近年來，伴隨著大數(shù)據(jù)的迅猛發(fā)展及 ChatGPT 等生成式 AI 的發(fā)展，數(shù)字化技術(shù)的持續(xù)升級為我們帶來諸多便利，同時也引發(fā)了“數(shù)據(jù)滿天飛”，數(shù)據(jù)安全隱患加劇，數(shù)據(jù)安全事件頻發(fā)。跨國企業(yè)在中國本地化發(fā)展，建立符合中國數(shù)據(jù)安全法規(guī)的數(shù)據(jù)安全體系是重要的、必要的本地化策略之一，IBM 數(shù)據(jù)本地化方案，可以幫助跨國企業(yè)實現(xiàn)端到端的數(shù)據(jù)安全。

國外某知名社交平臺 5000 萬用戶的個人資料泄露、國外某搜索引擎平臺濫用個人信息定制廣告、國內(nèi)某出行平臺違法手段收集用戶信息等一系列事件的發(fā)生，給社會、個人帶來巨大的安全影響，也給相關(guān)企業(yè)造成高達數(shù)十億美元的經(jīng)濟損失。

數(shù)據(jù)安全日益成為公眾關(guān)注的議題，國家也在法律層面不斷完善，從而推進數(shù)據(jù)安全管理。自 2016 年以來，中國政府以《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《個人信息保護法》等數(shù)據(jù)立法為基礎(chǔ)，陸續(xù)出臺了《數(shù)據(jù)出境安全評估辦法》、《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例（征求意見稿） 》、《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法（試行） 》等配套管理條例與管理辦法。

IBM 幫助跨國企業(yè)建立端到端數(shù)據(jù)安全管理體系

近年來，IBM 幫助多個跨國公司在中國建立數(shù)據(jù)本地化安全管理體系與技術(shù)體系，打造符合本土要求的數(shù)據(jù)團隊，規(guī)避數(shù)據(jù)安全管控風(fēng)險，快速實現(xiàn)數(shù)據(jù)本地化建設(shè)。基于多年來在數(shù)據(jù)安全建設(shè)領(lǐng)域的經(jīng)驗積累，IBM 建議跨國公司在中國境內(nèi)進行數(shù)據(jù)本地化工作時，應(yīng)從如下四步開展相關(guān)工作：

1. 安全評估、疏而不漏

數(shù)據(jù)安全評估包括數(shù)據(jù)安全管理評估和數(shù)據(jù)安全技術(shù)評估，其中數(shù)據(jù)安全管理評估包括數(shù)據(jù)安全管理組織、數(shù)據(jù)安全的相關(guān)制度流程、全體員工數(shù)據(jù)安全意識評估等，數(shù)據(jù)安全技術(shù)評估包括數(shù)據(jù)分布、安全架構(gòu)、數(shù)據(jù)安全防護等，評估的數(shù)據(jù)范圍不僅包括存放在數(shù)據(jù)庫中的業(yè)務(wù)數(shù)據(jù)、分析數(shù)據(jù)等，還包括紙質(zhì)文件、圖像等。IBM 建議數(shù)據(jù)安全評估應(yīng)在數(shù)據(jù)采集、數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)處理、數(shù)據(jù)交換、數(shù)據(jù)銷毀等數(shù)據(jù)全生命周期過程進行全面分析，做到疏而不漏，最終給出全面的、真實的數(shù)據(jù)安全評估，為后續(xù)的數(shù)據(jù)安全工作提供依據(jù)。

2. 建章立制，規(guī)范管理

建立有效的安全組織與保障體系是至關(guān)重要的。首先要設(shè)立數(shù)據(jù)安全管理組織，理清權(quán)屬。數(shù)據(jù)安全管理中合理的組織設(shè)計、可落地執(zhí)行的政策制度是數(shù)據(jù)安全管理工作是否成功的基礎(chǔ)。數(shù)據(jù)安全管理組織建議劃分為三個層次，其中決策層由公司的高級管理者擔(dān)任，負責(zé)數(shù)據(jù)安全的重大決策、數(shù)據(jù)安全組織的設(shè)立、核心人員的設(shè)置等；管理層主要負責(zé)推動公司各部門數(shù)據(jù)安全工作的開展，協(xié)調(diào)各方利益；執(zhí)行層主要執(zhí)行各項具體的數(shù)據(jù)安全管理工作。借助于數(shù)據(jù)安全三層管理架構(gòu)，使數(shù)據(jù)安全工作自上而下、協(xié)調(diào)的運轉(zhuǎn)起來，最終達到數(shù)據(jù)安全管理的目的。其次是建立健全安全管理制度、流程、辦法、模板等體系，監(jiān)管數(shù)據(jù)安全策略的落地執(zhí)行情況，督促數(shù)據(jù)安全管理和技術(shù)問題的整改，保障數(shù)據(jù)安全工作有效開展。

3. 分類分級、制定策略

數(shù)據(jù)分類分級是數(shù)據(jù)合規(guī)最核心的問題，數(shù)據(jù)分類分級是數(shù)據(jù)安全管理的前提。只有對數(shù)據(jù)進行有效分類分級，針對不同數(shù)據(jù)制定不同的安全與共享策略，才能避免數(shù)據(jù)安全管控“一刀切”的控制方式，在數(shù)據(jù)安全管理上采用更加精細的措施，使數(shù)據(jù)在共享使用和安全使用之間獲得平衡。數(shù)據(jù)分類是依照數(shù)據(jù)的來源、內(nèi)容和用途對數(shù)據(jù)進行分類，數(shù)據(jù)分級是按照數(shù)據(jù)的價值、內(nèi)容的敏感程度、影響和分發(fā)范圍不同對數(shù)據(jù)進行敏感級別劃分。數(shù)據(jù)分類和分級是先后關(guān)系，先分類再分級，分類更多從業(yè)務(wù)角度，分級更多從安全角度出發(fā)，分類是橫向，分級是縱深。

4. 落地執(zhí)行、持續(xù)提升

數(shù)據(jù)安全的落地包括組織的設(shè)立、政策的落實、數(shù)據(jù)全生命周期的安全策略執(zhí)行。由于企業(yè)的業(yè)務(wù)需求隨著市場環(huán)境不斷變化，因此數(shù)據(jù)安全管理的策略及技術(shù)手段也在不斷升級，數(shù)據(jù)安全能力建設(shè)不是一勞永逸、一蹴而就的。借助 IBM 數(shù)據(jù)安全技術(shù)，緊密結(jié)合 AI 算法，主動監(jiān)測敏感，實現(xiàn)數(shù)據(jù)安全閉環(huán)管理能力，從而真正實現(xiàn)數(shù)據(jù)全生命周期安全。

IBM 在數(shù)據(jù)本地化與數(shù)據(jù)安全領(lǐng)域的成功實踐

IBM 通過為企業(yè)客戶提供數(shù)據(jù)安全現(xiàn)狀分析、數(shù)據(jù)安全風(fēng)險識別、數(shù)據(jù)安全管理體系設(shè)計與技術(shù)體系設(shè)計、數(shù)據(jù)安全方案實施落地等端到端的安全服務(wù)，幫助客戶實現(xiàn)合法合規(guī)可知、分類分級可識、使用流程可控、數(shù)據(jù)風(fēng)險可察、管控提升可見五大目標(biāo)。

以某跨國消費品公司在中國開展數(shù)據(jù)本地化為例，IBM 從數(shù)據(jù)安全管理現(xiàn)狀診斷出發(fā)，完成數(shù)據(jù)安全管理藍圖設(shè)計及實施路線規(guī)劃，最終幫助客戶建立了完善的數(shù)據(jù)安全管控體系，包括建立數(shù)據(jù)安全等級體系；設(shè)計數(shù)據(jù)安全監(jiān)控規(guī)范、用戶安全評分規(guī)范及安全應(yīng)急預(yù)案，梳理業(yè)務(wù)和管理過程中涉及的業(yè)務(wù)數(shù)據(jù)，進行敏感數(shù)據(jù)識別及安全影響評估；建立數(shù)據(jù)安全分類分級管理體系，相關(guān)制度規(guī)范、應(yīng)急流程，確保數(shù)據(jù)安全“可知”、“可識”、“可控”、“可察”、“可見”，實現(xiàn)端到端數(shù)據(jù)安全。