數據安全性是指在數據輸入，處理，統計或打印過程中，如何有效地防止由于硬件故障，電源故障，崩潰，人為誤操作，程序缺陷，病毒或黑客而造成的數據庫損壞或數據丟失。合格的人員或操作員可能無法讀取某些敏感或機密數據，從而導致數據泄漏和其他后果。那么數據安全運營的工作方法是什么？本位主要總結了5個方面，即目標設定、技術手段、持續運營、效果驗證、論與業務關系。

　　數據安全運營的工作方法是什么？

　　1. 目標設定

· 起步階段，找業界同行Top1-2家公司這方面的目標設定作為參考，根據不同業務、數據安全的發展階段，設定目標；

· 發展階段，對比自己的歷史數據，參考業界指標，設定目標；

· 特殊時期的階段性目標，如疫情期間數據安全目標的設定。

　　2. 技術手段

　　數據全生命周期管理

數據采集→前臺業務處理→數據儲存→訪問和維護→后臺數據分析→展示和使用→共享和再分發→數據營銷

這里暫不涉及具體數據安全措施在業務的建設內容，這些措施在不同行業、公司文化、及業務不同發展階段的建設方向和次第需要講究和考量的。

　　3. 持續運營

基礎工作：數據分類分級、數據標簽；建立資產庫和資產大盤，掌握數據資產在業務的分布、風險狀態；權限管理、關鍵業務日志等；

如數據在收集階段的涉敏資產發現服務；數據在存儲中的掃描服務、加密存儲服務；數據在使用過程中的文件分發平臺等，這些基礎能力的建設堅持對標業界，避免走彎路的同時提升效率；

風險評估：一般通過事件發生概率與影響來評估風險值，這也是很多咨詢類公司的常見做法，或者套用DREAD模型的計算方式：等級=危害性+復現難度+利用難度+受影響用戶+發現難度來進行數據安全風險評估，這些方法的使用無可厚非，其最終能與業務達成一致的風險認知很關鍵。

　　風險識別：在基礎工作上利用多維度數據進行風險行為分析，如UEBA。

風險場景識別，除了運營同學深入業務比業務還要了解業務外、還可以將特征數據進行重組或進一步深挖數據，進而發現新風險、另外一個就是內外部情報數據。

在風險管控過程中 逐步建立工具和平臺，實現自動化，如建設UEBA平臺、安全運營平臺（SOAR-安全編排、自動化及響應）。

這里假設來自上級的靈魂拷問：你的地盤還有沒有不在視野范圍內的數據安全風險？嘗試界定數據安全邊界并關注核心風險，如數據泄露、人員舞弊，加上資源總是稀缺的，即主要風險應該都在視野內。

　　安全治理：兩種自上而下的推進方法

單純的自上而下，本質上利用權力來威懾業務達到安全目的，通常效果有了也隱藏了業務的怨言。

利益共同體式的自上而下，即通過聯合作戰項目安全牽頭發起、業務主導共同推進安全治理并共享成果。這也是自上而下的模式，其實這種是需要更強的組織機制來保障的。

技術上實操上結合數據全生命周期管理過程中涉及到的安全措施，可以聯合業務方、或安全自研或采購工具進行治理，如水印服務、數據加密、漏洞掃描、BC端涉敏根服務調用鏈治理等，通過有序的治理工作，有時候會獲得較好的安全回報，如風險收斂、勾搭上業務MM又熟悉業務了。

業務賦能：數據賦能，對業務輸出高質量數據，支持業務決策發展，安全能力賦能業務方，從服務業務方變成業務的安全伙伴，給業務以力量，自己也硬氣了。

　　4. 效果驗證

通過數據指標量化驗證，數據指標變化應與采取措施的預期一致，我們對某個指標采取了措施，一種情況是觀察一段時間后對指標沒有影響，很可能是我們沒有找到根因，另一種情況可能是采取的多種措施對指標都有正向影響，此時我們需要選擇一個性價比最高的措施，考慮ROI。

　　5. 論與業務關系

安全運營離不開業務這個衣食父母，要有服務意識，這是基礎，但在筆者看來，怎么向業務闡述清楚業務面臨的數據安全風險更為關鍵，這也是運營的基本功之一吧，如果能與業務就風險達成一致的認知，以覆蓋率、收斂為目標的安全措施、治理項目就更多的變成在業務側怎么協調資源、排期的執行層面的問題了。

在運營的過程中，除了業務外，兄弟團隊如HR、合規、內控等也是數據安全運營要協作的，其實大家目標都是一致的，在實際工作中明確各自的主戰場并建立協同作戰機制，如內部人員舞弊需要數據運營團隊的數據支持與合規團隊的情報線索、線下調查結合才能打一個漂亮的組合拳。

上述就是關于數據安全運營的工作方法是什么的全部內容介紹，想了解更多關于數據安全運營的信息，請繼續關注中培偉業。