5.3 敏感重要数据分布情况底数不清（A）

在当今的互联网企业中，借助数据驱动决策已成为优化市场运营活动、提升产品质量的常态。与此同时，传统企业亦在近年逐渐接受并推广“数据驱动”的理念，大部分组织正致力于数字化转型，并设立了专门的数据安全管理部门。鉴于数据在企业决策中占据的举足轻重的地位，有必要深入探究其数量、分布、来源、存储、处理等方面的情况。

一个企业的数据库系统，少则有几千张、多则有几万张甚至更多数据表格。将各个数据库系统进行统计，所拥有的数据信息可能达到几亿条，甚至几十亿条、上百亿条。敏感重要数据分布情况底数不清，意味着对数据处理活动的风险无法准确评估，也就难以有针对性地进行数据的分类分级保护。

企业数据库系统库表示意如图5-3所示。

在各行各业数据处理实践当中，造成上述问题最常见的原因是，低估了敏感重要数据分布的广泛性。一方面，部分业务类型的数据敏感性没有被客观认知。例如，个人身份信息、生物特征信息、财产信息、地址信息等容易得到重视，被标记为敏感数据；而在某些特定背景下，同样应该被标记为敏感重要数据的，如人员的身高、体重、生日、某些行为的时间信息、物品要素信息等数据，却往往被忽略。另一方面，“敏感重要数据”的界定是动态的，不同的数据获取方式将会影响同类数据的敏感级别判定结果。

业务数据分散在各个数据库系统中。一个企业的应用软件可能涉及多个提供商，很多企业实际使用着多达上百个数据库，而在本就庞杂的数据存储环境中又有不断新增的业务数据。如果不进行详细的摸查并完整记录敏感数据的分布情况，那么可能导致敏感数据暴露。

综上所述，为了避免敏感数据暴露或失窃的情况发生，需要对所有的敏感重要数据的分布情况摸查清楚、完整记录并进行持续关注和保护。 TDhKeyxZRe/LdbGqFEQ/hDYVWA+7AZ5irViC0dmE5r1uyhUZtAsKmBsnYdq54vyW