數(shù)據(jù)安全治理的機構(gòu)設(shè)置
數(shù)據(jù)安全治理工作的展開首先要成立專門的數(shù)據(jù)安全治理機構(gòu)���,以明確數(shù)據(jù)安全治理的政策�����、落實和監(jiān)督由誰長期負(fù)責(zé)��,以確保數(shù)據(jù)安全治理的有效落實�。
通常,我們可以將成立的機構(gòu)稱之為“數(shù)據(jù)安全治理委員會”或“數(shù)據(jù)安全治理小組”��,該機構(gòu)并非傳統(tǒng)意義上的實體機構(gòu)��,屬于一個虛擬的機構(gòu)���,機構(gòu)成員由數(shù)據(jù)的利益相關(guān)者和專家構(gòu)成���,這里之所以稱之為利益相關(guān)者,是因為這些人可能不僅僅是數(shù)據(jù)的使用者��,也是數(shù)據(jù)本身的代表者( 比如用戶)����,數(shù)據(jù)的所有者�����,數(shù)據(jù)的責(zé)任人��。
數(shù)據(jù)安全治理委員會或數(shù)據(jù)安全治理小組這個機構(gòu)本身既是安全策略�����、安全規(guī)范和安全流程的制定者,也是安全策略���、規(guī)范和流程的受眾�。
在 DGPC 框架中這個機構(gòu)一般稱之為DGPC 團隊�����, 或者叫 Data Stewards�����,這個團隊的職責(zé)是 :This is a virtual organization whose members are collectively responsible for defining principles, policies and procedures that govern key aspects of data classification, protection, use and management.
① 制定數(shù)據(jù)分類����、保護(hù)、使用�����、管理的原則
② 制定數(shù)據(jù)分類����、保護(hù)�、使用��、管理的策略
③ 制定數(shù)據(jù)分類���、保護(hù)����、使用��、管理的流程
這個團隊的構(gòu)成是:IT, human resources, legal and finance departments as well as business groups and the marketing department—in short, any group with a stake in collecting, processing, using and managing personally identifiable information (PII), intellectual property, trade secrets and other types of confidential information.(IT����、人資、法務(wù)����、財務(wù)、業(yè)務(wù)和市場部門等所有與人��、知識產(chǎn)權(quán)����、私密信息相關(guān)的部門)
數(shù)據(jù)安全治理機構(gòu)的五大責(zé)任
數(shù)據(jù)安全治理的正式機構(gòu)的成立,標(biāo)志著一個組織在數(shù)據(jù)安全治理工作上的正式啟動��,使組織內(nèi)數(shù)據(jù)安全規(guī)范制定�����、數(shù)據(jù)安全技術(shù)導(dǎo)入���、數(shù)據(jù)安全體系建設(shè)得以不斷完善�。數(shù)據(jù)安全治理機構(gòu)成立后���,需要完成以下職責(zé):
(1)數(shù)據(jù)的分級分類原則的制定
數(shù)據(jù)的分級分類原則��,往往是數(shù)據(jù)安全治理機構(gòu)成立后要解決的核心問題�。只有先制定合理有效的分級分類原則�,才能在紛雜廣袤的數(shù)據(jù)中,明確出核心敏感數(shù)據(jù)�、次要敏感數(shù)據(jù)、公開共享數(shù)據(jù)���,從而基于此再設(shè)定數(shù)據(jù)的不同分享策略和原則���。
(2)數(shù)據(jù)安全使用(管理)規(guī)范的制定
數(shù)據(jù)安全使用規(guī)范的制定,標(biāo)志著數(shù)據(jù)安全治理進(jìn)入到一個規(guī)范化的階段,有了可靠的演進(jìn)框架���。
在這個階段的初期�,要完成敏感數(shù)據(jù)的分布梳理�����、內(nèi)部角色的梳理�����、數(shù)據(jù)的使用狀況梳理�。基于此����,了解清楚不同類別的敏感數(shù)據(jù)是如何被相關(guān)者使用的。
中期��,要完成在現(xiàn)狀基礎(chǔ)上的安全分析���,要明確常規(guī)合理�����、合法行為����;要明確風(fēng)險�、非法的行為;要明確在特定情況下數(shù)據(jù)訪問越級的審批結(jié)構(gòu)�。
最后,我們要清晰有序地將這些角色���、訪問過程的控制要求明確為受整個組織認(rèn)可的文件�,以官方的形式正式下發(fā)�����。
(3)數(shù)據(jù)安全治理技術(shù)的導(dǎo)入
數(shù)據(jù)已經(jīng)成為人類歷史上積累出來的最大資產(chǎn)和財富�����,數(shù)據(jù)安全規(guī)范的執(zhí)行����,不可能依托于人工的方式完成,任何依托于人工的方式��,都是不可想象的。
必須要引入大量的現(xiàn)代化的技術(shù)和工具����,幫助完成數(shù)據(jù)的梳理、控制���、行為監(jiān)控和風(fēng)險預(yù)警�。
(4)數(shù)據(jù)安全使用規(guī)范的監(jiān)督執(zhí)行
作為數(shù)據(jù)安全治理中的核心機構(gòu)����,信息部門在數(shù)據(jù)安全管理規(guī)范制定完成后,最重要的是職責(zé)是監(jiān)督規(guī)范的執(zhí)行�����,處理異常和風(fēng)險行為�。
而數(shù)據(jù)安全治理中的相關(guān)業(yè)務(wù)和使用部門,職責(zé)在于將安全管理規(guī)范在本部門內(nèi)落地�、執(zhí)行。
(5)數(shù)據(jù)安全治理的持續(xù)演進(jìn)
數(shù)據(jù)安全治理不是一蹴而就的事情����,有了首期的框架后,我們要根據(jù)執(zhí)行中所面臨的風(fēng)險狀況�、安全事件��、組織架構(gòu)調(diào)整�����、業(yè)務(wù)系統(tǒng)上線等����,完成對安全治理中的安全管理規(guī)范�����、技術(shù)支撐平臺的演進(jìn)�����。
產(chǎn)品咨詢:4000 258 365 
