数据安全咨询服务规划方案 | 全知科技（杭州）有限责任公司

市场背景

近年来信息技术发展迅猛，大数据等新技术的不断创新和应用，数据被更多的汇集，数据的价值也被进一步并且仍在持续的开发和利用，数据对国家、公众、民生的影响也越来越大。随着国家层面对数据安全的要求日益明确，各级监管部门也纷纷在数据安全领域开展活动，各行业也陆续发布了众多数据安全标准。对企业来说，数据安全直接影响到企业业务能否正常开展。企业如何梳理自身的数据安全现状，制定数据安全目标，设立合理的发展规划，并通过管理和技术工具的落地，实现对数据安全风险的有效管控，将直接影响到企业的良性发展。

客户痛点

缺乏数据视角的安全思考

各组织或企业通常都已在传统网络安全层面开展了大量的工作，并形成了体系化的管理流程和防护技术，但这些一般都是在以边界防护为视角，基于信息系统或信息资产维度开展。但数据本身所具有的流动特性，决定了传统的网络安全在数据视角下不但会失效，还可能在需要数据价值进一步发挥的场景下起到阻碍（边界防护的方式很有可能会限制数据的流动或使用）。因此，从信息安全的惯性思维来规划或解决数据安全问题，很难理清头绪或行之有效

难以明确数据安全目标

企业内部，数据作为支撑业务正常开展的生产要素，以各种形态存在于多种载体；同时，数据伴随着企业业务的持续开展，在不断的变化，新的应用场景也在不断发展。如何在持续的变化中，梳理一条线索，将各方面因素有机结合，形成适用于企业自身特性的、可以实现的数据安全目标，也是企业所面临的困境。

实施数据安全规划时无从下手

在数据安全领域，即使企业制定了数据安全目标，也往往难以全面清晰的了解自身数据的真实现状，因为数据的分布、量级、重要程度、变化情况都远远超出了单纯管理评估所能应对的范围。在当下的企业内部，错综复杂的数据环境，应用系统间纵横交错的数据流动情况，都需要专业的技术手段支撑现状调研和评估的开展，否则数据就会像水一样，看的见，但摸不着，无从下手了解现状，也就更谈不上制定规划。

数据安全规划难以落地

要制定一份切实可行的规划，不但需要对目标的充分理解，对现状的全面掌握，还需要丰富的实施经验，对资源的合理分配等。因此需要专业深耕数据安全，有全面的数据安全技术能力，和丰富的数据安全服务经验的专业公司提供支持，否则，所制定的数据安全规划可能存在脱离现状、路线偏差、无法匹配监管要求、不能适应技术发展等一系列落地问题。

方案特色

梳理数据安全合规要求

收集、整理、归纳、总结国家法律法规、行业监管、地方政府对企业数据安全要求和指导标准，涉及数据跨境或海外业务的，结合GDPR、CCPA合规项目的实施经验，梳理海外业务数据合规要求。

了解数据安全现状

从管理和技术两方面了解客户数据安全现状，结合数据安全合规要求，分析数据安全现状，发现组织架构、管理体系、流程规范、执行落地等方面的管理问题，识别数据生命周期和数据应用场景下的数据安全技术风险。

明确数据安全目标

依据国家数据安全政策指领、行业发展动态、监管部门的政策规范及数据安全技术发展趋势等要求，从高层视角制定企业的数据安全整体目标。

设计数据安全规划

(1)   设计数据安全规划蓝图：基于对自身数据战略的分析和理解，结合自身数据管理和技术需求，研判行业发展动态与数据安全技术发展趋势对客户数据安全建设工作的影响，形成整体数据安全蓝图规划，并制定具体三年的数据安全规划阶段。
(2)   制定数据安全管理体系框架：在企业原有信息安全管理体系的基础上，扩展建设数据安全管理体系框架和管理策略，指导客户逐步细化落实数据安全管控的具体要求，通过数据安全管理体系框架，结合数据安全规划路线图，明确客户的数据安全管理的方针和策略，形成数据安全管理体系的文件架构设计。
(3)   制定数据安全技术体系框架：根据前期对数据安全现状中的技术风险项和监管技术要求项，参考标准的技术模型、行业先进经验、结合当前主流数据安全技术及产品，针对需要保护的数据资产、载体和场景，制定数据安全技术体系框架。
(4)   制定数据安全考核评价框架：依据数据安全实践、国家数据安全政策、行业监管机构与地方政府的政策规范要求，梳理数据安全必备能力点，将每一个能力点分解为与之对应的若干个评估指标项，从管理能力指标和技术能力指标两个方面细化。

细化数据安全规划项目实施路线图

细化数据安全能力建设的具体项目，明确各项目的资源需求。将单点风险控制转化为全面的、分阶段的安全规划，突出重点和资源需求，帮助企业全面、有效、持续的提升数据安全防护能力。

方案价值

满足合规要求: 符合国家、监管部门、上级主管部门的数据安全政策需求，帮助企业应对合规要求。

实施收益最大化: 基于客户当前数据安全发展现状，可以将有限资源优先用于优先级排序较高的重点工作中，从而使得工作实施收益最大化

筑牢数据护城墙: 通过提升企业整体数据安全管理和数据安全技术水平，进一步增强客户数据安全规划能力，为客户数据安全发展建设保驾护航

提升市场竞争力: 通过数据安全建设提升对业务持续保障，增强客户对数据价值安全利用的能力，提高企业市场竞争力

成功案例

某市监管机构

协助某市监管机构，针对管辖范围内的企业，制定的整体数据安全实施规划，包括：企业的数据资产调研摸底、数据安全现状调研、数据安全风险评估等工作，还包括市级数据安全管理制度的建设等政务数据管理工作。通过该咨询规划服务方案，协助监管机构落地数据安全管理相关工作，提供高效的政务咨询服务支撑。

某银行

某银行因为近期法律法规的密集发布，内部还存在一些数据安全管理的问题，期望借助第三方的专业能力，从数据安全风险评估出发，摸底行内数据安全管理的整体情况，包括：合法合规情况、数据安全管理现状、数据安全技术防护现状、业务数据使用场景安全管理现状等。

依据第三方提供的，现状风险调研报告，从管理和技术两方面，规划银行内部后续三年整体的数据安全治理体系建设方案和数据安全产品规划落地方案。通过数据安全咨询规划服务，完成整体的银行数据安全体系规划建设。

某医院

某市大型三甲医院，在该医院已有的信息安全运营方案的基础上，引入数据安全标准和能力成熟度模型，提供数据安全咨询规划服务。协助该医院，提供数据安全管理组织、数据资产管理、数据安全风险评估、数据安全管理体系建设、数据安全技术能力落地、数据安全运营等内容，梳理了涵盖该医院三年规划的数据安全体系建设方案。提供以规划咨询服务为切入口，逐步推进技术产品和运营能力落地的一站式完整解决方案。