“The Eye of the Storm –Data Scurity Governance”
在Gartner 2017安全與風險管理峰會上,分析師Marc-Antoine Meunier發(fā)表《2017年數(shù)據(jù)安全態(tài)勢》演講����,提及“數(shù)據(jù)安全治理(Data Scurity Governance)”,Marc將其比喻為“風暴之眼”�,以此來形容數(shù)據(jù)安全治理(DSG)在數(shù)據(jù)安全領(lǐng)域中的重要地位及作用。
Gartner如何定義“數(shù)據(jù)安全治理”�?
它在數(shù)據(jù)安全建設(shè)中發(fā)揮怎樣的作用?
我們?nèi)绾伍_展“數(shù)據(jù)安全治理”�?
《State of Security Governance, 2017- Where Do We Go Next?》是Gartner對于數(shù)據(jù)安全治理的完整理念和方法論,安華金和提煉其中主要觀點與技術(shù)體系��,還原一個完整的Gartner數(shù)據(jù)安全治理概念和框架��,它將告訴我們“下一步該去哪里”����?
首先,我們需要了解的是�,數(shù)據(jù)安全治理絕不僅僅是一套用工具組合的產(chǎn)品級解決方案,而是從決策層到技術(shù)層�,從管理制度到工具支撐,自上而下貫穿整個組織架構(gòu)的完整鏈條���。組織內(nèi)的各個層級之間需要對數(shù)據(jù)安全治理的目標和宗旨取得共識���,確保采取合理和適當?shù)拇胧?,以最有效的方式保護信息資源�����,這也是Gartner對“安全和風險管理”的基本定義��。
數(shù)據(jù)安全治理流程
1.建立管理問責制和決策權(quán):其中包含了企業(yè)安全憲章建立�、政策框架與組織保障,這決定了數(shù)據(jù)安全治理對于企業(yè)的重要性和地位�����,將此作為后續(xù)數(shù)據(jù)安全治理�;
2.決定可接受的安全風險:組織架構(gòu)建立后,評估企業(yè)自身面臨的安全風險���,對不同等級的風險設(shè)定不同的管理政策�����,如有疑義��,則啟動內(nèi)部仲裁�;
3.安全風險控制:針對安全風險控制,制定相應(yīng)策略����,內(nèi)部進行資源匹配����,這里面將涉及具體的技術(shù)工具;
4.風險控制有效性:數(shù)據(jù)安全治理必須是一個完整的閉環(huán)��,通過安全評估及具體指標衡量����,以確保風險得到了有效管理,否則��,需要回到第一個步驟重新糾偏�����。
良好的治理&不好的治理�����,如何判斷�����?
確立數(shù)據(jù)安全治理流程目標后,決策者需要關(guān)注幾個關(guān)鍵性指標��,以作為評判數(shù)據(jù)安全治理工作是否是良性的��,減輕企業(yè)負擔����,Gartner也為我們提供了幾個評判標準。
數(shù)據(jù)安全治理的現(xiàn)狀
數(shù)據(jù)安全治理是一個多層框架�,有完整的自上而下的邏輯,數(shù)據(jù)的價值和其安全保障對于企業(yè)和組織的重要性已不必強調(diào)���。因此����,數(shù)據(jù)安全治理不是一個單純的IT項目�,而是與其他經(jīng)營行為同等重要,會共同為組織良性發(fā)展提供有力保障的戰(zhàn)略行為����,或者說,如果這件事情沒有做好,也很有可能讓企業(yè)多年積累的經(jīng)營成果付之一炬��,然而從Gartner調(diào)研到的數(shù)據(jù)來看����,大多數(shù)的企業(yè)和組織可能還沒意識到這一點:
30%的受訪者擁有專門的安全管理職能,包括業(yè)務(wù)代表�����;42%沒有特設(shè)該職能
我們認為數(shù)據(jù)安全治理的開展目的�����,應(yīng)當與經(jīng)營目標保持趨向性���,這就要求企業(yè)成立專門的數(shù)據(jù)安全治理小組,并且在人員隊伍搭建中包括業(yè)務(wù)代表��。
13%的受訪者表示參與治理的比例最大的是業(yè)務(wù)線��;87%的治理委員會嚴重偏向技術(shù)性
上面提到數(shù)據(jù)安全治理的開展是從決策層貫穿至技術(shù)層的整體動作����,這要求治理小組的成員比例,應(yīng)當合理包括決策層、業(yè)務(wù)線�����、技術(shù)線等����。
34%的受訪者表示最高級的安全執(zhí)行官向高級業(yè)務(wù)管理者報告;56%的安全領(lǐng)導人最終向IT部門報告����。
數(shù)據(jù)安全治理小組的工作匯報對象決定其在企業(yè)思考中能夠夠開展的深度和力度,如果匯報對象只能到IT部門�����,基本上決定這只能是一個技術(shù)項目�,無關(guān)經(jīng)營和戰(zhàn)略。
數(shù)據(jù)安全治理的整體框架
Gartner對數(shù)據(jù)庫安全治理形成一個從上而下的整體框架�����,包括從治理前提�、具體目標到技術(shù)支撐的完整體系,是一個“骨骼”���,在開展實施時���,企業(yè)和組織再填充“肉”���。
Step1:業(yè)務(wù)需求與風險/威脅/合規(guī)性之間的平衡
這里需要考慮5個維度的平衡:經(jīng)營策略、治理��、合規(guī)�����、IT策略和風險容忍度���,這也是治理隊伍開展工作前需要達成統(tǒng)一的5個要素。
經(jīng)營戰(zhàn)略:確立數(shù)據(jù)安全的處理如何支撐經(jīng)營策略的制定和實施
治理:對數(shù)據(jù)安全需要開展深度的治理工作
合規(guī):企業(yè)和組織面臨的合規(guī)要求
IT策略:企業(yè)的整體IT策略同步
風險容忍度:企業(yè)對安全風險的容忍度在哪里
Step2:數(shù)據(jù)優(yōu)先級
進行數(shù)據(jù)安全治理前��,需要先明確治理的對象��,企業(yè)擁有龐大的數(shù)據(jù)資產(chǎn)���,本著高效原則�����,Gartner建議��,應(yīng)當優(yōu)先對重要數(shù)據(jù)進行安全治理工作��,安華金和的治理思路同樣將“數(shù)據(jù)分級分類”作為整體計劃的第一環(huán)���,這將大大提高治理的效率和投入產(chǎn)出比�����。通過對全部數(shù)據(jù)資產(chǎn)進行梳理�����,明確數(shù)據(jù)類型��、屬性���、分布、訪問對象���、訪問方式����、使用頻率等,繪制“數(shù)據(jù)地圖”���,以此為依據(jù)進行數(shù)據(jù)分級分類�����,以此對不同級別數(shù)據(jù)實行合理的安全手段��。這個基礎(chǔ)也會為每一步治理技術(shù)的實施提供策略支撐�。
Step3:制定策略�,降低安全風險
從兩個方向考慮如何實施數(shù)據(jù)安全治理,一是明確數(shù)據(jù)的訪問者(應(yīng)用用戶/數(shù)據(jù)管理人員)���、訪問對象����、訪問行為�����;二是根據(jù)基于這些信息制定不同的����、有針對性的數(shù)據(jù)安全策略。這一步的實施更加需要數(shù)據(jù)資產(chǎn)梳理的結(jié)果作為支撐���,以提供數(shù)據(jù)在訪問��、存儲��、分發(fā)��、共享等不同場景下�,即滿足業(yè)務(wù)需求����,又保障數(shù)據(jù)安全的保護策略。
Step4:實行安全工具
數(shù)據(jù)是流動的�����,數(shù)據(jù)結(jié)構(gòu)和形態(tài)會在整個生命周期中不斷變化��,需要采用多種安全工具支撐安全策略的實施�����。Gartner在DSG體系中提出了實現(xiàn)安全和風險控制的5個工具�,實際上這5各工具是指5個安全領(lǐng)域����,其中可能包含多個具體的技術(shù)手段:
Crypto(加密):這其中應(yīng)該包括數(shù)據(jù)庫中的結(jié)構(gòu)化數(shù)據(jù)的加密��,以及數(shù)據(jù)落地存儲之前傳輸層或應(yīng)用端的加密��,以及加密相關(guān)的密鑰管理�����、密文訪問權(quán)控等多種技術(shù)���。
DCAP(以數(shù)據(jù)為中心的審計和保護):可以集中管理數(shù)據(jù)安全策略�,統(tǒng)一控制結(jié)構(gòu)化��、半結(jié)構(gòu)化和非結(jié)構(gòu)化的數(shù)據(jù)庫或數(shù)據(jù)豎井�。這些產(chǎn)品可以通過合規(guī)、報告和取證分析來審計日志記錄的異常行為�����,同時使用訪問控制���、脫敏���、加密、令牌化等技術(shù)劃分應(yīng)用用戶和管理員間的職責�����。
DLP(數(shù)據(jù)防泄漏):
DLP工具提供對敏感數(shù)據(jù)的可見性����,無論是在端點上使用,在網(wǎng)絡(luò)上運動還是靜止在文件共享上��。使用DLP�����,組織可以實時保護從端點或電子郵件中提取的非結(jié)構(gòu)化數(shù)據(jù)��。DCAP和DLP之間的根本區(qū)別在于DCAP工具更多地側(cè)重于組織內(nèi)用戶訪問的數(shù)據(jù)�,而DLP更側(cè)重于將離開組織的數(shù)據(jù)。
IAM(身份識別與訪問管理)
IAM是一套全面的建立和維護數(shù)字身份��,并提供有效地�、安全地IT資源訪問的業(yè)務(wù)流程和管理手段,從而實現(xiàn)組織信息資產(chǎn)統(tǒng)一的身份認證�����、授權(quán)和身份數(shù)據(jù)集中管理與審計。身份和訪問管理是一套業(yè)務(wù)處理流程�,也是一個用于創(chuàng)建和維護和使用數(shù)字身份的支持基礎(chǔ)結(jié)構(gòu)。
Step5:策略配置同步
策略配置同步主要針對DCAP的實施而言���,集中管理數(shù)據(jù)安全策略是DCAP的核心功能�,而無論訪問控制��、脫敏�����、加密��、令牌化那種手段都必須注意對數(shù)據(jù)訪問和使用的安全策略保持同步下發(fā)��,策略執(zhí)行對象應(yīng)包括關(guān)系型數(shù)據(jù)庫�����、大數(shù)據(jù)類型��、文檔文件����、云端數(shù)據(jù)等數(shù)據(jù)類型。
“數(shù)據(jù)安全治理”區(qū)別以往的任何一種安全解決方案���,它會是一個更大的工程����,技術(shù)和產(chǎn)品不再是數(shù)據(jù)安全治理框架中的主體�,連同組織決策、制度�����、評估�����、稽核是這個框架的靈魂和指導思想�。
后記
2016年,安華金和在中國首家提出數(shù)據(jù)安全治理理念��,2017年具體通過產(chǎn)線的搭建完成對數(shù)據(jù)安全治理理念的技術(shù)支撐���,交付完整解決方案����。2017年,Garnter開始在信息安全治理原則下關(guān)注數(shù)據(jù)安全治理����,雙方針對數(shù)據(jù)安全治理展開溝通探討,無獨有偶����,兩者在數(shù)據(jù)安全治理的認知上存高度一致性,且各有補足����,安華金和將繼續(xù)專注數(shù)據(jù)安全治理工作的研究和落地,借鑒國際主流思想和經(jīng)驗�,實現(xiàn)數(shù)據(jù)安全治理最佳實踐。
產(chǎn)品咨詢:4000 258 365 
