非结构化文件进行管理。通过分类分级任务对数据库资产/非结构化资产进行匹配扫描,非结构化文件梳理为资产目录,以分类分级任务为扫描入口将不同行业的分类分级模板作用在扫描任务中,通过高性能扫描引擎对非结构化资产文件进行匹配、识别。支持输出详细的分类分级报告,企业用户可直观感知敏感资产信息,提供多维度的分类分级报告为企业管理员人员的数据安全决策提供数据依据。
产品优势
✦ 数据资产清查
帮助企业对数据资产进行全面的清查和摸排,了解敏感数据分布、类型、量级,做到心中有数,以此构建企业级的数据资产目录,为之后企业数据资产管理和数据安全体系建设打好基础。
✦ 数据库自动嗅探识别技术
支持多种数据库自动发现,主动嗅探网内数据库,可以指定IP段和端口的范围进行搜索,并提供资产认领功能。
✦ 支持数据库类型全面
产品支持结构化资产MYSQL、ORACLE、SQLSERVER、POSTGRESQL、DB2、REDIS、ELASTICSEARCH等国内、外主流数据库19种数据源,同时还支持通过导入对应的模板文件为基础的MySql-dump、Excel/CSV、XML、TXT文件创建对应的数据资产。
✦ 支持非结构化资产采集
产品支持非结构化数据采集,用户将文件信息挂载到产品服务器Microsoft Word/Excel/PowerPoint、Openoffice、WPS等办公文档,ZIP、ISO、RAR、EML等压缩文件等42余种电子出版格式以及其它以文本形式存储的格式进行内容扫描。
✦ 内置丰富的分类分级行业模版
在国家和行业规范标准的基础上,通过多年的实际分类分级业务沉淀,内置构建了适合金融、医疗行业的基础分类分级模版,并可根据企业实际的业务需要快速动态调整,以构建适合企业的数据分类分级模版。
✦ 分类分级结果可视化
产品提供了丰富的图表,通过可视化的方式呈现不同分类分级模板的扫描结果,用户可直观感知企业内部的敏感文件资产以及敏感级别。