[[439142]]

01什么是數(shù)據(jù)安全治理

國際標準化組織(ISO)對計算機系統(tǒng)安全防護的定義是：“為數(shù)據(jù)處理系統(tǒng)建立和采用的技術(shù)與管理的安全保護，保護計算機硬件、軟件和數(shù)據(jù)不因偶然或惡意的原因而遭到破壞、更改或泄露。”

在Gartner 2017安全與風(fēng)險管理峰會上，分析師Marc發(fā)表了題為“2017年數(shù)據(jù)安全態(tài)勢”的演講，并提及了“數(shù)據(jù)安全治理”(Data Security Governance)。Marc將其比喻為“風(fēng)暴之眼”，以此來形容數(shù)據(jù)安全治理(DSG)在數(shù)據(jù)安全領(lǐng)域中的重要地位及作用。

Gartner對數(shù)據(jù)安全治理的基本定義是：“數(shù)據(jù)安全治理絕不僅是一套用工具組合而成的產(chǎn)品級解決方案，而是從決策層到技術(shù)層，從管理制度到工具支撐，自上而下、貫穿整個組織架構(gòu)的完整鏈條。組織內(nèi)的各個層級需要對數(shù)據(jù)安全治理的目標和宗旨達成共識，確保采取合理和適當?shù)拇胧?，以最有效的方式保護信息資源。”

由此我們可以將數(shù)據(jù)安全治理理解為：確保數(shù)據(jù)的可用性、完整性和保密性所采取的各種策略、技術(shù)和活動，包括從企業(yè)戰(zhàn)略、企業(yè)文化、組織建設(shè)、業(yè)務(wù)流程、規(guī)章制度、技術(shù)工具等各方面提升數(shù)據(jù)安全風(fēng)險應(yīng)對能力的過程，控制數(shù)據(jù)安全風(fēng)險或?qū)L(fēng)險帶來的影響降至最低。

數(shù)據(jù)安全策略和技術(shù)可以識別數(shù)據(jù)集信息敏感性、重要性、合規(guī)性等要求，然后應(yīng)用適當?shù)谋Ｗo措施來保護這些數(shù)據(jù)資源。數(shù)據(jù)安全治理涉及多種技術(shù)、流程和實踐，以確保數(shù)據(jù)安全和防止未經(jīng)授權(quán)的非法訪問。同時，數(shù)據(jù)安全治理還應(yīng)專注于保護個人敏感數(shù)據(jù)，例如個人身份、聯(lián)系信息或關(guān)鍵業(yè)務(wù)知識產(chǎn)權(quán)。

02數(shù)據(jù)治理與數(shù)據(jù)安全治理

數(shù)據(jù)安全治理是通過制定數(shù)據(jù)安全策略和流程來保護企業(yè)數(shù)據(jù)，涉及數(shù)據(jù)、業(yè)務(wù)、安全、技術(shù)、管理等多個方面。數(shù)據(jù)安全治理是數(shù)據(jù)治理的一個子集，安全治理既可在數(shù)據(jù)治理框架下進行，也可獨立實施。安全治理與數(shù)據(jù)治理的關(guān)系如表1所示。

表1 數(shù)據(jù)治理與數(shù)據(jù)安全治理的關(guān)系

數(shù)據(jù)安全治理從戰(zhàn)略和戰(zhàn)術(shù)層面支撐數(shù)據(jù)治理的開展，通過實施安全訪問、分級分類、合規(guī)使用的數(shù)據(jù)安全策略，實現(xiàn)業(yè)務(wù)的目標，例如滿足法律法規(guī)要求、保護消費者隱私等。

最后，引用前阿里巴巴集團技術(shù)副總裁和首席安全專家杜躍進的一段話為本節(jié)作結(jié)：我們的世界正在進入一個奇怪的分裂狀態(tài)：一方面人們?yōu)榇髷?shù)據(jù)時代即將在各個領(lǐng)域發(fā)生的革命性進步而激動難眠，一方面人們也在為數(shù)據(jù)安全和隱私保護問題擔(dān)心得睡不著覺。圍繞大數(shù)據(jù)的創(chuàng)新和安全，各種政策、法律、標準、產(chǎn)品和學(xué)術(shù)研究表現(xiàn)出空前的熱情。然而眼花繚亂的聲音卻使人們陷入了混亂，陷入了數(shù)據(jù)恐慌。如果我們不能盡快找到清晰的思路，不能盡快找到方法實現(xiàn)圍繞大數(shù)據(jù)的發(fā)展與安全之間的平衡，我們可能喪失人類歷史上迄今為止最大的一次發(fā)展機會，或者陷入最大的安全危機。

03數(shù)據(jù)安全治理體系

數(shù)據(jù)安全治理主要是圍繞著數(shù)據(jù)安全的脆弱性，針對面臨的各種風(fēng)險制定針對性的策略，將風(fēng)險降至可接受的程度。在整個數(shù)據(jù)安全治理的過程中，最為重要是制定合適的數(shù)據(jù)安全策略。

企業(yè)數(shù)據(jù)安全治理體系是一個以風(fēng)險和策略為基礎(chǔ)，以運維體系為紐帶，以技術(shù)體系為手段，將三者與數(shù)據(jù)資產(chǎn)基礎(chǔ)設(shè)施進行有機結(jié)合的整體，它貫穿于數(shù)據(jù)的整個生命周期。

如圖1所示，企業(yè)數(shù)據(jù)安全治理體系主要包含以下五部分，保證數(shù)據(jù)的全生命周期的可用性、完整性、保密性以及合規(guī)使用。

• 數(shù)據(jù)安全治理目標：重點強調(diào)安全目標與業(yè)務(wù)目標的一致性。數(shù)據(jù)安全治理的目標是保證數(shù)據(jù)的安全性，確保數(shù)據(jù)的合規(guī)使用，為業(yè)務(wù)目標的實現(xiàn)保駕護航。
• 數(shù)據(jù)安全管理體系：主要包括組織與人員、數(shù)據(jù)安全認責(zé)策略、數(shù)據(jù)安全管理制度等。
• 數(shù)據(jù)安全技術(shù)體系：主要包括數(shù)據(jù)全生命周期的敏感數(shù)據(jù)識別、數(shù)據(jù)分類與分級、數(shù)據(jù)訪問控制、數(shù)據(jù)安全審計等。
• 數(shù)據(jù)安全運維體系：主要包括定期稽核策略、動態(tài)防護策略、數(shù)據(jù)備份策略、數(shù)據(jù)安全培訓(xùn)等。
• 數(shù)據(jù)安全基礎(chǔ)設(shè)施：重點強調(diào)數(shù)據(jù)所在宿主機的物理安全和網(wǎng)絡(luò)安全。

圖1　數(shù)據(jù)安全治理體系構(gòu)成

如圖2所示，在數(shù)據(jù)安全治理體系架構(gòu)中，數(shù)據(jù)安全策略是核心，數(shù)據(jù)安全管理體系是基礎(chǔ)，數(shù)據(jù)安全技術(shù)體系為支撐，數(shù)據(jù)安全運維體系是應(yīng)用。數(shù)據(jù)安全策略通過管理體系制定，通過技術(shù)體系創(chuàng)建，通過安全運維體系執(zhí)行。

圖2　數(shù)據(jù)安全治理各體系之間的關(guān)系

數(shù)據(jù)安全治理是數(shù)據(jù)治理的一個專項分支，其治理體系可以架構(gòu)在數(shù)據(jù)治理的整體框架下，也可以單獨構(gòu)建，實施數(shù)據(jù)安全的專項治理。數(shù)據(jù)安全治理是戰(zhàn)略層面的策略，強調(diào)在戰(zhàn)略、組織、政策的框架下，定義數(shù)據(jù)治理的策略，形成一種協(xié)作的秩序，讓數(shù)據(jù)安全管理從“無序”到“有序”，從“人治”到“法制”。

關(guān)于作者：

羅小江，用友集團助理總裁、平臺和數(shù)據(jù)智能事業(yè)部總經(jīng)理、北京軟件和信息服務(wù)業(yè)協(xié)會云計算專委會副會長、中國企業(yè)財務(wù)管理協(xié)會企業(yè)風(fēng)險管控專業(yè)委員會副主任委員。

石秀峰，用友集團數(shù)據(jù)治理專家、中國電子商會數(shù)據(jù)資源服務(wù)創(chuàng)新專業(yè)委員會受聘專家、數(shù)據(jù)質(zhì)量管理智庫(DQPro)受聘專家。

彩書評 

本文摘編于《一本書講透數(shù)據(jù)治理：戰(zhàn)略、方法、工具與實踐》，經(jīng)出版方授權(quán)發(fā)布。(書號：978-7-111-69448-9)