數(shù)據(jù)治理或者數(shù)據(jù)安全概念����,對于大多數(shù)IT 和安全從業(yè)者來說,認知度比較高���,但數(shù)據(jù)安全治理���,似乎是個新名詞�����。實際上��,關(guān)于數(shù)據(jù)安全治理原則與框架��,國際研究機構(gòu)Gartner 對此已經(jīng)進行專屬領(lǐng)域的研究�����,大型企業(yè)Microsoft 從數(shù)據(jù)隱私合規(guī)角度也曾向市場提出隱私�,保密和合規(guī)性的數(shù)據(jù)治理方案��。
Gartner認為數(shù)據(jù)安全治理不僅僅是一套用工具組合的產(chǎn)品級解決方案����,是從決策層到技術(shù)層,從管理制度到工具支撐�,自上而下貫穿整個組織架構(gòu)的完整鏈條。組織內(nèi)的各個層級之間需要對數(shù)據(jù)安全治理的目標和宗旨取得共識����,確保采取合理和適當?shù)拇胧?,以最有效的方式保護信息資源��,這也是Gartner對“安全和風險管理”的基本定義�。
Gatner數(shù)據(jù)安全治理框架
Step1:業(yè)務(wù)需求與安全(風險/威脅/合規(guī)性)之間的平衡
這里需要考慮5個維度的平衡:經(jīng)營策略、治理���、合規(guī)�����、IT策略和風險容忍度,這也是治理隊伍開展工作前需要達成統(tǒng)一的5個要素�。
Step2:數(shù)據(jù)優(yōu)先級
進行數(shù)據(jù)分級分類,以此對不同級別數(shù)據(jù)實行合理的安全手段����。
Step3:制定策略,降低安全風險
從兩個方向考慮如何實施數(shù)據(jù)安全治理���,一是明確數(shù)據(jù)的訪問者(應(yīng)用用戶/數(shù)據(jù)管理人員)�、訪問對象�、訪問行為;二是基于這些信息制定不同的����、有針對性的數(shù)據(jù)安全策略����。
Step4:實行安全工具
數(shù)據(jù)是流動的�,數(shù)據(jù)結(jié)構(gòu)和形態(tài)會在整個生命周期中不斷變化,需要采用多種安全工具支撐安全策略的實施����。Gartner在DSG體系中提出了實現(xiàn)安全和風險控制的5個工具:Crypto、DCAP�����、DLP��、CASB�、IAM,這5個工具是指5個安全領(lǐng)域�,其中可能包含多個具體的技術(shù)手段。
Step5:策略配置同步
策略配置同步主要針對DCAP的實施而言��,集中管理數(shù)據(jù)安全策略是DCAP的核心功能�����,而無論訪問控制、脫敏���、加密���、令牌化,哪種手段都必須注意對數(shù)據(jù)訪問和使用的安全策略保持同步下發(fā)�,策略執(zhí)行對象應(yīng)包括關(guān)系型數(shù)據(jù)庫、大數(shù)據(jù)類型��、文檔文件��、云端數(shù)據(jù)等數(shù)據(jù)類型�����。
Microsoft的DGPC理念
由微軟開發(fā)的隱私�����,保密和合規(guī)性(DGPC)框架的數(shù)據(jù)治理計劃���,是為了企業(yè)和組織能夠以統(tǒng)一、跨學科的方式來實現(xiàn)以下三個目標�����,而非組織內(nèi)不同部門獨立解決這三個不同的問題:
1)傳統(tǒng)的IT安全方法側(cè)重于IT基礎(chǔ)設(shè)施,通過邊界安全與終端安全進行保護����。重點應(yīng)該加強對存儲數(shù)據(jù)的保護,并隨基礎(chǔ)設(shè)施移動�,加強保護;
2)隱私相關(guān)的保護措施必須超越與安全重疊的隱私保護措施��,包括:重點獲取���、保護和執(zhí)行客戶對如何及何時收集���、處理或第三方共享的行為保護措施;
3)數(shù)據(jù)安全和數(shù)據(jù)隱私合規(guī)責任需要通過一套統(tǒng)一的控制目標和控制行為����,進行合理化處理,以滿足合規(guī)����。
DGPC框架與企業(yè)現(xiàn)有的IT管理和控制框架(如COBIT)以及ISO / IEC 27001/27002和支付卡行業(yè)數(shù)據(jù)安全標準(PCI DSS)等安全標準協(xié)同工作。DGPC框架圍繞三個核心能力領(lǐng)域組織�����,涵蓋人員,流程和技術(shù)三個部分�����。
在以上國際視角對數(shù)據(jù)安全理解的基礎(chǔ)上���,并且和我國一些具體的安全實踐相結(jié)合����,安華金和提出了一套在中國易于落地的數(shù)據(jù)安全建設(shè)的體系化方法論�����。
數(shù)據(jù)安全治理是以“讓數(shù)據(jù)使用更安全”為目的的安全體系構(gòu)建的方法論�����,核心內(nèi)容包括:
(1)滿足數(shù)據(jù)安全保護(Protection)����、合規(guī)性(Compliance)�����、敏感數(shù)據(jù)管理(Sensitive)
三個需求目標;
(2)核心理念包括:分級分類(Classfiying)��、角色授權(quán)(Privilege)��、場景化安全(Scene)���;
(3)數(shù)據(jù)安全治理的建設(shè)步驟包括:組織構(gòu)建����、資產(chǎn)梳理��、策略制定����、過程控制、行
為稽核和持續(xù)改善���;
(4)核心實現(xiàn)框架為數(shù)據(jù)安全人員組織(Person)�����、數(shù)據(jù)安全使用的策略和流程(Policy
& Process)�、數(shù)據(jù)安全技術(shù)支撐(Technology)三大部分。
安華金和在中國國內(nèi)提出的這一數(shù)據(jù)安全治理理念與技術(shù)路線���,填補了該理念在中國的空白��,更有效推動實現(xiàn)該理念在國內(nèi)的執(zhí)行落地�����。
產(chǎn)品咨詢:4000 258 365 
