小安培说：今天要给大家介绍的是CCRC-DSA数据安全评估师首批持证学员陈敏敏同学，以下是来自陈敏敏的分享，让我们来听听她的故事。

　　DSA数据安全评估师学习背景

　　近年来，云计算、大数据、AI等技术的加速发展，数据已成为互联网时代的重要基石，成功渗透到每一个行业，成为重要的生产要素，但随之而来的数据安全问题正在面临着诸多严峻挑战。随着《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》等相关法律法规的发布和实施，国家数据安全相关要求和标准也在不断丰富，数据安全成为国家、社会发展面临的重要议题。全社会对个人信息保护和数据安全的关注度日益提高。

　　今年8月底，我参加了CCRC-DSA数据安全评估师考试并获得了首批数据安全评估师证书，备考期间紧张而又充实的学习让我受益匪浅。之前工作中，我也接触过数据安全相关的知识，但是对数据安全相关标准、数据合规等概念却还是很模糊。通过本次备考和学习，在老师的讲解下以及同学激烈的讨论中，我对数据安全有了更深的了解，也更加深刻的认识到数据安全的重要性。学习数据安全相关的知识，刻不容缓。各个行业都涉及数据安全的问题，都急需培养数据安全领域的人才。

　　在网络安全行业工作多年，我也经常和客户聊起数据安全相关话题，虽然各种数据安全相关的法律、法规以及相关要求和标准都在不断的完善，相关主管部门也陆续加强了对各单位数据安全管理落实情况的检查，但大部分单位对数据安全治理感觉无从下手。以医疗行业为例，这些年，由于疫情的影响以及互联网的发展，医疗行业也迎来了“互联网+医疗”时代，医疗领域的数字化发展十分迅速，医疗数字化已经深入到医院信息化管理、远程问诊、互联网医院、智慧医疗等各个卫生健康领域。医疗数据资源呈现多元化、海量、多层级的特点，管理起来过于复杂。同时数据泄露行为无法阻止，泄露后难易觉察。

　　医疗信息的安全威胁

　　医疗行业目前重点仍然围绕等级保护建设为主，不过整个行业关于数据安全的理念正在发生改变。加上监管单位对行业的监管要求，医疗行业正在逐步认识到数据分类、分级对数据安全保障的重要性，但整体来说，目前医疗行业仍存在一些问题：

　　(1)技术人员缺失

　　医疗信息化业务、系统、软硬件数量非常庞大，而技术人员相对又较少，技术人员中专职的安全人员及数据安全管理运营人员更为稀缺，大部分技术人员重点以处理系统软件问题、业务正常运行问题为主，在信息安全方面人员数量以及处理信息安全方面人员的专业技能严重不足。

　　(2)管理手段不足，数据保护能力薄弱

　　医疗行业业务系统及安全运维基本都由第三方供应商的开发、运维人员进行维护。而第三方人员对于网络安全、数据安全的认识以及能力层次不齐，安全意识缺失，同时部分医院在运维时也会出现第三方远程到内网开展运维。医院对第三方的管控缺失，自有人员能力不足，导致风险不断外延。

　　(3)解决方案成熟度不高

　　虽然医疗行业正在逐步认识到数据分类、分级对数据安全保障的重要性，对于数据安全管理的理念也正在改变。但整体对数据安全的意识和保护能力比较薄弱，能够落地实施的数据安全管理制度缺失。不少信息安全管理人员认为应用系统在内网环境，数据泄露的风险较低，从而忽略了内部应用的安全防护。内部应用系统几乎没有安全防护能力。医疗数据存在内容及类型多样、结构复杂的特点，加大了数据梳理、分级分类的难度，尤其针对大数据分析模式下，对裸数据的授权管理保护更为困难。对类型多样、数据庞大、结构复杂的数据进行脱敏和匿名化存处理、加密存储和传输仍存在技术难点，而服务和产品供应商对数据安全的解决方案成熟度也不高，对医疗数据安全管理、数据治理带来了极大地挑战。

　　提高数据安全保护意识

　　个人认为医疗行业对数据安全发展一定要提高数据安全保护意识，深化思想认识。数据是国家基础性战略资源和关键生产要素，医疗行业关系国计民生，医疗数据一旦遭到篡改、破坏和泄露，势必造成对个人、组织、社会公共利益甚至国家利益的严重威胁和损害。在云计算、大数据、物联网、区块链、人工智能等新技术的推动下，医疗卫生行业信息化建设飞速发展，面对“互联网 + 医疗健康”新服务模式的构建，智慧医疗的发展进程加速，全行业、全产业链需要进一步提高政治站位、统一思想，充分认识到做好医疗行业数据安全保障工作的重要性和紧迫度，更加考虑合法合规、共享方式、数据使用权限、安全风险和争议责任等问题，切实加强数据安全保护，更好地贯彻落实总体国家安全观，支撑构建医疗行业网络数据安全新格局。

　　加强数据安全体系建设

　　目前大多数单位还是以传统的安全管理体系用于数据安全管理，但实际已远远不能满足要求。数据安全的本质是对于数据安全风险的防范。在数据安全技术体系之上，需要有管理体系来保证技术体系的实施和运行，同时对相关人员进行管理，达到防范数据安全风险的目的。在明确人员的具体职责与分工的同时，重视数据安全人才培养等方面的管理工作。但是目前，大部分单位和组织的数据安全管理制度尚不完善，难以适应数据安全管理的新形势与新要求。在《数据安全法》第二十七条开展数据处理活动应当依照法律、法规的规定，建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全。利用互联网等信息网络开展数据处理活动，应当在网络安全等级保护制度的基础上，履行上述数据安全保护义务。第三十九条　国家机关应当依照法律、行政法规的规定，建立健全数据安全管理制度，落实数据安全保护责任，保障政务数据安全。数据安全管理体系建设流程可以帮助组织系统性地分析和优化各项数据安全管理中存在的问题。深入了解当前制度、业务的现状，在专业人员指导下进行制度架构的搭建，完成初步管理体系制度。通过试运行，收集意见及试行过程中的难点，持续完善相关内容，直到形成标准的管理制度。制度落地后，也需要持续完善，形成长效机制。

　　加大人才的培养

　　数据安全管理是在数据的全生命周期各个阶段采取相应的安全防护措施，并进行安全运维，以确保业务和数据安全保持在预定的安全等级。数据安全对人才的能力要求很强。医疗行业自身要加大数据安全人才队伍的扩充，加快数据安全人才培养，注重数据安全人才的培养。

　　写在最后

　　我觉得不管网络安全也好、数据安全也好，各行业除了通过第三方测评机构对系统测评来确认系统当前的安全现状外，最主要的还是行业内相关领域的人才培养。数字经济时代，只有自己人有更专业的知识水平，才能保证自身系统的安全、数据安全以及合规性。每个企业都应该有自己的数据安全官以提升企业数据安全整体能力。在当前数据安全相关的标准、要求层出不穷的形式下，更需要我们静下心来研究。

　　很荣幸能够取得CCRC-DSA数据安全评估师证书。在备考期间，我参加了CCRC-DSA培训，培训过程中各位老师在课程中围绕数据安全基本情况、数据安全认证法律背景及国内外认证介绍以及相关的标准、体系图谱介绍。尤其在对标准规范解读时，标准里短短的几行字，老师展开讲了好多内容，结合老师工作中的实战经验，内容丰富生动，满满的都是干货。也发现参加培训的同学都是个个都是精英。本次参加培训的学员分成4个小组，每个小组在讨论中都展现出让人羡慕的自信和知识积累，面对老师提出的问题，从容自信、侃侃而谈。也有很多同学就自己企业在数据安全管理中遇到的问题积极咨询老师，老师也给出了中肯的答案，我们也从中学到了很多。通过这次学习，也加深了我对数据安全研究的兴趣，在以后希望自己能有更多的机会参加这样的培训，能够听到更多行业内的专家的讲课，并将自己学到的知识运用到工作中。

     如果想要咨询CCRC-DSA的内容，可以咨询赛虎学院客服进行咨询，