信息安全行业的三大支柱包括产品、服务与运营，今天想和大家探讨的是服务方向的一个重要分支，也是《数安法》颁布后安全市场聚焦的热点，数据安全服务。

安全厂商在帮助客户建设数据安全能力时，数据安全服务作为安全软能力起到关键性作用，是保护客户敏感数据在管理和使用中的有效手段，也是核心目标。本文就以数据安全保障为目标，从数据保护对象、数据安全风险和数据安全管理三个视角出发，给出实际工作中能够借鉴的五类数据安全服务方案，每个方案将从方案概念、参考依据、项目痛点（切入点）、方案收益、主要交付物和方案落地思考来展开，希望能给大家提供一些思路帮助此类项目在工作中的执行和落地。

1.数据分类分级：

从保护对象出发，引出数据安全建设的第一步，推荐实践数据的分级分类。

方案内容：概括为基于我国法律法规以及业务需求确定组织内部的数据分类分级方法，对生成或收集的数据进行分类分级标识。

痛点（切入点）：当前数据安全监管趋严，很多单位在面临数据安全监管压力的时候，不知如何开展，这里就要提到数据安全建设的第一步，就是数据分级分类。数据分级分类是数据治理的基础，他解决的就是当前组织数据分散，想要保护却无从下手，或者数据混杂，无法统一管理的问题。很多组织数据敏感程度各不相同，就很难制定管理规则。

客户收益：数据分类分级就是帮助组织识别数据资产，摸清自身的数据类别和级别，为数据安全风险评估提供必要素材，明确数据分级管控策略，为数据运营提供有力支撑。

参考依据：已发布执行的和数据分类分级相关的法规和政策经过整理如下：

1.《数据安全法》

2.《等保条例》

3.《关基条例》

4.《工业数据分级分类指南》

5.《金融数据安全数据安全分级指南》

6.《证券期货业数据分类分级指引》

7.《电信和互联网服务用户个人信息保护定义及分类》

8.《电信和互联网服务用户个人信息保护分级指南》

方案主要交付物：

1.数据资产清单

2.数据分级分类

3.数据分级分类管理规范

方案思路及落地动作：

在服务推行过程中要通过沟通了解精准把握痛点和切入点，使客户意识到数据就是自己的家底，如果自己都不清楚家底，谈何进行数据变现。法律法规也有要求，监管部门也越来越聚焦数据层面。另外，还有如业务中断却无法恢复中断前的状态、数据被拿了也不知道、数据归属和责任认定也无人认领等等问题，诸如此类都能通过本项服务解决。当前由于非关基行业客户无分级分类指导依据，实际情况非关基行业客户需要考虑借鉴参考其他相关行业。历史已实施过分级分类的客户针对已建立起的分类分级标准进行核查和补充，并借助数据扫描设备进行分类分级优化。

2.个人信息安全影响评估：

从数据安全风险角度出发，可以考虑个人信息影响评估和数据安全评估，我们先看个信评估。

方案内容：方案旨在发现个人信息在处理过程中存在的安全风险，使个人信息处理过程风险可控。

痛点（切入点）：当前个人信息的重要性和热度反映了公民个信保护的觉醒，成为公民保护切身利益的聚焦点，《个人信息保护法》的出台也契合了民众的期望，提供了有力的法律武器。在信息化高速发展的大环境下，个人信息泄露、数据公开售卖、大数据公司滥用用户隐私成为互联网时代民事权利保护的一大痛点，如果把个人信息的安全前置考虑可以降低时间管理成本、法律费用及潜在的媒体或公众担忧，并且能够在持续合规性审计或调查中证明公司遵守了相关法律、法规和标准要求。

客户收益：通过个信评估能够帮助组织识别个人信息数据在使用过程中对个人权益造成的影响，评定安全风险和相关的责任，并且在产品和业务设计阶段为个信保护理念落地提供支撑依据，能够评审新上线信息系统在处理个信时的安全风险，并向合规部门反馈证据。

参考依据：已发布执行的和个人信息保护相关的法规和政策经过整理如下：

1.《个人信息安全保护法》

2.《个人信息安全影响评估指南》

3.《个人信息去标识化指南》

4.《信息安全技术个人信息安全规范》

5.《个人金融信息保护技术规范》

方案主要交付物：

1.个人信息安全影响评估报告

2.个人信息安全风险处置方案

方案思路及落地动作：

个信保护往往由每个人的意识决定，驱动力目前从市场角度来看不是很强。但是在个信保护法明确提出评估要求，不履行个信保护的相关职责不合法，这针对任何收集个人信息的组织和系统运营者都适用。我们一般在实际沟通过程中应留心注意观察客户业务现状，有没有存储和处理敏感个人信息，特别是关注了解客户收集处理个信的系统在客户业务中所占的重要性，一旦受到侵害，会产生多大的损失和影响，有一个初步的评估，再进一步挖掘个信保护需求。

3.数据安全风险评估

从数据安全风险角度出发，可以推荐数据安全评估方案。

方案内容：旨在评估企业在各类数据处理活动及数据承载系统平台的保障措施合规情况，提升企业数据安全管理及技术保障措施能力水平。

痛点（切入点）：类似于信息安全风险评估中将系统资产作为评估对象，数据安全风险评估聚焦于数据资产这项核心资产，数据资产由于具有多样性、复杂性的特征，数据管理者往往无法摸清自己所管辖数据所面临的安全风险，也无法评估与法律合规要求的差距，并能够根据其差距和风险在后续的安全建设过程中有的放矢。同时，根据《数据安全法》以及各行业相关标准要求，数据安全风险评估是开展数据安全治理工作的基础，是各组织必要的数据安全保护义务。

客户收益：通过数据安全风险评估能够有效降低企业数据安全合规风险。比如在管理体系建设、安全规划、系统开发以及平台搭建等工作之前，引入数据安全风险评估可在设计规划阶段有效的发现当前组织面临的数据安全风险，从设计层面对存在的数据安全风险进行控制，可有效降低数据安全风险的时间管理成本、控制措施落地成本以及法律费用。其次落地数据安全评估工作可以表明组织对数据安全建设的重视，向监管证明其职责履行，避免由于工作缺失导致的监管处罚。最后在数据共享过程中可以向合作方提供数据安全能力证明，确保数据开放共享的合规和信任。

参考依据：已发布执行的和数据安全风险评估相关的法规和政策经过整理如下：

1.《数据安全法》

2.《数据安全风险评估方法》

3.《电信网和互联网数据安全风险评估实施方法》

4.《工业互联网数据安全保护要求》

5.《工业和信息化领域数据安全管理办法》

6.《政务大数据安全风险评估实施指南》

方案主要交付物：

1.数据安全风险评估报告

2.数据安全控制改进建议方案

方案思路及落地动作：

数据安全评估工作在很多IT比较发达和先进的行业如运营商和金融行业已经作为强合规在执行，属于每年固定动作，上述很多法律法规要求明确重要数据和核心数据处理者每年至少完成一次数据安全风险评估，可以自行或委托第三方评估机构开展，及时整改风险问题，并向本地区行业监管部门报告。监管部门会对评估要点每年进行更新，要求定点报送和例行现场检查，需要关注政策要求的变化，跟进和融汇最新要求内容进入到方案。

4.数据安全管理体系建设

从数据安全管理角度出发，可以推荐数据安全管理体系建设。

方案内容：旨在帮助企业完善数据安全管理机制，自顶向下建立有效的数据安全管理体系。

痛点（切入点）：数字化转型带来数据安全管理风险，而很多组织并没有建立起有效的数据安全管理体系来应对，只有结合组织实际管理情况，帮助组织对数据进行有序治理，就需要通过建立数据安全管理组织架构、规范、制度、流程，落实数据全生命周期安全管控。

客户收益：数据安全管理体系的建设有助于组织规范数据安全风险管理流程，明确组织各个部门各个岗位的职责，提升员工信息安全意识，不断改善，有效预防，最终实现组织的良性发展。能够帮助客户建设贴身的、动态的、可持续性的数据安全体系,保障业务相对安全稳定运行,保障组织发展战略更好落地。

参考依据：已发布执行的和数据安全风险评估相关的法规和政策经过整理如下：

1.《银行业金融机构数据治理指引》

2.《金融行业网络安全等级保护实施指引》

3.《商业银行信息科技风险管理指引》

4.《大数据服务安全能力要求》

5.《数据安全能力成熟度模型》

方案主要交付物：

1.数据安全管理体系策略方针

2.数据安全管理规范

3.数据安全实施细则

4.数据安全流程表单

方案思路及落地动作：

体系建设工作本身实施周期长，花费大，容易劝退客户，这就需要了解清楚客户真实数据安全需求，不同客户需求有差异性，务必调研清楚客户建设关注点，才能设计下一步的建设思路设计和建设模块，建设内容与工作量息息相关。可以考虑先建框架，从框架入手，比如在四级管理文件体系中本年先完成一级和二级制度，明年完成三级和四级，把建设周期拉长，建设内容细化拆分，先启动作，管理体系建设本来就是循序渐进的一个过程，一口吃不成大胖子，可以先从符合我国国情的等保管理体系切入，再引入2W7信息安全管理体系的建设，再进一步规划更专注于数据安全管理体系的层面，这样层层递进的效果可能客户会更能接受，也会降低我们实施的风险。

5.数据安全培训

数据安全培训是提升和赋能客户数据安全管理工作最好的方式之一。

方案内容：

提供专业的数据安全定制化课程，包括：

1.数据安全基础

2.数据分类分级

3.数据安全风险评估

4.数据安全管理体系

5.数据全生命周期管控

痛点（切入点）：《数据安全法》第二十条规定：“国家支持教育、科研机构和企业等开展数据开发利用技术和数据安全相关教育和培训，采取多种方式培养数据开发利用技术和数据安全专业人才，促进人才交流。

客户收益：数据安全培训围绕数据安全专业能力构建，整合分析数据安全专业服务实践，基于实际项目经验，确保培训学员获取同等的数据安全专业能力。

参考依据：《数据安全法》

方案主要交付物：

专业数据安全培训课程

方案思路及落地动作：

首先需要了解和挖掘组织对数据安全培训的兴趣和需求，有无培训动机促使组织进行进一步启动培训项目，大部分组织的目标其实是想通过培训建立对数据安全的正确认识，让组织全员知悉数据安全相关原则和规范，明确数据处理各个环节的安全要求，清楚违背规范后的惩戒和罚则，培养数据安全工作中的安全意识和良好的习惯，从而整体提升组织的数据安全管理在规范和意识层面的保障力度。