終于有人把數據安全治理講明白了

01什么是數據安全治理

國際標準化組織（ISO）對計算機系統安全防護的定義是：“為數據處理系統建立和采用的技術與管理的安全保護，保護計算機硬件、軟件和數據不因偶然或惡意的原因而遭到破壞、更改或泄露。”

在Gartner 2017安全與風險管理峰會上，分析師Marc發表了題為“2017年數據安全態勢”的演講，并提及了“數據安全治理”（Data Security Governance）。Marc將其比喻為“風暴之眼”，以此來形容數據安全治理（DSG）在數據安全領域中的重要地位及作用。

Gartner對數據安全治理的基本定義是：“數據安全治理絕不僅是一套用工具組合而成的產品級解決方案，而是從決策層到技術層，從管理制度到工具支撐，自上而下、貫穿整個組織架構的完整鏈條。組織內的各個層級需要對數據安全治理的目標和宗旨達成共識，確保采取合理和適當的措施，以最有效的方式保護信息資源。” 

由此我們可以將數據安全治理理解為：確保數據的可用性、完整性和保密性所采取的各種策略、技術和活動，包括從企業戰略、企業文化、組織建設、業務流程、規章制度、技術工具等各方面提升數據安全風險應對能力的過程，控制數據安全風險或將風險帶來的影響降至最低。

數據安全策略和技術可以識別數據集信息敏感性、重要性、合規性等要求，然后應用適當的保護措施來保護這些數據資源。數據安全治理涉及多種技術、流程和實踐，以確保數據安全和防止未經授權的非法訪問。同時，數據安全治理還應專注于保護個人敏感數據，例如個人身份、聯系信息或關鍵業務知識產權。

02數據治理與數據安全治理

數據安全治理是通過制定數據安全策略和流程來保護企業數據，涉及數據、業務、安全、技術、管理等多個方面。數據安全治理是數據治理的一個子集，安全治理既可在數據治理框架下進行，也可獨立實施。安全治理與數據治理的關系如表1所示。

表1 數據治理與數據安全治理的關系

數據安全治理從戰略和戰術層面支撐數據治理的開展，通過實施安全訪問、分級分類、合規使用的數據安全策略，實現業務的目標，例如滿足法律法規要求、保護消費者隱私等。

最后，引用前阿里巴巴集團技術副總裁和首席安全專家杜躍進的一段話為本節作結：我們的世界正在進入一個奇怪的分裂狀態：一方面人們為大數據時代即將在各個領域發生的革命性進步而激動難眠，一方面人們也在為數據安全和隱私保護問題擔心得睡不著覺。圍繞大數據的創新和安全，各種政策、法律、標準、產品和學術研究表現出空前的熱情。然而眼花繚亂的聲音卻使人們陷入了混亂，陷入了數據恐慌。如果我們不能盡快找到清晰的思路，不能盡快找到方法實現圍繞大數據的發展與安全之間的平衡，我們可能喪失人類歷史上迄今為止最大的一次發展機會，或者陷入最大的安全危機。

03數據安全治理體系

數據安全治理主要是圍繞著數據安全的脆弱性，針對面臨的各種風險制定針對性的策略，將風險降至可接受的程度。在整個數據安全治理的過程中，最為重要是制定合適的數據安全策略。

企業數據安全治理體系是一個以風險和策略為基礎，以運維體系為紐帶，以技術體系為手段，將三者與數據資產基礎設施進行有機結合的整體，它貫穿于數據的整個生命周期。

如圖1所示，企業數據安全治理體系主要包含以下五部分，保證數據的全生命周期的可用性、完整性、保密性以及合規使用。

• 數據安全治理目標：重點強調安全目標與業務目標的一致性。數據安全治理的目標是保證數據的安全性，確保數據的合規使用，為業務目標的實現保駕護航。
• 數據安全管理體系：主要包括組織與人員、數據安全認責策略、數據安全管理制度等。
• 數據安全技術體系：主要包括數據全生命周期的敏感數據識別、數據分類與分級、數據訪問控制、數據安全審計等。
• 數據安全運維體系：主要包括定期稽核策略、動態防護策略、數據備份策略、數據安全培訓等。
• 數據安全基礎設施：重點強調數據所在宿主機的物理安全和網絡安全。

圖1　數據安全治理體系構成

如圖2所示，在數據安全治理體系架構中，數據安全策略是核心，數據安全管理體系是基礎，數據安全技術體系為支撐，數據安全運維體系是應用。數據安全策略通過管理體系制定，通過技術體系創建，通過安全運維體系執行。

圖2　數據安全治理各體系之間的關系

數據安全治理是數據治理的一個專項分支，其治理體系可以架構在數據治理的整體框架下，也可以單獨構建，實施數據安全的專項治理。數據安全治理是戰略層面的策略，強調在戰略、組織、政策的框架下，定義數據治理的策略，形成一種協作的秩序，讓數據安全管理從“無序”到“有序”，從“人治”到“法制”。