在資料安全治理過程中，資料資產的梳理是關鍵的一步，只有明確資料資產在被哪些部門、哪些人員如何使用，才能真正保證資料在使用中的安全。

資料使用部門和角色梳理

在資料資產的梳理中，需要明確這些資料如何被儲存，需要明確資料被哪些部門、系統、人員使用，資料被這些部門、系統和人員如何使用。對於資料的儲存和系統的使用，往往需要通過自動化的工具進行；而對於部門和人員的角色梳理，更多是要在管理規範檔案中體現。

對於資料資產使用角色的梳理，關鍵是要明確在資料安全治理中不同受眾的分工、權利和職責。

組織與職責，明確安全管理相關部門的角色和責任，一般包括：

安全管理部門：制度制定、安全檢查、技術匯入、事件監控與處理；

業務部門：業務人員安全管理、業務人員行為審計、業務合作方管理；

運維部門：運維人員行為規範與管理、運維行為審計、運維第三方管理；

其它：第三方外包、人事、採購、審計等部門管理。

對於資料治理的角色與分工，需要明確關鍵部門內不同角色的職責，一般包括：

安全管理部門：政策制定者、檢查與審計管理、技術匯入者

業務部門：根據單位的業務職能劃分

運維部門：執行維護、開發測試、生產支撐

資料的儲存與分佈梳理

敏感資料分佈在哪裡，是實現管控的關鍵。

只有清楚敏感資料分佈在哪裡，才能知道需要實現怎樣的管控策略；比如，針對資料庫這個層面，掌握資料分佈在哪個庫、什麼樣的庫，才能知道對該庫的運維人員實現怎樣樣的管控措施；對該庫的資料匯出實現怎樣的模糊化策略；對該庫資料的儲存實現怎樣的加密要求。

資料的使用狀況梳理

在清楚了資料的儲存分佈的基礎上，還需要掌握資料被什麼業務系統訪問。只有明確了資料被什麼業務系統訪問，才能更準確地制訂這些業務系統的工作人員對敏感資料訪問的許可權策略和管控措施。

某運營商對敏感系統分佈的梳理結果

以運營商行業上述梳理結果為例，這僅僅是一個數據梳理的基礎，更重要的是要梳理出不同的業務系統對這些敏感資訊訪問的基本特徵，如訪問的時間、IP、訪問的次數、操作行為型別、資料操作批量行為等，在這些基本特徵的基礎上，完成資料管控策略的制訂。最終實現對於敏感資料資產的安全管控，從而保障資料在使用中的安全。