终于有人把数据安全治理讲明白了.docx

终于有人把数据平安治理讲明白了导读：数据平安治理是通过制定数据平安策略和流程来保护企业数据，涉及数据、业务、平安、技术、管理等多个方面。01什么是数据平安治理国际标准化组织（ISO）对计算机系统平安防护的定义是："为数据处理系统建立 和采用的技术与管理的平安保护，保护计算机硬件、软件和数据不因偶然或恶意 的原因而遭到破坏、更改或泄露。在Gartner 2017平安与风险管理峰会上,分析师Marc发表了题为2017年数据平安态势的演讲，并提及了 数据平安治理（Data Security Governance ）oMarc将其比喻为风暴之眼，以此来形容数据平安治理（DSG ）在数据平安领域中的重要地位及作用。Gartner对数据平安治理的基本定义是："数据平安治理绝不仅是一套用工具组 合而成的产品级解决方案，而是从决策层到技术层，从管理制度到工具支撑，自 上而下、贯穿整个组织架构的完整链条。组织内的各个层级需要对数据平安治理 的目标和宗旨达成共识，确保采取合理和适当的措施，以最有效的方式保护信息 资源。"由此我们可以将数据平安治理理解为：确保数据的可用性、完整性和保密性所采 取的各种策略、技术和活动，包括从企业战略、企业文化、组织建设、业务流程、 规章制度、技术工具等各方面提升数据平安风险应对能力的过程，控制数据平安 风险或将风险带来的影响降至最低。数据平安策略和技术可以识别数据集信息敏感性、重要性、合规性等要求，然后 应用适当的保护措施来保护这些数据资源。数据平安治理涉及多种技术、流程和 实践，以确保数据平安和防止未经授权的非法访问。同时，数据平安治理还应专 注于保护个人敏感数据，例如个人身份、联系信息或关键业务知识产权。02数据治理与数据平安治理数据平安治理是通过制定数据平安策略和流程来保护企业数据，涉及数据、业务、 平安、技术、管理等多个方面。数据平安治理是数据治理的一个子集，平安治理 既可在数据治理框架下进行，也可独立实施。平安治理与数据治理的关系如表1 所示。表1数据治理与数据平安治理的关系比拟维度数据治理数据平安治理实现目标数据治理的0标是通过规范数据管理过程， 提高数据质量，从而提升企业数据资产价值数据平安治理的目标是让数据使用更平安. 保障数据保密性、完整性、可用性，以及数据 使用的平安合规性，本质上也是保障数据资产 价值发起部门数据治理多为IT部门或相关业务部门（如 财务部门）驱动数据平安治理一般是由平安合规部门发起的输出成果指导数据管理的各种策略和措施，例如数据 治理组织、管理方法、管理流程、数据标准等完成对企业数据访问的平安策略的分级分 类和对数据的合规平安访问措施,例如身份认 证、统一授权、平安审计等管控力度数据治理通过数据质量进行绩效评估一旦发生数据平安*件或泄露“件，需要 追究法律责任数据资产梳理数据治理的资产梳理是对企业数据资源的 全面盘点，包括信息系统、数据库表以及线下 的数据资产,从而形成数据资产目录数据平安治理中的资产梳理要明确数据分 级分类的标准，以及敏感数据资产的分布、访 问状况和授权信息数据平安治理从战略和战术层面支撑数据治理的开展，通过实施平安访问、分级 分类、合规使用的数据平安策略，实现业务的目标，例如满足法律法规要求、保 护消费者隐私等。最后，引用前阿里巴巴集团技术副总裁和首席平安专家杜跃进的一段话为本节作 结：我们的世界正在进入一个奇怪的分裂状态：一方面人们为大数据时代即将在 各个领域发生的革命性进步而激动难眠，一方面人们也在为数据平安和隐私保护 问题担忧得睡不着觉。围绕大数据的创新和平安，各种政策、法律、标准、产品 和学术研究表现出空前的热情。然而眼花缭乱的声音却使人们陷入了混乱，陷入 了数据恐慌。如果我们不能尽快找到清晰的思路，不能尽快找到方法实现围绕大 数据的开展与平安之间的平衡，我们可能丧失人类历史上迄今为止最大的一次发 展机会，或者陷入最大的平安危机。03数据平安治理体系 数据平安治理主要是围绕着数据平安的脆弱性，针对面临的各种风险制定针对性 的策略，将风险降至可接受的程度。在整个数据平安治理的过程中，最为重要是 制定合适的数据平安策略。企业数据平安治理体系是一个以风险和策略为基础，以运维体系为纽带，以技术 体系为手段，将三者与数据资产基础设施进行有机结合的整体，它贯穿于数据的 整个生命周期。如图1所示，企业数据平安治理体系主要包含以下五局部，保证数据的全生命周 期的可用性、完整性、保密性以及合规使用。数据平安治理目标：重点强调平安目标与业务目标的一致性。数据平安治理的目 标是保证数据的平安性，确保数据的合规使用，为业务目标的实现保驾护航。数据平安管理体系：主要包括组织与人员、数据平安认责策略、数据平安管理制 度等。数据平安技术体系：主要包括数据全生命周期的敏感数据识别、数据分类与分级、 数据访问控制、数据平安审计等。数据平安运维体系：主要包括定期稽核策略、动态防护策略、数据备份策略、数 据平安培训等。数据平安基础设施：重点强调数据所在宿主机的物理平安和网络平安。数据平安治理目标敏感数据识别分类与分级访问控制平安审计数据安耆理体系数据资产数据资产分布敏感数据分布数据U/C矩阵敏感等级机密数据敏感数据普通数据用户分组核心用户 重要用户 一般用户操作行为高危访问 账户审计 权限审查数据全生命周期管理数据平安运维体系数据平安技术体系数据平安基础设施图1数据平安治理体系构成如图2所示，在数据平安治理体系架构中，数据平安策略是核心，数据平安管理 体系是基础，数据平安技术体系为支撑，数据平安运维体系是应用。数据平安策 略通过管理体系制定，通过技术体系创立，通过平安运维体系执行。数据平安管理体系应用图2数据平安治理各体系之间的关系数据平安治理是数据治理的一个专项分支，其治理体系可以架构在数据治理的整 体框架下，也可以单独构建，实施数据平安的专项治理。数据平安治理是战略层 面的策略，强调在战略、组织、政策的框架下，定义数据治理的策略，形成一种 协作的秩序，让数据平安管理从无序到'有序，从人治到法制。