數(shù)據(jù)治理或者數(shù)據(jù)安全概念��,對(duì)于大多數(shù)IT 和安全從業(yè)者來說����,認(rèn)知度比較高,但數(shù)據(jù)安全治理�,似乎是個(gè)新名詞。實(shí)際上�����,關(guān)于數(shù)據(jù)安全治理原則與框架�����,國際研究機(jī)構(gòu)Gartner 對(duì)此已經(jīng)進(jìn)行專屬領(lǐng)域的研究���,大型企業(yè)Microsoft 從數(shù)據(jù)隱私合規(guī)角度也曾向市場(chǎng)提出隱私,保密和合規(guī)性的數(shù)據(jù)治理方案�。
Gartner認(rèn)為數(shù)據(jù)安全治理不僅僅是一套用工具組合的產(chǎn)品級(jí)解決方案,是從決策層到技術(shù)層����,從管理制度到工具支撐,自上而下貫穿整個(gè)組織架構(gòu)的完整鏈條。組織內(nèi)的各個(gè)層級(jí)之間需要對(duì)數(shù)據(jù)安全治理的目標(biāo)和宗旨取得共識(shí)��,確保采取合理和適當(dāng)?shù)拇胧?����,以最有效的方式保護(hù)信息資源��,這也是Gartner對(duì)“安全和風(fēng)險(xiǎn)管理”的基本定義����。
Gatner數(shù)據(jù)安全治理框架
Step1:業(yè)務(wù)需求與安全(風(fēng)險(xiǎn)/威脅/合規(guī)性)之間的平衡
這里需要考慮5個(gè)維度的平衡:經(jīng)營策略、治理����、合規(guī)、IT策略和風(fēng)險(xiǎn)容忍度�����,這也是治理隊(duì)伍開展工作前需要達(dá)成統(tǒng)一的5個(gè)要素���。
Step2:數(shù)據(jù)優(yōu)先級(jí)
進(jìn)行數(shù)據(jù)分級(jí)分類��,以此對(duì)不同級(jí)別數(shù)據(jù)實(shí)行合理的安全手段��。
Step3:制定策略�,降低安全風(fēng)險(xiǎn)
從兩個(gè)方向考慮如何實(shí)施數(shù)據(jù)安全治理,一是明確數(shù)據(jù)的訪問者(應(yīng)用用戶/數(shù)據(jù)管理人員)���、訪問對(duì)象���、訪問行為;二是基于這些信息制定不同的����、有針對(duì)性的數(shù)據(jù)安全策略。
Step4:實(shí)行安全工具
數(shù)據(jù)是流動(dòng)的�����,數(shù)據(jù)結(jié)構(gòu)和形態(tài)會(huì)在整個(gè)生命周期中不斷變化���,需要采用多種安全工具支撐安全策略的實(shí)施�����。Gartner在DSG體系中提出了實(shí)現(xiàn)安全和風(fēng)險(xiǎn)控制的5個(gè)工具:Crypto、DCAP���、DLP�����、CASB���、IAM���,這5個(gè)工具是指5個(gè)安全領(lǐng)域,其中可能包含多個(gè)具體的技術(shù)手段�。
Step5:策略配置同步
策略配置同步主要針對(duì)DCAP的實(shí)施而言,集中管理數(shù)據(jù)安全策略是DCAP的核心功能�,而無論訪問控制、脫敏�����、加密����、令牌化,哪種手段都必須注意對(duì)數(shù)據(jù)訪問和使用的安全策略保持同步下發(fā)����,策略執(zhí)行對(duì)象應(yīng)包括關(guān)系型數(shù)據(jù)庫�、大數(shù)據(jù)類型�、文檔文件、云端數(shù)據(jù)等數(shù)據(jù)類型�。
Microsoft的DGPC理念
由微軟開發(fā)的隱私,保密和合規(guī)性(DGPC)框架的數(shù)據(jù)治理計(jì)劃����,是為了企業(yè)和組織能夠以統(tǒng)一、跨學(xué)科的方式來實(shí)現(xiàn)以下三個(gè)目標(biāo)�,而非組織內(nèi)不同部門獨(dú)立解決這三個(gè)不同的問題:
1)傳統(tǒng)的IT安全方法側(cè)重于IT基礎(chǔ)設(shè)施,通過邊界安全與終端安全進(jìn)行保護(hù)�。重點(diǎn)應(yīng)該加強(qiáng)對(duì)存儲(chǔ)數(shù)據(jù)的保護(hù),并隨基礎(chǔ)設(shè)施移動(dòng)��,加強(qiáng)保護(hù)���;
2)隱私相關(guān)的保護(hù)措施必須超越與安全重疊的隱私保護(hù)措施����,包括:重點(diǎn)獲取���、保護(hù)和執(zhí)行客戶對(duì)如何及何時(shí)收集����、處理或第三方共享的行為保護(hù)措施�;
3)數(shù)據(jù)安全和數(shù)據(jù)隱私合規(guī)責(zé)任需要通過一套統(tǒng)一的控制目標(biāo)和控制行為,進(jìn)行合理化處理���,以滿足合規(guī)�。
DGPC框架與企業(yè)現(xiàn)有的IT管理和控制框架(如COBIT)以及ISO / IEC 27001/27002和支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI DSS)等安全標(biāo)準(zhǔn)協(xié)同工作���。DGPC框架圍繞三個(gè)核心能力領(lǐng)域組織�����,涵蓋人員���,流程和技術(shù)三個(gè)部分。
在以上國際視角對(duì)數(shù)據(jù)安全理解的基礎(chǔ)上�����,并且和我國一些具體的安全實(shí)踐相結(jié)合���,安華金和提出了一套在中國易于落地的數(shù)據(jù)安全建設(shè)的體系化方法論�����。
數(shù)據(jù)安全治理是以“讓數(shù)據(jù)使用更安全”為目的的安全體系構(gòu)建的方法論���,核心內(nèi)容包括:
(1)滿足數(shù)據(jù)安全保護(hù)(Protection)����、合規(guī)性(Compliance)���、敏感數(shù)據(jù)管理(Sensitive)
三個(gè)需求目標(biāo)�;
(2)核心理念包括:分級(jí)分類(Classfiying)���、角色授權(quán)(Privilege)�����、場(chǎng)景化安全(Scene)��;
(3)數(shù)據(jù)安全治理的建設(shè)步驟包括:組織構(gòu)建����、資產(chǎn)梳理�、策略制定、過程控制、行
為稽核和持續(xù)改善�;
(4)核心實(shí)現(xiàn)框架為數(shù)據(jù)安全人員組織(Person)、數(shù)據(jù)安全使用的策略和流程(Policy
& Process)���、數(shù)據(jù)安全技術(shù)支撐(Technology)三大部分。
安華金和在中國國內(nèi)提出的這一數(shù)據(jù)安全治理理念與技術(shù)路線�,填補(bǔ)了該理念在中國的空白,更有效推動(dòng)實(shí)現(xiàn)該理念在國內(nèi)的執(zhí)行落地����。
產(chǎn)品咨詢:4000 258 365 
