随着国家数字强国战略推进和数据安全相关法律法规的密集出台，数据安全强监管时代已经成为业界共识。面对日益严格的监管政策和考核要求，某联通面临合规难度大、数据变化快、协同工作难、数据覆盖不全、动态数据管控难等痛点。

　　基于以上痛点，某联通旨在建设一个由合规和安全双驱动的数据安全分级分类平台，实现如下目标：

　　第二，提升安全。梳理数据资产，明确数据安全治理目标，为精准风险评估提供数据支撑。

　　第三，提升管理效率，降低成本。结合企业自身数据安全管理流程，完成数据资产摸底，减少数据资产梳理工作的人力投入，降低参与人员的能力门槛。

　　合规和安全双驱动的数据安全体系包括三大目标、五大体系、八大场景和十五大产品，具体来看：

　　• 五大体系：为了满足以上三大目标，需要五大体系作为支撑、实现有效配合，包括数据安全管理体系、数据安全组织体系、数据安全合规体系、数据安全技术体系和数据安全运营体系；

　　• 八大场景：数据安全与业务场景和流程息息相关，解决方案需要紧贴场景，目前数据安全体系可满足生产、办公、运维、开发、测试、数据内部共享、数据外部流转、数据出境等业务应用场景。

　　• 绘制数据地图，从业务、应用、数据源、物理位置等多个维度摸清数据在企业内的分布情况；

　　• 明确数据梳理过程中各部门的协作流程，使所有参与人员能够了解自身在工作中的职责；

　　保旺达方舟平台负责管理、维护、展现，提供统一的数据安全工作入口，数据扫描引擎接收方舟平台的扫描规则和计划，并对目标数据源进行扫描，扫描内容包括、数据量、元数据、数据内容（抽样/全量）、账号和权限，扫描引擎将结果反馈给平台，由平成对结果的分析、标注和展现。

　　数据流转探针采集各API的流量并进行解析，并将解析结果发送给方舟平台，采集的流量包括应用服务和页面间的流量、组织内的应用间流量、组织内应用和组织外应用间的流量、组织内的应用和组织内的存储间流量、组织内的应用和组织外的存储间流量。方舟平台结合数据扫描结果、备案的业务/应用/数据源关系，按数据类型和敏感等级将数据进行关联，并通过关系图展现数据流转情况。

　　内置行业/企业分类分级标准，充分保障合规需求，预置70+的数据特征规则，开箱即用，无须用户额外编写数据的特征规则，即可覆盖90%的个人信息自动识别；内置机器学习“算法”和“模型”，针对难以定义特征规则的企业自身数据，通过样本训练自动提取其特征。

　　数据梳理工作要跟数据使用流程结合起来，通过内置的可配置流程，使安全部门的安全专家可以协同各业务部门的业务专家借助平台共同完成数据梳理工作，提升数据梳理结果的质量。

　　• 持续监视数据资产的变动，及时发现敏感数据扩散情况，提升了数据资产的时效性；

　　• 跟踪数据流转，将复杂的流转过程以简单、直观的方式呈现，提供了“动”“静”结合的数据梳理结果；

　　• 对内、对外提供一致的数据资产清单和自动化数据分类分级能力，为统一安全策略、避免安全孤岛提供数据支撑，同时减少重复投资。

　　通过数据安全分级分类平台，某联通梳理出300+个数据源、65万+个数据表、1万+个涉敏表、88万+个敏感列，增加了规范落地覆盖度、简化了数据梳理过程、提升了数据安全性。具体来看：

　　第一，提高合规性。对于国家和相关部委对数据分级分类相关的合规和考核要求，可达到90%的合规满足度，处于业界领先水平。

　　第二，提高安全性。通过及时、准确的自动化梳理能力，为企业内外提供全局一致性的梳理结果，为保障数据安全策略的有效性提供了支撑，从最基础层面保障的数据安全，时效性提升50%、准确性提升30%、一致性达到90%。

　　第三，减少投入。通过自动化识别、处理和分类，减少对海量数据的梳理工作投入，通过工作流程自动化，减少通过多个系统或邮件的审批交互，减轻75%的工作量。

　　第一，战略指引将数据安全作为企业的战略目标之一，企业决策层需要高度重视数据安全。

　　第二，组织完善、职责明确构建数据安全治理组织体系，明确决策部门、牵头部门、实施部门及相关的责任人。

　　第四，流程协同制定明确的数据安全治理流程，有效推动跨部门的协同治理活动。

　　第五，技术支撑建设数据梳理系统，实现“动”、“静”相结合的数据梳理效果。

　　第一，控制范围，厘清数据治理和数据安全治理的关系，聚焦合规和安全。数据治理的目的是为了更好的发挥数据价值，而数据安全治理的目的是确保安全合规。两者的目的不同，工作范围、复杂性、工作方法也有所不同。建议合理控制范围，聚焦合规和安全，主要关注重要数据和核心数据，数据涉及的应用场景和节点，每个节点对应用数据的访问角色和权限，每个点可能产生的泄露风险和应对措施。

　　第二，先把一个系统一个部门数据梳理清楚，分系统分步实施。数据安全问题不可能一次性全部解决，建议做好规划，分步实施，明确重点，不断迭代。建议分为多个阶段，将合规、组织、管理、技术、运营体系思路贯穿在每个阶段建设任务中，重点先解决合规问题、考核问题和重点安全问题。先纳管重点数据和重点系统，快速达成阶段目标，取得好的治理效果后，做好复盘和迭代，再逐步纳管其他系统。

　　第三，以业务系统为抓手，结合实际场景去抓数据安全管控。数据安全是高度场景化的，是和业务流程密切相关的，不是采购一套标准化产品就能解决问题，必须结合业务场景体系性去解决问题。数据结合业务场景才更有价值，数据安全要以业务系统为抓手，才更具有针对性，也能起到更好的效果。

　　第四，闭环的、持续运营才能见实效。只是部署一套系统或平台，只是数据分级分类工作的一小部分。整个数据分级分类的识别、审批、确认、对比、分析等过程要通过系统和流程实现闭环，能够实现分级分类工作的闭环管理和持续运营，这样才能起到实际的效果。返回搜狐，查看更多