信息系統(tǒng)建設(shè)發(fā)展到一定階段,數(shù)據(jù)資源將成為戰(zhàn)略資產(chǎn),而有效的數(shù)據(jù)治理才是數(shù)據(jù)資產(chǎn)形成的必要條件。以銀行業(yè)為例,過去的十年,銀行的IT系統(tǒng)經(jīng)歷了數(shù)據(jù)量高速膨脹的時期,這些海量的、分散在不同角落的異構(gòu)數(shù)據(jù)導(dǎo)致了數(shù)據(jù)資源的價值低、應(yīng)用難度大等問題。同時,銀行內(nèi)部的業(yè)務(wù)條線或行政分化也在不斷地制造著銀行數(shù)據(jù)交互的斷層,而銀行與外部業(yè)務(wù)交互所產(chǎn)生的“體外循環(huán)”數(shù)據(jù)與企業(yè)的核心數(shù)據(jù)體系并不能自然地融合,這個時候數(shù)據(jù)治理體系建設(shè)可能不是銀行的一個選擇,而是唯一的出路。
數(shù)據(jù)治理的概念:是指從使用零散數(shù)據(jù)變?yōu)槭褂媒y(tǒng)一數(shù)據(jù)、從具有很少或沒有組織和流程到企業(yè)范圍內(nèi)的綜合數(shù)據(jù)治理、從嘗試處理數(shù)據(jù)混亂狀況到數(shù)據(jù)井井有條的一個過程。數(shù)據(jù)治理可以確保企業(yè)的數(shù)據(jù)資產(chǎn)得到正確有效的管理,數(shù)據(jù)治理從組織架構(gòu)、原則、過程和規(guī)則等方面確保數(shù)據(jù)管理的各項職能得到正確的履行。
2018年5月,銀保監(jiān)會發(fā)布了《銀行業(yè)金融機構(gòu)數(shù)據(jù)治理指引》,從數(shù)據(jù)治理架構(gòu)、數(shù)據(jù)管理、數(shù)據(jù)質(zhì)量控制、數(shù)據(jù)價值實現(xiàn)、監(jiān)督管理等方面規(guī)范了銀行業(yè)金融機構(gòu)的數(shù)據(jù)管理活動。數(shù)據(jù)治理的戰(zhàn)略組成部分主要包括:數(shù)據(jù)治理的愿景、商業(yè)案例摘要(包括例子)、指導(dǎo)原則、長遠目標分解、管理措施、實施線路等。
數(shù)據(jù)治理是一種體系,是一個關(guān)注于信息系統(tǒng)執(zhí)行層面的體系,這一體系的目的是整合IT與業(yè)務(wù)部門的知識和意見,通過一個類似于監(jiān)督委員會或項目小組的虛擬組織對企業(yè)的信息化建設(shè)進行全方位的監(jiān)管,這一組織的基礎(chǔ)是企業(yè)高層的授權(quán)和業(yè)務(wù)部門與IT部門的建設(shè)性合作。從范圍來講,數(shù)據(jù)治理涵蓋了從前端事務(wù)處理系統(tǒng)、后端業(yè)務(wù)數(shù)據(jù)庫到終端的數(shù)據(jù)分析,從源頭到終端再回到源頭形成一個閉環(huán)負反饋系統(tǒng)(控制理論中趨穩(wěn)的系統(tǒng))。
從目的來講,數(shù)據(jù)治理就是要對數(shù)據(jù)的獲取、處理、使用進行監(jiān)管(監(jiān)管就是我們在執(zhí)行層面對信息系統(tǒng)的負反饋),而監(jiān)管的職能主要通過以下五個方面的執(zhí)行力來保證——發(fā)現(xiàn)、監(jiān)督、控制、溝通、整合。
數(shù)據(jù)治理或者數(shù)據(jù)安全概念,對于大多數(shù)IT和安全從業(yè)者來說,認知度比較高,但數(shù)據(jù)安全治理,似乎是個新名詞。實際上,對于擁有重要數(shù)據(jù)資產(chǎn)的政府部門或企業(yè),對于數(shù)據(jù)資產(chǎn)的保護,涉及到數(shù)據(jù)安全治理方面,或多或少都有實踐,只是尚未體系化、標準化。
比如,運營商行業(yè)的客戶數(shù)據(jù)安全管理規(guī)范及落地的配套管控措施,一些政府部門的數(shù)據(jù)分級分類管理規(guī)范。在國外由Microsoft推出的DGPC方案(Data Governance for Privacy Confidentiality and Compliance縮寫),就是專門強調(diào)隱私、保護與合規(guī)的數(shù)據(jù)治理技術(shù)框架;Gartner研究中在2015年提出了數(shù)據(jù)安全治理這一概念和相應(yīng)的原則與框架,2017年Gartner全球安全大會中多位分析師在數(shù)據(jù)安全、信息安全治理、安全治理的相關(guān)研究報告中,多次提及并加以強調(diào),并且認為數(shù)據(jù)安全治理已成為了數(shù)據(jù)安全中的 “風暴之眼”(The Eye Of Storm),2018年,Gartner首次在數(shù)據(jù)安全治理方向上專門推出研究報告《如何使用數(shù)據(jù)安全治理》,以此為組織中的CDO、CSO、CISO提供數(shù)據(jù)安全價值。
Gartner認為數(shù)據(jù)安全治理不僅僅是一套用工具組合的產(chǎn)品級解決方案,而是從決策層到技術(shù)層,從管理制度到工具支撐,自上而下貫穿整個組織架構(gòu)的完整鏈條。組織內(nèi)的各個層級之間需要對數(shù)據(jù)安全治理的目標和宗旨取得共識,確保采取合理和適當?shù)拇胧?,以最有效的方式保護信息資源,這也是Gartner對“安全和風險管理”的基本定義。
綜合了國際相關(guān)框架模型和我國一些具體的安全實踐后,國內(nèi)對于數(shù)據(jù)安全治理也提出了適合中國國情的概念認知——作為一套在中國易于落地的數(shù)據(jù)安全建設(shè)的體系化方法論,數(shù)據(jù)安全治理是以“讓數(shù)據(jù)使用更安全”為目的的安全體系構(gòu)建的方法論,是“圍繞數(shù)據(jù)安全使用”的愿景,覆蓋了安全防護、敏感信息管理、合規(guī)三大目標構(gòu)建而成的技術(shù)體系,核心內(nèi)容包括:
1)核心理念:分級分類(Classfiying)、角色授權(quán)(Privilege)、場景化安全(Scene);
2)建設(shè)步驟:組織構(gòu)建、資產(chǎn)梳理、策略制定、過程控制、行為稽核和持續(xù)改善;
3)核心實現(xiàn)框架:數(shù)據(jù)安全人員組織(Person)、數(shù)據(jù)安全使用的策略和流程(Policy & Process)、數(shù)據(jù)安全技術(shù)支撐(Technology)三大部分。
從嚴格意義上來看,數(shù)據(jù)安全治理是數(shù)據(jù)治理中的一個過程,在今天對數(shù)據(jù)資產(chǎn)高度重視和個人隱私數(shù)據(jù)高度監(jiān)管的年代,數(shù)據(jù)安全治理更應(yīng)該是數(shù)據(jù)治理的一個重要組成部門。但從實際操作上來看,兩者之間又有很大不同:
1) 從發(fā)起部門看:數(shù)據(jù)治理主要是由IT部門在驅(qū)動;數(shù)據(jù)安全治理主要是由安全合規(guī)部門在驅(qū)動。當然兩者的成功都要涉及到業(yè)務(wù)、運維和管理部門甚至公司最高管理決策層。
2) 從目標上看:數(shù)據(jù)治理的目標是數(shù)據(jù)驅(qū)動商業(yè)發(fā)展,提升企業(yè)數(shù)據(jù)資產(chǎn)價值。而數(shù)據(jù)安全治理的目標讓數(shù)據(jù)使用中更安全,保障數(shù)據(jù)的安全使用和共享,實質(zhì)也是保障數(shù)據(jù)資產(chǎn)價值。
3) 從工作內(nèi)容產(chǎn)出看:數(shù)據(jù)治理工作產(chǎn)出上,一個核心成果就是數(shù)據(jù)質(zhì)量提升,通過數(shù)據(jù)的清洗和規(guī)范的過程,獲得有質(zhì)量的數(shù)據(jù)。而數(shù)據(jù)安全治理的重要產(chǎn)出,就是完成對企業(yè)數(shù)據(jù)訪問的安全策略的分級分類,完成企業(yè)對數(shù)據(jù)的合規(guī)安全訪問政策和措施。
4) 從數(shù)據(jù)資產(chǎn)梳理看:數(shù)據(jù)治理的資產(chǎn)梳理的主要產(chǎn)出物,就是元數(shù)據(jù)。元數(shù)據(jù)管理,即賦予數(shù)據(jù)上下文和含義的參考框架。而數(shù)據(jù)安全治理中的資產(chǎn)梳理,要明確數(shù)據(jù)分級分類的標準,敏感數(shù)據(jù)資產(chǎn)的分布,敏感數(shù)據(jù)資產(chǎn)的訪問狀況和授權(quán)報告。
當然,在當前的數(shù)據(jù)治理中也逐漸在加大對數(shù)據(jù)安全上的一些要求,但相對而言還屬于從屬角色,不那么系統(tǒng)化;這就如同信息安全在IT建設(shè)中的關(guān)系一樣。
大數(shù)據(jù)時代,往往只有那些建立了一定的數(shù)據(jù)治理體系的客戶,才能真正的將商業(yè)智能用起來,用戶才能真正進入商業(yè)智能時代。這個問題在銀行等金融機構(gòu)內(nèi)顯得尤為突出,在數(shù)據(jù)以量大質(zhì)優(yōu)而著稱的行業(yè),缺乏數(shù)據(jù)治理的體系化建設(shè),必然會導(dǎo)致商業(yè)智能價值鏈受阻。因此,要想在數(shù)字化轉(zhuǎn)型中抓住機遇,數(shù)據(jù)治理體系建設(shè)勢在必行。而數(shù)據(jù)安全治理則是其中基礎(chǔ)而又關(guān)鍵的一環(huán)。
CHIMA 2021 | 安華金和解讀醫(yī)療數(shù)據(jù)安全
直播|科學(xué)城·云推介:新技術(shù)+新產(chǎn)品+新服務(wù)
ISC 2021:安華金和深度參與,共建合作生態(tài)、共謀行業(yè)發(fā)展!
視頻回放 | 安華金和攜手愛數(shù)重磅發(fā)布副本數(shù)據(jù)脫敏方案
半年六榜 | 安華金和入選《2020年中國網(wǎng)絡(luò)安全市場全景圖》
安華金和數(shù)據(jù)庫安全實驗室再次發(fā)現(xiàn)Oracle數(shù)據(jù)庫重大漏洞
安華金和榮獲2020年度中國網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟“優(yōu)秀會員單位”