本篇文章讲一讲企业数据治理，到底如何落地、到底怎么治？治哪里？对数据安全治理的核心(数据梳理）进行重点分析。

首先来解释一下，企业IT人员对数据治理的理解误区和认知偏差：

    01、数据安全治理的覆盖面广、流程复杂，需要标准化流程加以辅助；

    02、数据安全常与传统安全混为一谈。

那么，数据安全和传统安全到底有哪些不同呢？

数据安全治理策略：七分管理，三分技术，其中七分管理指的是最为关键的数据梳理，即企业要对企业所有使用数据进行归类、每类数据的治理流程、治理策略进行层层梳理和分析。

数据梳理概述

在整个数据安全治理的过程中，最为重要的是实现数据安全策略和流程的制定，在企业或行业内经常被作为《某某数据安全管理规范》进行落实，所有工作流程和技术支撑都是围绕着此规范来制定和实施。

那么规范的制定具体都需要哪些环节呢？

    1.梳理出组织所需要遵循的外部政策以及与数据安全管理相关的内容；

    2.根据该组织的数据价值和特征，梳理出核心数据资产，并对其分级分类；

    3.理清核心数据资产使用的状况（收集、存储、使用、流转）；

    4.分析核心数据资产面临的威胁和使用风险；

    5.明确核心数据资产访问控制的目标和访问控制流程；

    6.制订出组织对数据安全规范落实和安全风险进行定期的核查策略。

数据梳理模型

数据梳理的需求目标

围绕“ 数据安全使用” 的愿景， 数据安全治理覆盖了安全防护、 敏感信息管理、合规三大目标 ；这三个目标比我们过去以防黑客攻击和满足合规性两大安全目标，更为全面和完善。

数据梳理的核心步骤

1、数据分类定级

首先是对数据的有效理解和分析，对数据进行不同类别和密级的划分 ；根据数据的类别和密级制定不同的管理和使用原则，尽可能对数据做到有差别和针对性的防护，实现在适当安全保护下的数据自由流动。

2、数据使用分布&流转画像

在数据分级和分类后，要描述数据的特征，以及这些数据在系统内的分布，了解这些数据在被谁访问，又是如何使用和访问数据的，这就需要对企业数据使用过程中的分布、流转进行全面梳理。

3、策略制定

在数据有效梳理的基础上，需要制定出针对不同数据、不同使用者的管理控制措施；数据的管控包含数据的收集、存储、使用、分发和销毁。除了数据管控，还需要有效地对数据的访问行为进行日志记录，对收集的日志记录进行定期地合规性分析和风险分析。

4、分类分级举例

数据治理主要依据数据的来源、内容和用途对数据进行分类；按照数据的价值、内容的敏感程度、影响和分发范围不同对数据进行敏感级别划分。

图为某企业部分数据分级分类的结果

数据梳理是科学治理数据的核心，也是落地数据安全治理建设的第一步；

企业只有对数据进行有效分类后，才能够避免对数据一刀切的管理方式、避免数据的管理过度；

企业也只有对数据进行分级、分策略式的组合式精细管理，才能实现企业数据在共享使用和安全使用之间获得平衡。