一、理解数据安全治理
数据安全治理(Data Security Governance 简称:DSG), 主要目标是“让数据使用更安全”, 只有合理的处理好数据资产的使用与安全, 政府与企业才能在新的数据时代稳健而高速发展。围绕“让数据使用更安全”的核心目标,重点关注数据的权限和数据应用的场景,帮助企业完成数据安全治理体系的建设。数据安全治理并非单一产品或平台的构建,而是覆盖数据全部使用场景的数据安全治理 体系建设。因此,需要按步骤、分阶段的逐渐完成。数据安全治理并不是一个项目,而更像 是一项工程。为了有效实践数据安全治理,形成数据安全的闭环,我们需要一个系统化的过程完成数据安全治理的建设。
二、数据安全治理与数据防护的关系
为了更加有效地理解数据安全治理概念与数据安全防护的差异,我们可以做一个比较:
当然数据安全治理并非是要取代数据安全防护体系,而是应形成互补关系,数据安全治理是在数据安全防护体系的基础上有效地实现对数据使用人员的安全管控;数据安全治理是 在网络安全提供的有效边界防御的基础上完成对数据更深层次的安全保障。
三、数据安全治理与数据安全成熟度模型的区别
数据安全能力成熟度模型(Data Security Maturity Model 简称:DSMM), 是一套数据安 全建设中的系统化框架,是围绕数据的生命周期,并结合业务的需求以及监管法规的要求,持续不断的提升组织整体的数据安全能力,从而形成以数据为核心的安全框架。
图 1 数据安全能力成熟度模型
模型包含以下三个维度 :
1. 数据生命周期安全:围绕数据生命周期,提炼出数据环境下,以数据为中心,针对数据生命周期各阶段建立的相关数据安全过程域体系。
2. 安全能力维度:明确组织机构在各数据安全领域所需要具备的能力维度,明确为制度流程、人员能力、组织建设和技术工具四个关键能力的维度。
3. 能力成熟度等级:基于统一的分级标准,细化组织机构在各数据安全过程域的 5 个级别的能力成熟度分级要求。DSMM 模型与 DSG 理论之间既有相同,又有区别;两个安全体系都强调以数据为中心 建立系统化的数据安全治理体系,在数据安全的建设上,都不是强调唯技术论,都强调组织建设、制度流程和技术工具的综合作用。
但 DSG 和 DSMM 有以下重要区别:
1. DSG 是以数据的分类分级为核心,进行安全策略的设定;DSMM 是以数据的生命周期 为核心,寻求安全策略的覆盖;
2. DSG 体系化建议了数据使用或服务的人员的角色,根据角色对数据使用的主要场景,提供建议的安全措施,以及所要使用的安全工具;而 DSMM 更多的是提供一种评估 方法,看数据使用的过程中,企业是否定义了明确的控制措施,并无具体化的推荐;
3. 在DSG体系中,将安全体系的构建,明确归纳为安全政策的制定,技术支撑平台的建设, 安全政策执行有效性的监督,安全政策的改善这一持续循环过程;而 DSMM 对安全 成熟度进行了等级化分级,将持续改善定义为最高级别;在 DSG 的理念中,无论在 完成了多少的安全建设,持续改善都是一个标准动作。
4. DSG 并不会按照数据生命周期的阶段去完成覆盖,因为在 DSG 中并不强调数据的产 生和销毁,在 DSG 中数据的存在是一种客观事实,数据一旦存在和使用,将不断的扩散,数据无法销毁。
5. 从本质上讲, DSG 更像一种方法论, 帮助企业如何迅速构建一套行之有效的数据安全 治理体系;而 DSMM 更像一种评估方法,像一个考试,让企业或监管机构来评价企 业当前的安全建设状态。
四、数据安全治理与数据治理的区别
信息系统建设发展到一定阶段,数据资源将成为战略资产,而有效的数据治理才是数据资产形成的必要条件。数据治理是指从使用零散数据变为使用统一数据、从具有很少或没有组织和流程治理到企业范围内的综合数据治理、从尝试处理数据混乱状况到数据井井有条的一个过程。数据治理的作用就是确保企业的数据资产得到正确有效的管理,数据治理从组织架构、原则、过程和规则等方面确保数据管理的各项职能得到正确的履行。数据治理其实是一种体系,是一个关注于信息系统执行层面的体系,这一体系的目的是 整合 IT 与业务部门的知识和意见,通过一个类似于监督委员会或项目小组的虚拟组织对企 业的信息化建设进行全方位的监管,这一组织的基础是企业高层的授权和业务部门与 IT 部 门的建设性合作。从范围来讲,数据治理涵盖了从前端事务处理系统、后端业务数据库到终 端的数据分析,从源头到终端再回到源头形成一个闭环负反馈系统(控制理论中趋稳的系统)。从目的来讲,数据治理就是要对数据的获取、处理、使用进行监管(监管就是我们在执行层 面对信息系统的负反馈),而监管的职能主要通过以下五个方面的执行力来保证——发现、监督、控制、沟通、整合。从严格意义上来看,数据安全治理是数据治理中的一个过程,在今天对数据资产高度重视和个人隐私数据高度监管的年代,数据安全治理更应该是数据治理的一个重要组成部门。但从实际操作上来看,两者之间又有很大的不同:
1.从发起部门来看:数据治理主要是由 IT 部门在驱动;数据安全治理主要是由安全合 规部门在驱动。当然两者的成功都要涉及到业务、运维和管理部门甚至企业单位最高管理决策层。
2. 从目标上看:数据治理的目标是数据驱动商业发展,提升企业数据资产价值。而数据 安全治理的目标让“数据使用更安全”,保障数据的安全使用和共享,实质也是保障数据资产价值。3. 从工作内容产出上看:数据治理工作产出上,一个核心成果就是数据质量提升,通过 数据的清洗和规范的过程,获得有质量的数据。而数据安全治理的重要产出,就是以数据的分类分级为基础,完成企业对数据的合规安全访问政策和措施。4. 从数据资产梳理上看:数据治理的资产梳理的主要产出物就是元数据。元数据管理, 即赋予数据上下文和含义的参考框架。而数据安全治理中的资产梳理,要明确数据分类分级的标准,敏感数据资产的分布,敏感数据资产的访问状况和授权报告。5. 当然,在当前的数据治理中也逐渐在加大对数据安全的要求,但相对而言还属于从属组成部门,并未形成系统化;这就如同数据安全在 IT 建设中的关系一样。
