數(shù)據(jù)安全的必由之路：數(shù)據(jù)安全治理

引言：企業(yè)轉(zhuǎn)型，對(duì)中國(guó)大量成長(zhǎng)型企業(yè)而言，其轉(zhuǎn)型的過程就是完成從創(chuàng)業(yè)到成長(zhǎng)，從成熟到規(guī)范成熟的企業(yè)生命體的進(jìn)化。其本質(zhì)就是企業(yè)從單一產(chǎn)品和簡(jiǎn)單環(huán)節(jié)的低級(jí)或初級(jí)的價(jià)值創(chuàng)造狀態(tài)，向組合產(chǎn)品以及多環(huán)節(jié)整合的高級(jí)的價(jià)值創(chuàng)造狀態(tài)的轉(zhuǎn)變和進(jìn)化。這是面對(duì)市場(chǎng)經(jīng)濟(jì)的迅速發(fā)展及行業(yè)成熟規(guī)律下企業(yè)的自然行為與必然選擇。 2017年，安華金和加快從數(shù)據(jù)庫(kù)安全廠商向數(shù)據(jù)安全治理產(chǎn)品和服務(wù)提供商轉(zhuǎn)型的步伐，致力于在數(shù)據(jù)安全治理領(lǐng)域大刀闊斧，開創(chuàng)全新領(lǐng)地。

數(shù)據(jù)治理或者數(shù)據(jù)安全在大多數(shù)安全從業(yè)者的印象中是比較熟悉的概念，但數(shù)據(jù)安全治理卻似乎是個(gè)新名詞。實(shí)際上，對(duì)于擁有重要數(shù)據(jù)資產(chǎn)的企業(yè)或政府部門，在數(shù)據(jù)安全治理方面或多或少都有實(shí)踐，只是尚未系統(tǒng)化的實(shí)行。比如運(yùn)營(yíng)商行業(yè)的客戶數(shù)據(jù)安全管理規(guī)范及其落地的配套管控措施，一些政府部門的數(shù)據(jù)分級(jí)分類管理規(guī)范；在國(guó)外由Microsoft 提出的DGPC（Data Governance for Privacy Confidentiality and Compliance）框架也是專門的面向數(shù)據(jù)安全治理的管理和技術(shù)框架。接下來我們將把數(shù)據(jù)安全理念分成四篇系列文章，有側(cè)重的，相對(duì)系統(tǒng)化地加以闡述。

系列文章

1. 數(shù)據(jù)安全治理概論

2. 數(shù)據(jù)安全治理的組織和受眾

3. 數(shù)據(jù)安全治理的策略與流程

4. 數(shù)據(jù)安全治理的技術(shù)支撐框架

5.數(shù)據(jù)安全治理小結(jié)

今天這篇文章，我們通過“數(shù)據(jù)安全治理”概論對(duì)這個(gè)全新的理念做個(gè)系統(tǒng)化認(rèn)知。

愿景

數(shù)據(jù)安全治理的愿景。在這里，筆者首先要強(qiáng)調(diào)的是數(shù)據(jù)安全治理的目標(biāo)是——數(shù)據(jù)安全使用。我們不談脫離了“使用”的安全，數(shù)據(jù)存在的目的就是為了使用，如果不是基于這個(gè)前提去談安全，最終有可能產(chǎn)生無法落地的情況，或者即使落地，效果也會(huì)差強(qiáng)人意。

數(shù)據(jù)安全治理概論

數(shù)據(jù)安全治理的概念——數(shù)據(jù)安全治理是以數(shù)據(jù)的安全使用為目的的綜合管理理念。

三大需求目標(biāo)：

滿足數(shù)據(jù)安全保護(hù)（ Protection）

敏感數(shù)據(jù)管理（Sensitive）

合規(guī)性（ Compliance）

四大重要環(huán)節(jié)：

數(shù)據(jù)的分類（ Classify)

梳理（ Understand）

管控（ Control）

和審計(jì)（ Audit）

三大核心實(shí)現(xiàn)框架：

數(shù)據(jù)安全人員組織（Person)

數(shù)據(jù)安全使用的策略和流程（ Policy & Process）

數(shù)據(jù)安全技術(shù)支撐（Tech）

數(shù)據(jù)安全治理理念框架

數(shù)據(jù)安全治理的需求目標(biāo)

圍繞“ 數(shù)據(jù)安全使用” 的愿景， 數(shù)據(jù)安全治理覆蓋了安全防護(hù)、 敏感信息管理、合規(guī)三大目標(biāo) ；這三個(gè)目標(biāo)比我們過去以防黑客攻擊和滿足合規(guī)性兩大安全目標(biāo)，更為全面和完善。經(jīng)過二十多年信息化和互聯(lián)網(wǎng)經(jīng)濟(jì)的發(fā)展，數(shù)據(jù)成為繼現(xiàn)金和技術(shù)之后又一核心價(jià)值資產(chǎn)；數(shù)據(jù)黑產(chǎn)在過去十年里蓬勃發(fā)展，讓每個(gè)人、每個(gè)企業(yè)和國(guó)家的數(shù)據(jù)面臨著巨大威脅；只有合理地處理好數(shù)據(jù)資產(chǎn)的使用與安全，企業(yè)與國(guó)家才能在新的數(shù)據(jù)時(shí)代穩(wěn)健而高速發(fā)展。對(duì)于敏感數(shù)據(jù)的安全管理和使用，是數(shù)據(jù)安全治理的核心主題。

數(shù)據(jù)安全治理的核心內(nèi)容

數(shù)據(jù)安全治理的核心內(nèi)容，首先是來自對(duì)數(shù)據(jù)的有效理解和分析，對(duì)數(shù)據(jù)進(jìn)行不同類別和密級(jí)的劃分 ；根據(jù)數(shù)據(jù)的類別和密級(jí)制定不同的管理和使用原則，盡可能對(duì)數(shù)據(jù)做到有差別和針對(duì)性的防護(hù)，實(shí)現(xiàn)在適當(dāng)安全保護(hù)下的數(shù)據(jù)自由流動(dòng)。

在數(shù)據(jù)分級(jí)和分類后，重要的是要描述數(shù)據(jù)的特征，以及這些數(shù)據(jù)在系統(tǒng)內(nèi)的分布，了解這些數(shù)據(jù)在被誰訪問，這些人是如何使用和訪問數(shù)據(jù)的，這就需要完整的數(shù)據(jù)梳理過程。

在數(shù)據(jù)有效梳理的基礎(chǔ)上，我們需要制定出針對(duì)不同數(shù)據(jù)、不同使用者的管理控制措施 ；數(shù)據(jù)的管控包含數(shù)據(jù)的收集、存儲(chǔ)、使用、分發(fā)和銷毀。除了數(shù)據(jù)管控，我們還需要有效地對(duì)數(shù)據(jù)的訪問行為進(jìn)行日志記錄，對(duì)收集的日志記錄進(jìn)行定期地合規(guī)性分析和風(fēng)險(xiǎn)分析。

數(shù)據(jù)安全治理的治理框架

在數(shù)據(jù)安全治理中，首要任務(wù)是成立專門的安全治理團(tuán)隊(duì)，保證數(shù)據(jù)安全治理工作能夠長(zhǎng)期持續(xù)的得以執(zhí)行。同時(shí)數(shù)據(jù)安全治理要明確數(shù)據(jù)治理相關(guān)的工作部門和角色（受眾），使數(shù)據(jù)治理工作能夠有的放矢。

數(shù)據(jù)安全治理的策略和流程，要以文件的形式明確企業(yè)（組織）內(nèi)部的敏感數(shù)據(jù)有哪些，敏感數(shù)據(jù)進(jìn)行分類和分級(jí)，對(duì)不同類別和級(jí)別的敏感數(shù)據(jù)的管理控制原則，不同的工作部門和角色所具有的權(quán)限，數(shù)據(jù)使用的不同環(huán)節(jié)所要遵循的控制流程。

數(shù)據(jù)安全治理的技術(shù)支撐，是要明確在管理控制過程中，采用什么樣的技術(shù)手段幫助實(shí)現(xiàn)數(shù)據(jù)的安全管理過程；這些技術(shù)手段可以包括數(shù)據(jù)的梳理、數(shù)據(jù)的訪問控制、數(shù)據(jù)的保護(hù)、數(shù)據(jù)的脫敏和分發(fā)、數(shù)據(jù)的審計(jì)、數(shù)據(jù)訪問的風(fēng)險(xiǎn)分析。

數(shù)據(jù)安全治理與傳統(tǒng)安全概念的差異

為了更加有效地理解數(shù)據(jù)安全治理概念與傳統(tǒng)數(shù)據(jù)安全的差異，我們可以與傳統(tǒng)安全理念進(jìn)行一個(gè)比較：

數(shù)據(jù)安全治理與傳統(tǒng)安全的差異對(duì)比

在整個(gè)數(shù)據(jù)安全治理理念中，在組織保障方面首先需要成立數(shù)據(jù)安全治理的組織機(jī)構(gòu)，確保數(shù)據(jù)安全治理工作在組織內(nèi)能真正地落地。下一篇文章，我們將重點(diǎn)對(duì)數(shù)據(jù)安全治理的組織與受眾進(jìn)行重點(diǎn)闡述。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。