数据安全治理是近两年频繁被安全厂商提起的话题,很多企业也对数据安全治理非常感兴趣,但是部分朋友还是分不清数据治理和数据安全治理,所以今天,我们单独拿出一个篇幅,好好说说数据治理与数据安全治理的区别。
1、关注点不同
数据治理:
关注于数据本身的组织,使用和传输、业务支撑等场景下的质量、规范、流程与制度等。
数据安全治理:
关注于数据在整个生命周期可用性、完整性与机密性的安全保护,以数据业务属性为始,数据的分级分类为核心,从数据存放位置为核心,建立以数据为中心的安全架构体系。
2、输出不同
数据治理的主要输出是制度、管理规章、规范等。
数据安全治理的输出包括数据的分级分类,安全使用规范,数据的可视化、监控和发现要求等,以及最终如何采用技术手段推动人员组织与流程的落地。
3、参考标准/依据不同
数据安全参考标准
· 国际标准化组织 (ISO/IEC) 38505数据治理框架
· 国际数据管理协会(CDMA)DAMA-DMBOK框架
· 国际数据治理研究所(DGI)DGI数据治理框架
· IBM数据治理委员会(IBMDGA)数据治理成熟度模型
· 中国电子工业标准化技术协会信息技术服务分会(ITSS)数据治理规范
数据安全治理参考标准
目前已成型的参考标准分别有以下两套标准,分别是:
· Gartner DSG : 数据安全治理的理念最早由Gartner正式提出,分析师将其与“风暴之眼”进行比较来形容数据安全治理(DSG)在数据安全领域中的重要性和作用。
· DGPC:微软的专门强调隐私、保密和合规的数据安全治理框架,主要围绕“人员、流程、技术”三个核心能力领域的具体控制要求展开,与现有安全框架体系或标准协调合作以实现治理目标。
4、结果不同
数据治理完成后的结果通常是业务系统的改造工作。
数据安全治理完成后的结果通常是在同一数据安全策略下选择不同的技术产品来实现数据安全保护。
5、视角不同
数据治理的视角
数据治理指利用数据驱动业务,实现企业增值。数据治理的智能化程度,决定了企业数字化转型的加速度。数据资产依赖于数据治理,而企业数据资产问题归根结底是由于企业中对外数据缺少统一而为的组织、制度、流程的管控、引起的“数据孤岛”问题。
数据治理的范畴更为全面,比如有哪些数据,分布在哪里,能不能取到,被谁使用,如何理解,数据治理如何,是否安全,价值/成本/收益如何。
数据治理本质是数字化业务的需求。
数据安全治理的视角:
Gartner提出,数据安全治理不仅仅是一套用工具组合的产品级解决方案,是从决策层到技术层,从管理制度到工具支撑,自上而下贯穿整个组织架构的完整链条。组织内的各个层级之间需要对数据安全治理的目标和宗旨取得共识,确保采取合理和适当的措施,以最有效的方式保护信息资源。
6、特征不同
数据治理的特征
数据治理并非适用于任何企业。任何企业都在使用、产生数据。如果数据是一次性使用的、数据的产生仅仅是副产品,那么数据治理就无太大意义,应用本身对相关数据进行控制就足够。
数据共享体现价值需要规范框架约束。如果数据不仅仅与特定的应用相关,还会在更大的范围内共享,特别是整个企业范围内共享,如企业的数字化转型,那么就不能任由个人或部门各行其是地处置他们的数据,数据活动需要在一个企业的规范框架约束下进行。
数据资产的安全性需要企业安全策略框架。如果数据是敏感或关键性的,那么使用、传输或存储这类的数据,会需要特别的处置,这种情况下也不能任由个人或部门各行其是,而是需要在一个企业的安全策略框架约束下进行。
企业数据治理的本质是建立/维护一组企业的“数据法规”,由这些法规来规范企业所有人员的数据活动。
因此,数据治理是一个“制度化”过程,所谓制度化是执行一个“正式批准”的体系,该体系包括明确的价值目的、必须遵从的规范和落实各治理责任的组织机构。
数据安全治理的特征
· 以人和数据为中心,专注于数据安全的生命周期安全;
· 首先通过风险与业务平衡识别,对数据进行分级分类,组织数据安全及策略体系化落地;
· 将管理、技术与流程融合,建立自动化,持续性,自适应安全体系;
· 数据安全技术与平台保障能力也非单一能力,而是体系化、协同性、综合性能力。数据安全治理即使在技术工具与平台落地阶段,也涵盖了加解密、数据防泄漏、云访问安全代理、身份认证管理、用户实体行为分析、数据库审计等不同维度的的技术矩阵,依靠单一安全厂商、产品是无法达到这种全面技术保障能力的要求的,因此数据安全治理的建立与实施一定程度上依赖于生态形成与联盟化发展。
最后我们可以总结一下,面对数据资产问题的时候,安全是其中的一个环节。数据安全治理是数据治理的一个过程,是企业数字转型中必然经历的阶段,数据安全治理可独立实施。数据安全治理是数据安全领域数据、业务、安全、技术、管理的集合。
不知以上讲解,对您理解数据安全治理是否有帮助呢?