觀點 | 數據治理與數據安全治理思考 - 網安 - 專業的網絡安全產業、社區、知識平臺

大數據經過多年發展，在不同的業務場景下得到深入應用，在企業提升經營目標、促進經營決策，以及通過大數據應用促進經濟發展、優化民生工程、解決生活服務便捷等場景起到了重要作用。特別是十九屆四中全會史無前例的將“數據”作為新型生產要素參與收益分配，一時間，各指導部門及高校、研究及咨詢機構、行業企業紛紛開始研究和實踐數據有效利用的數字化轉型探索。通過數據的有效利用，實現數字化轉型，加快數字化發展，成為整個社會共識。

數據治理作為基礎性工作和第一步，受到高度重視。數據的確權、數據質量、數據跨境流通、數據開放與共享、數據交易、數據安全等等，如何做好數據治理工作成為數字化轉型的新一個挑戰。數據治理的最終目標是提升數據的價值，數據治理非常必要，是企業實現數字戰略的基礎，它是一個管理體系，包括組織、制度、流程、工具。

數據治理

數據治理（Data Governance）是組織中涉及數據使用的一整套管理行為，包括數據治理計劃、監控、實施。由企業數據治理部門發起并推行，關于如何制定和實施針對整個企業內部數據的商業應用和技術管理的一系列政策和流程。

國際數據治理研究所（DGI）給出的定義：數據治理是一個通過一系列信息相關的過程來實現決策權和職責分工的系統，這些過程按照達成共識的模型來執行，該模型描述了誰（Who）能根據什么信息，在什么時間（When）和情況（Where）下，用什么方法（How），采取什么行動（What）。而在GB/T 34960.5-2018《信息技術服務治理第5部分：數據治理規范》國家標準中，明確數據治理是數據資源及其應用過程中相關管控活動、績效和風險管理的集合。

治理通常理解是企業組織管理層進行建立體系化、系統化的決策、指導和監督原則的高階指導管理過程，事實上實踐中很多人偏狹義的理解數據治理，常常與數據管理等同看待。

在DAMA數據管理知識體系指南和DCMM中都包含了數據治理的內容。國際數據管理協會（DAMA）給出的定義：數據治理是對數據資產管理行使權力和控制的活動集合。是各類數據管理的核心，指導所有數據管理功能的執行。在《GB/T 36073-2018 數據管理能力成熟度評估模型》（DCMM）里，對數據管理能力的定義為：組織和機構對數據進行管理和應用的能力。其能力域包括數據戰略、數據治理、數據架構、數據應用、數據安全、數據質量、數據標準、數據生命周期。從這8個能力域來看與數據治理需要的工具類似，因此我們在某一個層面上，可以DCMM為標準來進行數據治理的工作開展，或者認同DCMM作為現階段數據治理的指導，不必深究數據治理與數據管理的差異化。

在《數據治理工具圖譜研究報告》中描述數據治理的目標是提升數據價值，是組織推動戰略落實的基礎，它由管理體系和技術體系共同組成，包括組織、制度、流程、技術及支撐工具等。

數據治理的三個目標？

在數字化轉型中，單單從經營業務及其相關數據利用方面來看（不考慮企業內部運營的數據），數據治理要實現以下三個目標

“數字”：數字化要做好，數據采集自動化，數據存儲結構化，數據運用在線化。其前提是有完整的信息化建設基礎，有數據采集的能力。
“數智”：數智化就是數據智能，大數據的目標是為了找到關心的小數據，關鍵數據，而不是為了收藏數據，需要考數據科學挖掘，包括算法、模型分析、人工智能…
“數治”：數治化是數字治理結合業務場景和管理要素的落地和見效，結合產業和業務場景的決策治理，優化結構，提升效果。

數據安全治理

Gartner提出的數據安全治理框架認為數據安全治理不能僅是一套集成了各類數據安全工具的產品解決方案，而是需要從上而下貫穿整個組織架構，覆蓋組織的全體人員，形成組織全員對數據安全治理目標的一致共識，并采取適當的管理和技術措施，有效地保護組織數據的全生命周期安全。

微軟的DGPC數據安全治理框架認為數據安全治理需圍繞人員、流程和技術三個核心領域展開，與現有安全框架（通常意義上現有的安全管理體系的融合）協同合作以實現隱私、保密和合規的安全治理目標。

數據安全能力成熟度模型認為“組織應關注數據的流轉情況，將視角從數據本身擴展到其生命周期的各個階段，使用一套以數據為核心的、圍繞數據全生命周期構建的模型來指導其建立、持續改進并依此評價其數據安全能力”。

總體而言，數據安全治理的核心內涵包括從戰略層面形成由上而下貫穿組織總體架構的對數據安全治理目標的共識，關注數據處理全生命周期安全，重視管理與技術措施并舉，并能夠根據安全形勢、技術發展和演進趨勢等的動態變化，對數據安全治理體系進行持續優化。組織在規劃和開展數據安全治理工作時，需要依據數據安全治理的核心理念，從數據安全戰略、管理機制和技術手段多方面建設數據安全治理能力。（數據安全復合治理與時間白皮書）

不同之處

→視角不同

數據治理的視角：

數據治理指利用數據驅動業務，實現企業增值。數據治理的智能化程度，決定了企業數字化轉型的加速度。數據資產依賴于數據治理，而企業數據資產問題歸根結底是由于企業中對外數據缺少統一而為的組織、制度、流程的管控、引起的“數據孤島”問題。

數據治理的范疇更為全面，比如有哪些數據，分布在哪里，能不能取到，被誰使用，如何理解，數據治理如何，是否安全，價值/成本/收益如何。

數據治理本質是數字化業務的需求。

數據安全治理的視角：

Gartner提出，數據安全治理不僅僅是一套用工具組合的產品解決方案，是從決策層到技術層，從管理制度到工具支撐，自上而下貫穿整個組織架構的完整鏈條。組織內的各個層級之間需要對數據安全治理的目標和宗旨取得共識，確保采取合理和適當的措施，以最有效的方式保護信息資源。

→結果不同

數據治理完成后的結果是完成數據模型訓練、得到數據決策結果或者新的業務調整方向，通常是需要面臨著對業務系統的改造或調整工作。

數據安全治理完成后的結果通常是在同一數據安全策略下，選擇不同的技術產品、流程機制來實現針對數據池安全保護。

→關注點不同

數據治理：

關注于數據本身的組織，使用和傳輸、業務支撐等場景下的質量、規范、流程與制度等。

數據安全治理：

關注于數據在整個生命周期可用性、完整性與機密性的安全保護，以數據業務屬性為始，數據的分級分類為核心，從數據存放位置為核心，建立以數據為中心的安全架構體系。

→輸出不同

數據治理的主要輸出是制度、管理規章、規范、治理標準、數據指標體系等。

數據安全治理的輸出包括數據的分級分類，安全使用規范，數據的可視化、監控和發現要求等，以及最終如何采用技術手段推動人員組織與流程的落地。

因此，可以看出數據治理是企業為實現數字化轉型戰略，提升數據的利用價值，對數據資源進行開發和應用的一系列治理活動，側重數據的有效利用。而數據安全治理是數據治理的一個過程，是企業數字化轉型進行數據治理中必經階段，數據安全治理是否可以獨立實施還有待詳細討論，數據安全治理是以保護數據的生命周期安全，需要的一系列管理和技術支撐，是數據安全領域數據、業務、安全、技術、管理的應用集合。

落地實踐的五個重要認知

方法論有所不同，而在落地實踐中，數據治理與數據安全治理的共同之處暫且毛估估有以下幾點：

跨區協同：數據治理不單單視為一個技術項目，治理方案需要靈活調整、各部門協同，需要涉及公司組織政策和制度流程、技術措施、工具平臺等內容。
業務共識：不能忽視與領導層及業務方的高效溝通，由下向上推動數據治理，困難重重，阻力不可預知，同時需要與業務層達成一致的目標，把數據相關干系人納入數據治理流程。數據治理是為提升業務或者數據開放需求而生的，而數據安全治理是為了更好的保障數據治理的安全方針的有效落地和安全目標的實現。在推進過程中，都可能涉及到業務系統的改造、數據處理的流程變更等等，甚至需要滿足市場法務合規的需求。
數據合規：數據合規是不可逾越的紅線，不重視各種法律法規和條例規范，會失去數據安全保護透明度和公眾的信任，將整個數據治理或經營業務置于違規風險的不利地位。
基礎建設：需要足夠的底層技術能力支撐，沒有完善的信息化建設，談不上數字化轉型實踐，需要大量基礎技術能力，IT基礎設施、數據中臺、數據開發、云業務遷移、數字化轉型等，沒有底層管理能力和技術的充分準備，數據治理策略將難以推動，令團隊處于被動地位。
體系融合：數據治理和數據安全都需要組織人員，管理制度到技術平臺工具的支撐，而數據安全治理不可能重建一套安全體系，建設初期也沒有額外資源另建一套數據管理體系（組織/人員/制度），需要納入到現有的管理體系之中，借助原有的管理流程，相互借鑒與融合，比如組織架構、安全培訓、管理流程。

數據安全治理的理念，首先需要成立數據安全治理的組織機構，確保數據安全治理工作在組織內能真正地落地；其次，完成數據安全治理的策略性文件和系列落地文件；再次，通過系列的數據安全技術支撐系統應對挑戰，確保數據安全管理規定有效落地。

最佳實施路徑是在數據治理建設方案框架下，同步規劃建設實施數據安全治理。在現階段多數中小企業數據中臺或數據治理仍在建設中的情形下，根據數據治理的側重點不同，在數據治理過程中實施數據安全治理的比重或階段各不相同，甚至不包含數據安全治理。

數據安全治理除了組織管理和流程機制層面的設置，更多依賴安全管理平臺系統或落地技術措施，涵蓋API管理、數據存儲備份、數據加解密、數據防泄漏、身份認證與訪問控制、數字水印、隱私計算、數據脫敏、數據操作行為審計、數據刪除等安全技術，依靠單一技術只能解決單一或部分問題，因此數據安全治理的建立與實施，一定程度上依賴多樣化的成熟技術組合，不斷建設形成全面的解決方案。

→數據安全與網絡安全

數據安全法中關于數據開發利用與安全保護的論述，證明數據安全是與數據利用同等重要的地位，業務發展與安全并架而行，數據安全的核心是安全和合規。而傳統網絡安全（非CyberSecurity）核心是保障基礎網絡和存儲數據的安全。

看待視角不一致，網絡安全，以保障基礎通信網絡和關鍵信息基礎設施可用，保障業務連續、有效防御外界攻擊為目標；數據安全以業務和數據的安全使用為目標。
對象不一致，網絡防護以防御外界網絡攻擊或入侵為主要對象，而數據安全以數據為對象。
建設中心不一致，數據安全建設以保障生命周期各階段為核心，傳統網絡安全以攻擊防護為主。

數據安全治理面臨的挑戰

行業內實踐經驗缺乏

只有部分頭部企業在數據治理或數據安全治理方面，開始的早投入大，需要大量的專業人才和成本投入，但大廠的模式很多中小企業無法借鑒。不同于網絡安全的建設，數據安全治理的建設，與經營業務、與數據治理(數據開發利用)有更多的互動，牽扯范圍更廣，行業經驗形成標準化復制難度較大，落地推動工作需要更多適配本地環境因素的摸索。

市場化方案成熟度有限，需要額外的非技術投入

傳統網絡安全產品的使用者是安全運營人員，運維與業務是割裂的；數據安全與業務是強相關的，市場化數據安全類產品的落地建設需要業務條線（非研發技術人員）的支持、需要數據管理部門的支持（很多大數據管理平臺或應用，開源軟件居多，無安全屬性的考慮）。

市場化解決方案只有單一技術，無法覆蓋企業數據安全治理的方方面面，比起網絡安全來，數據安全治理更需要有行業業務邏輯的理解。

安全需求來源不一樣，導致溝通成本增加

傳統安全需求來源于內控、合規、業務發展，需求可以比較明確傳導到安全部門。

而針對數據治理的數據安全，比如業務條線向數據管理部門提出需求，數據管理部門進行數據分析和數據開發，輸出上層數據應用，雙方對安全需求來源均不明確，而需要安全部門以第三方的視角追蹤整個過程，來挖掘安全需求并實現。

數據合規如何做，難以開展和落地

傳統IT審計，往往由風險合規或稽查審計部門發起，根據外部法規要求或集團規章制度，制定審計檢查腳本工具，組織人員開展審計，發現安全管控漏洞和安全策略未執行等風險問題；而數據安全作為新的領域，新增了員工隱私保護、個人信息保護、外部數據安全合規等內容，以及新的數據安全管控措施（防泄漏、行為管控、脫敏、水印）可能不在制度流程中，或數據安全制度規范尚不完善，或對數據生命周期各階段安全保護目標不理解，都導致審計部門沒有足夠有此方面經驗的人員和檢查工具來開展數據安全審計工作。

※此文只言片語，未精雕細琢，未經深思，僅拿來作筆記參考，不足之處，望請見諒。