數據治理:利用數據驅動業務,實現企業增值。數據治理的智慧型化程度,決定了企業數位化轉型的加速度。數據治理關注於數據本身的組織,使用和傳輸、業務支撐等場景下的規範、流程等。
參考標準:
國際標準化組織 (ISO/IEC) 38505數據治理框架
國際數據管理協會(CDMA)DAMA-DMBOK框架
國際數據治理研究所(DGI)DGI數據治理框架
IBM數據治理委員會(IBMDGA)數據治理成熟度模型
中國電子工業標準化技術協會信息技術服務分會(ITSS)數據治理規範
數據安全治理:數據治理中的過程,可獨立實施。數據安全領域數據、業務、安全、技術、管理集合。數據安全治理關注於數據的安全保護,以數據業務屬性為始,數據的分級分類為核心,從數據存放位置為核心,建立以數據為中的安全架構體系。
參考標準:Gartner數據安全治理框架(GartnerDSG)
定義,原理,特點,套用,
定義
數據治理是一種“制度化”過程,所謂制度化是執行一個“正式批准”的體系,該體系包括明確的價值目的、必須遵從的規範和落實個治理責任的組織機構。數據安全治理以“人”與數據為中心,通過平衡業務需求與風險,制定數據安全策略,對數據分級分類,對數據的全生命周期進行管理,從技術到產品、從策略到管理,提供完整的產品與服務支撐。
到目前為止沒有一個公認的數據治理定義,可以從不同的視角來了解數據治理的基本內涵:
目的:確保數據作為一種滿足業務需要的資產(從數據到數據資產)
風險:致力於消除/降低數據資產的風險,包括法規依從性風險、質量風險、安全風險等。
收益:設定數據管理投入的正確方向,以獲得更好的回報。
內容:明確作為企業資產的數據主體、建立圍繞這些主體的權責體系
過程:覆蓋數據的完整生命周期管理
實施:自上而下、面向企業整體範圍的數據策略和高層規範。
Gartner提出,數據安全治理不僅僅是一套用工具組合的產品級解決方案,是從決策層到技術層,從管理制度到工具支撐,自上而下貫穿整個組織架構的完整鏈條。組織內的各個層級之間需要對數據安全治理的目標和宗旨取得共識,確保採取合理和適當的措施,以最有效的方式保護信息資源。
原理
通過識別核心業務、關鍵數據資產與暴露面,採用“技術工具+諮詢流程”分解實現。同時,數據集、重要數據目錄規模、形態與企業或政府組織特徵與發展過程息息相關,應建立階段性目標與動態適應的數據分級分類體系。然後基於人工智慧,通過行為分析和數據安全形成統一安全防護,建立傳統邊界與雲環境下“端、管、雲”立體化數據安全圍欄,並可建立智慧型化、主動式的數據威脅預防體系。
特點
- 以人和數據為中心,專注於數據的全生命周期安全
- 首先通過風險與業務平衡識別,對數據集進行分級分類,組織數據安全及策略體系化落地
- 將管理、技術與流程融合,建立自動化,持續性,自適應安全體系
- 數據安全技術與平台保障能力也非單一能力,而是體系化、協同性、綜合性能力。數據安全治理即使在技術工具與平台落地階段,也涵蓋了加解密、數據防泄漏、雲訪問安全代理、身份認證管理、用戶實體行為分析、資料庫審計等不同維度的的技術矩陣,依靠單一安全廠商、產品是無法達到這種全面技術保障能力的要求的,因此數據安全治理的建立與實施一定程度上依賴於生態形成與聯盟化發展。
套用
按照Gartner DSG數據安全治理框架的建議,應該從組織根據業務戰略制定數據集開始,在平衡業務戰略、治理、合規、IT戰略、風險容忍度後制定數據集的優先權進行關鍵數據資產目錄的確定與分級分類,結合統一的安全策略與防護技術形成差異化數據安全技術保障能力。
