引言:數(shù)據(jù)安全治理是由組織中分工明確的人來主導實施的一項系統(tǒng)性工程��。該項工作得以良好運作有賴于三大要素:人員組織���、策略流程和技術工具���。
一、數(shù)據(jù)安全治理機構(gòu)
數(shù)據(jù)安全治理工作的展開首先要成立專門的數(shù)據(jù)安全治理機構(gòu)��,以明確數(shù)據(jù)安全治理的政策���、落實和監(jiān)督由誰長期負責��,以確保數(shù)據(jù)安全治理的有效落實���。
通常,我們可以將成立的機構(gòu)稱之為“數(shù)據(jù)安全治理委員會”或“數(shù)據(jù)安全治理小組”����,該機構(gòu)并非傳統(tǒng)意義上的實體機構(gòu)����,屬于一個虛擬的機構(gòu)��,機構(gòu)成員由數(shù)據(jù)的利益相關者和專家構(gòu)成��,這里之所以稱之為利益相關者�����,是因為這些人可能不僅僅是數(shù)據(jù)的使用者��,也是數(shù)據(jù)本身的代表者( 比如用戶)��,數(shù)據(jù)的所有者���,數(shù)據(jù)的責任人。
數(shù)據(jù)安全治理委員會或數(shù)據(jù)安全治理小組這個機構(gòu)本身既是安全策略�、安全規(guī)范和安全流程的制定者,也是安全策略��、規(guī)范和流程的受眾�����。
在 DGPC 框架中這個機構(gòu)一般稱之為DGPC 團隊, 或者叫 Data Stewards��,這個團隊的職責是 :This is a virtual organization whose members are collectively responsible for defining principles, policies and procedures that govern key aspects of data classification, protection, use and management.
① 制定數(shù)據(jù)分類�、保護、使用��、管理的原則
② 制定數(shù)據(jù)分類�����、保護��、使用���、管理的策略
③ 制定數(shù)據(jù)分類�����、保護�����、使用���、管理的流程
這個團隊的構(gòu)成是:IT, human resources, legal and finance departments as well as business groups and the marketing department—in short, any group with a stake in collecting, processing, using and managing personally identifiable information (PII), intellectual property, trade secrets and other types of confidential information.(IT��、人資��、法務�、財務����、業(yè)務和市場部門等所有與人、知識產(chǎn)權����、私密信息相關的部門)
二、機構(gòu)五大責任
數(shù)據(jù)安全治理的正式機構(gòu)的成立�,標志著一個組織在數(shù)據(jù)安全治理工作上的正式啟動,使組織內(nèi)數(shù)據(jù)安全規(guī)范制定��、數(shù)據(jù)安全技術導入��、數(shù)據(jù)安全體系建設得以不斷完善��。數(shù)據(jù)安全治理機構(gòu)成立后���,需要完成以下職責:
(1)數(shù)據(jù)的分級分類原則的制定
數(shù)據(jù)的分級分類原則,往往是數(shù)據(jù)安全治理機構(gòu)成立后要解決的核心問題��。只有先制定合理有效的分級分類原則,才能在紛雜廣袤的數(shù)據(jù)中���,明確出核心敏感數(shù)據(jù)�、次要敏感數(shù)據(jù)��、公開共享數(shù)據(jù)����,從而基于此再設定數(shù)據(jù)的不同分享策略和原則。
(2)數(shù)據(jù)安全使用(管理)規(guī)范的制定
數(shù)據(jù)安全使用規(guī)范的制定�,標志著數(shù)據(jù)安全治理進入到一個規(guī)范化的階段,有了可靠的演進框架����。
在這個階段的初期,要完成敏感數(shù)據(jù)的分布梳理����、內(nèi)部角色的梳理、數(shù)據(jù)的使用狀況梳理����。基于此����,了解清楚不同類別的敏感數(shù)據(jù)是如何被相關者使用的�。
中期�,要完成在現(xiàn)狀基礎上的安全分析,要明確常規(guī)合理��、合法行為�;要明確風險、非法的行為����;要明確在特定情況下數(shù)據(jù)訪問越級的審批結(jié)構(gòu)。
最后����,我們要清晰有序地將這些角色、訪問過程的控制要求明確為受整個組織認可的文件���,以官方的形式正式下發(fā)����。
(3)數(shù)據(jù)安全治理技術的導入
數(shù)據(jù)已經(jīng)成為人類歷史上積累出來的最大資產(chǎn)和財富�,數(shù)據(jù)安全規(guī)范的執(zhí)行����,不可能依托于人工的方式完成�����,任何依托于人工的方式�,都是不可想象的��。
必須要引入大量的現(xiàn)代化的技術和工具�,幫助完成數(shù)據(jù)的梳理、控制���、行為監(jiān)控和風險預警���。
(4)數(shù)據(jù)安全使用規(guī)范的監(jiān)督執(zhí)行
作為數(shù)據(jù)安全治理中的核心機構(gòu),信息部門在數(shù)據(jù)安全管理規(guī)范制定完成后���,最重要的是職責是監(jiān)督規(guī)范的執(zhí)行����,處理異常和風險行為����。
而數(shù)據(jù)安全治理中的相關業(yè)務和使用部門���,職責在于將安全管理規(guī)范在本部門內(nèi)落地、執(zhí)行��。
(5)數(shù)據(jù)安全治理的持續(xù)演進
數(shù)據(jù)安全治理不是一蹴而就的事情����,有了首期的框架后,我們要根據(jù)執(zhí)行中所面臨的風險狀況�����、安全事件���、組織架構(gòu)調(diào)整�����、業(yè)務系統(tǒng)上線等����,完成對安全治理中的安全管理規(guī)范���、技術支撐平臺的演進�����。
三�、數(shù)據(jù)安全治理受眾
數(shù)據(jù)安全治理人員中的另一個關鍵角色就是數(shù)據(jù)安全的受眾��,這些受眾涵蓋了數(shù)據(jù)安全策略����、規(guī)范和流程的執(zhí)行者和被管理者;數(shù)據(jù)的使用者��、管理者���、維護者��、分發(fā)者�。實際上���,大多數(shù)數(shù)據(jù)利益相關者都屬于數(shù)據(jù)安全治理的受眾����。
常見的組織中與數(shù)據(jù)相關的部門包括:
安全管理部門:安全制度制定、安全檢查�、技術導入、事件監(jiān)控與處理 業(yè)務部門:業(yè)務人員安全管理����、業(yè)務人員行為審計、業(yè)務合作方管理 運維部門:運維人員行為規(guī)范與管理����、運維行為審計、運維第三方管理 其它:第三方外包���、人事����、采購�����、審計等部門
部門內(nèi)不同角色在數(shù)據(jù)安全治理中的職責�����,一般包括: 安全管理部門:政策制定者����、檢查與審計管理���、技術導入者 業(yè)務部門:根據(jù)單位的業(yè)務職能劃分 運維部門:運行維護、開發(fā)測試����、生產(chǎn)支撐
四�����、組織框架舉例
以某政府部門的數(shù)據(jù)安全治理組織框架為例:
圖1某政府部門的數(shù)據(jù)安全治理組織框架圖
圖2 某運營商的數(shù)據(jù)安全治理的相關組織和角色結(jié)構(gòu)圖
以某運營商搭建的數(shù)據(jù)安全治理組織框架為例:業(yè)務管理部門��、信息安全部門��、運維支撐部門����,以及企業(yè)信息部、審計部組成的其他部門等都是直接接觸數(shù)據(jù)的核心部門�����,無論是借助數(shù)據(jù)來開展正常的業(yè)務工作����,還是對信息數(shù)據(jù)進行安全防護����,亦或參與數(shù)據(jù)的測試�、開發(fā)、共享和維護�����,都已經(jīng)是肩負起了數(shù)據(jù)安全的保護義務和責任��,這些受眾的日常工作行為需要在既定的數(shù)據(jù)安全策略與規(guī)范下展開�����,遵從數(shù)據(jù)安全流程來共同參與數(shù)據(jù)安全的治理工作���。
五���、結(jié)語
人或者團隊是一切工作的核心,確定好數(shù)據(jù)安全治理的組織架構(gòu)�、角色分工,才能進一步明確權責���,形成科學合理的管理秩序�����,繼而保障數(shù)據(jù)安全治理工作可以井然有序的推進下去��。
產(chǎn)品咨詢:4000 258 365 
