终于有人把数据安全治理讲明白了.docx

《终于有人把数据安全治理讲明白了.docx》由会员分享，可在线阅读，更多相关《终于有人把数据安全治理讲明白了.docx（6页珍藏版）》请在第一文库网上搜索。

1、终于有人把数据安全治理讲明白了导读：数据安全治理是通过制定数据安全策略和流程来保护企业数据，涉及数据、业务、安全、技术、管理等多个方面。01什么是数据安全治理国际标准化组织（ISO）对计算机系统安全防护的定义是：为数据处理系统建立和采用的技术与管理的安全保护，保护计算机硬件、软件和数据不因偶然或恶意的原因而遭到破坏、更改或泄露。在Gartner 2017安全与风险管理峰会上，分析师Marc发表了题为“2017年数据安全态势的演讲，并提及了 数据安全治理（Data Security Governance ）。Marc将其比喻为风暴之眼，以此来形容数据安全治理（DSG ）在数据安全领域中的重要地位

2、及作用。Gartner对数据安全治理的基本定义是：数据安全治理绝不仅是一套用工具组合而成的产品级解决方案，而是从决策层到技术层，从管理制度到工具支撑，自上而下、贯穿整个组织架构的完整链条。组织内的各个层级需要对数据安全治理的目标和宗旨达成共识，确保采取合理和适当的措施，以最有效的方式保护信息资源。由此我们可以将数据安全治理理解为：确保数据的可用性、完整性和保密性所采取的各种策略、技术和活动，包括从企业战略、企业文化、组织建设、业务流程、规章制度、技术工具等各方面提升数据安全风险应对能力的过程，控制数据安全风险或将风险带来的影响降至最低。数据安全策略和技术可以识别数据集信息敏感性、重要性、合规性

3、等要求，然后应用适当的保护措施来保护这些数据资源。数据安全治理涉及多种技术、流程和实践，以确保数据安全和防止未经授权的非法访问。同时，数据安全治理还应专注于保护个人敏感数据，例如个人身份、联系信息或关键业务知识产权。02数据治理与数据安全治理数据安全治理是通过制定数据安全策略和流程来保护企业数据，涉及数据、业务、安全、技术、管理等多个方面。数据安全治理是数据治理的一个子集，安全治理既可在数据治理框架下进行，也可独立实施。安全治理与数据治理的关系如表1所示。比较维度数据治理数据安全治理实现目标数据治理的目标是通过规范:数据管理过程.提高数据质量.从而提升企业数据资产价值数据安全治理的目标是让数据

4、使用更安全.保障数据保密性.完整性、可用性.以及数据使用的安全合规性,本质上也是保障数据资产价值发起部门数据治理多为IT部门或相关业务部门（如财务部门）驱动数据安全治理一般是由安全合规部门发起的输出成果指导数据管理的各种策略和措施,例如数据治理组织、管理办法、管理流程、数据标准等完成对企业数据访问的安全策略的分级分类和对数据的合规安全访问措施.例如身份认证、统一授权、安全审计等管控力度数据治理通过数据质量进行绩效评估一旦发生数据安全事件或泄露事件，需要追究法律责任数据资产梳理数据治理的资产梳理是对企业数据资源的全面盘点,包括信息系统、数据库表以及线下的数据资产.从而形成数据资产目泉数据安全治理

5、中的资产梳理要明确数据分级分类的标准.以及敏感数据资产的分布、访何状况和授权信息数据安全治理从战略和战术层面支撑数据治理的开展，通过实施安全访问、分级分类、合规使用的数据安全策略，实现业务的目标，例如满足法律法规要求、保护消费者隐私等。最后，引用前阿里巴巴集团技术副总裁和首席安全专家杜跃进的一段话为本节作结：我们的世界正在进入一个奇怪的分裂状态：一方面人们为大数据时代即将在各个领域发生的革命性进步而激动难眠，一方面人们也在为数据安全和隐私保护问题担心得睡不着觉。围绕大数据的创新和安全，各种政策、法律、标准、产品和学术研究表现出空前的热情。然而眼花缭乱的声音却使人们陷入了混乱，陷入了数据恐慌。如

6、果我们不能尽快找到清晰的思路，不能尽快找到方法实现围绕大数据的发展与安全之间的平衡，我们可能丧失人类历史上迄今为止最大的一次发展机会，或者陷入最大的安全危机。03数据安全治理体系数据安全治理主要是围绕着数据安全的脆弱性，针对面临的各种风险制定针对性的策略，将风险降至可接受的程度。在整个数据安全治理的过程中，最为重要是制定合适的数据安全策略。企业数据安全治理体系是一个以风险和策略为基础，以运维体系为纽带，以技术体系为手段，将三者与数据资产基础设施进行有机结合的整体，它贯穿于数据的整个生命周期。如图1所示，企业数据安全治理体系主要包含以下五部分，保证数据的全生命周期的可用性、完整性、保密性以及合规

7、使用。数据安全治理标：重点强调安全目标与业务目标的一致性。数据安全治理的目标是保证数据的安全性，确保数据的合规使用，为业务目标的实现保驾护航。数据安全管理体系：主要包括组织与人员、数据安全认责策略、数据安全管理制度等。数据安全技术体系：主要包括数据全生命周期的敏感数据识别、数据分类与分级、数据访问控制、数据安全审计等。数据安全运维体系：主要包括定期稽核策略、动态防护策略、数据备份策略、数据安全培训等。数据安全基础设施：重点强调数据所在宿主机的物理安全和网络安全。数据安全治理目标敏感数据识别分类与分级访问控制安全审计数据安全管理体系数据资产数据资产分布敏感数据分布数据U/C矩阵敏感等级机密数据敏

8、感数据普通数据用户分组核心用户重要用户一般用户操作行为高危访问账户审计权限审代数据全生命周期管理数据安全运维体系图2数据安全治理各体系之间的关系数据安全技术体系数据安全基础设施图1数据安全治理体系构成如图2所示，在数据安全治理体系架构中，数据安全策略是核心，数据安全管理体系是基础，数据安全技术体系为支撑，数据安全运维体系是应用。数据安全策略通过管理体系制定，通过技术体系创建，通过安全运维体系执行。数据安全管理体系数据安全技术体系数据安全运维体系应用数据安全治理是数据治理的一个专项分支，其治理体系可以架构在数据治理的整体框架下，也可以单独构建，实施数据安全的专项治理。数据安全治理是战略层面的策略，强调在战略、组织、政策的框架下，定义数据治理的策略，形成一种协作的秩序，让数据安全管理从无序到有序，从人治到法制。