一�、數(shù)據(jù)治理
信息系統(tǒng)建設(shè)發(fā)展到一定階段��,數(shù)據(jù)資源將成為戰(zhàn)略資產(chǎn)��,而有效的數(shù)據(jù)治理才是數(shù)據(jù)資產(chǎn)形成的必要條件����。以銀行業(yè)為例,過去的十年�,銀行的IT系統(tǒng)經(jīng)歷了數(shù)據(jù)量高速膨脹的時期���,這些海量的��、分散在不同角落的異構(gòu)數(shù)據(jù)導(dǎo)致了數(shù)據(jù)資源的價值低��、應(yīng)用難度大等問題。同時����,銀行內(nèi)部的業(yè)務(wù)條線或行政分化也在不斷地制造著銀行數(shù)據(jù)交互的斷層����,而銀行與外部業(yè)務(wù)交互所產(chǎn)生的“體外循環(huán)”數(shù)據(jù)與企業(yè)的核心數(shù)據(jù)體系并不能自然地融合��,這個時候數(shù)據(jù)治理體系建設(shè)可能不是銀行的一個選擇,而是唯一的出路�����。
數(shù)據(jù)治理的概念:是指從使用零散數(shù)據(jù)變?yōu)槭褂媒y(tǒng)一數(shù)據(jù)���、從具有很少或沒有組織和流程到企業(yè)范圍內(nèi)的綜合數(shù)據(jù)治理���、從嘗試處理數(shù)據(jù)混亂狀況到數(shù)據(jù)井井有條的一個過程�。數(shù)據(jù)治理可以確保企業(yè)的數(shù)據(jù)資產(chǎn)得到正確有效的管理�,數(shù)據(jù)治理從組織架構(gòu)��、原則����、過程和規(guī)則等方面確保數(shù)據(jù)管理的各項職能得到正確的履行。
2018年5月��,銀保監(jiān)會發(fā)布了《銀行業(yè)金融機構(gòu)數(shù)據(jù)治理指引》��,從數(shù)據(jù)治理架構(gòu)、數(shù)據(jù)管理����、數(shù)據(jù)質(zhì)量控制�����、數(shù)據(jù)價值實現(xiàn)��、監(jiān)督管理等方面規(guī)范了銀行業(yè)金融機構(gòu)的數(shù)據(jù)管理活動。數(shù)據(jù)治理的戰(zhàn)略組成部分主要包括:數(shù)據(jù)治理的愿景���、商業(yè)案例摘要(包括例子)、指導(dǎo)原則����、長遠目標分解��、管理措施�����、實施線路等。
數(shù)據(jù)治理是一種體系�����,是一個關(guān)注于信息系統(tǒng)執(zhí)行層面的體系,這一體系的目的是整合IT與業(yè)務(wù)部門的知識和意見��,通過一個類似于監(jiān)督委員會或項目小組的虛擬組織對企業(yè)的信息化建設(shè)進行全方位的監(jiān)管,這一組織的基礎(chǔ)是企業(yè)高層的授權(quán)和業(yè)務(wù)部門與IT部門的建設(shè)性合作���。從范圍來講�����,數(shù)據(jù)治理涵蓋了從前端事務(wù)處理系統(tǒng)���、后端業(yè)務(wù)數(shù)據(jù)庫到終端的數(shù)據(jù)分析�����,從源頭到終端再回到源頭形成一個閉環(huán)負反饋系統(tǒng)(控制理論中趨穩(wěn)的系統(tǒng))����。
從目的來講,數(shù)據(jù)治理就是要對數(shù)據(jù)的獲取�、處理、使用進行監(jiān)管(監(jiān)管就是我們在執(zhí)行層面對信息系統(tǒng)的負反饋)����,而監(jiān)管的職能主要通過以下五個方面的執(zhí)行力來保證——發(fā)現(xiàn)、監(jiān)督�����、控制�、溝通、整合��。
二���、數(shù)據(jù)安全治理
數(shù)據(jù)治理或者數(shù)據(jù)安全概念�,對于大多數(shù)IT和安全從業(yè)者來說����,認知度比較高��,但數(shù)據(jù)安全治理,似乎是個新名詞�����。實際上���,對于擁有重要數(shù)據(jù)資產(chǎn)的政府部門或企業(yè)�����,對于數(shù)據(jù)資產(chǎn)的保護����,涉及到數(shù)據(jù)安全治理方面���,或多或少都有實踐,只是尚未體系化、標準化���。
比如,運營商行業(yè)的客戶數(shù)據(jù)安全管理規(guī)范及落地的配套管控措施���,一些政府部門的數(shù)據(jù)分級分類管理規(guī)范�。在國外由Microsoft推出的DGPC方案(Data Governance for Privacy Confidentiality and Compliance縮寫)����,就是專門強調(diào)隱私��、保護與合規(guī)的數(shù)據(jù)治理技術(shù)框架��;Gartner研究中在2015年提出了數(shù)據(jù)安全治理這一概念和相應(yīng)的原則與框架����,2017年Gartner全球安全大會中多位分析師在數(shù)據(jù)安全、信息安全治理�、安全治理的相關(guān)研究報告中���,多次提及并加以強調(diào)�����,并且認為數(shù)據(jù)安全治理已成為了數(shù)據(jù)安全中的 “風暴之眼”(The Eye Of Storm)�����,2018年,Gartner首次在數(shù)據(jù)安全治理方向上專門推出研究報告《如何使用數(shù)據(jù)安全治理》���,以此為組織中的CDO、CSO��、CISO提供數(shù)據(jù)安全價值����。
Gartner認為數(shù)據(jù)安全治理不僅僅是一套用工具組合的產(chǎn)品級解決方案���,而是從決策層到技術(shù)層�,從管理制度到工具支撐���,自上而下貫穿整個組織架構(gòu)的完整鏈條�����。組織內(nèi)的各個層級之間需要對數(shù)據(jù)安全治理的目標和宗旨取得共識����,確保采取合理和適當?shù)拇胧?�,以最有效的方式保護信息資源,這也是Gartner對“安全和風險管理”的基本定義����。
綜合了國際相關(guān)框架模型和我國一些具體的安全實踐后,國內(nèi)對于數(shù)據(jù)安全治理也提出了適合中國國情的概念認知——作為一套在中國易于落地的數(shù)據(jù)安全建設(shè)的體系化方法論��,數(shù)據(jù)安全治理是以“讓數(shù)據(jù)使用更安全”為目的的安全體系構(gòu)建的方法論,是“圍繞數(shù)據(jù)安全使用”的愿景���,覆蓋了安全防護、敏感信息管理����、合規(guī)三大目標構(gòu)建而成的技術(shù)體系,核心內(nèi)容包括:
1)核心理念:分級分類(Classfiying)���、角色授權(quán)(Privilege)、場景化安全(Scene)�����;
2)建設(shè)步驟:組織構(gòu)建�����、資產(chǎn)梳理����、策略制定��、過程控制、行為稽核和持續(xù)改善�����;
3)核心實現(xiàn)框架:數(shù)據(jù)安全人員組織(Person)、數(shù)據(jù)安全使用的策略和流程(Policy & Process)�、數(shù)據(jù)安全技術(shù)支撐(Technology)三大部分。
三�����、兩者的差異表現(xiàn)
從嚴格意義上來看�����,數(shù)據(jù)安全治理是數(shù)據(jù)治理中的一個過程,在今天對數(shù)據(jù)資產(chǎn)高度重視和個人隱私數(shù)據(jù)高度監(jiān)管的年代�,數(shù)據(jù)安全治理更應(yīng)該是數(shù)據(jù)治理的一個重要組成部門。但從實際操作上來看���,兩者之間又有很大不同:
1) 從發(fā)起部門看:數(shù)據(jù)治理主要是由IT部門在驅(qū)動�;數(shù)據(jù)安全治理主要是由安全合規(guī)部門在驅(qū)動���。當然兩者的成功都要涉及到業(yè)務(wù)����、運維和管理部門甚至公司最高管理決策層�。
2) 從目標上看:數(shù)據(jù)治理的目標是數(shù)據(jù)驅(qū)動商業(yè)發(fā)展,提升企業(yè)數(shù)據(jù)資產(chǎn)價值����。而數(shù)據(jù)安全治理的目標讓數(shù)據(jù)使用中更安全,保障數(shù)據(jù)的安全使用和共享����,實質(zhì)也是保障數(shù)據(jù)資產(chǎn)價值。
3) 從工作內(nèi)容產(chǎn)出看:數(shù)據(jù)治理工作產(chǎn)出上��,一個核心成果就是數(shù)據(jù)質(zhì)量提升����,通過數(shù)據(jù)的清洗和規(guī)范的過程�,獲得有質(zhì)量的數(shù)據(jù)��。而數(shù)據(jù)安全治理的重要產(chǎn)出�,就是完成對企業(yè)數(shù)據(jù)訪問的安全策略的分級分類,完成企業(yè)對數(shù)據(jù)的合規(guī)安全訪問政策和措施����。
4) 從數(shù)據(jù)資產(chǎn)梳理看:數(shù)據(jù)治理的資產(chǎn)梳理的主要產(chǎn)出物,就是元數(shù)據(jù)��。元數(shù)據(jù)管理�����,即賦予數(shù)據(jù)上下文和含義的參考框架��。而數(shù)據(jù)安全治理中的資產(chǎn)梳理����,要明確數(shù)據(jù)分級分類的標準����,敏感數(shù)據(jù)資產(chǎn)的分布,敏感數(shù)據(jù)資產(chǎn)的訪問狀況和授權(quán)報告。
當然�����,在當前的數(shù)據(jù)治理中也逐漸在加大對數(shù)據(jù)安全上的一些要求����,但相對而言還屬于從屬角色,不那么系統(tǒng)化�;這就如同信息安全在IT建設(shè)中的關(guān)系一樣。
大數(shù)據(jù)時代����,往往只有那些建立了一定的數(shù)據(jù)治理體系的客戶,才能真正的將商業(yè)智能用起來�,用戶才能真正進入商業(yè)智能時代。這個問題在銀行等金融機構(gòu)內(nèi)顯得尤為突出���,在數(shù)據(jù)以量大質(zhì)優(yōu)而著稱的行業(yè)��,缺乏數(shù)據(jù)治理的體系化建設(shè)��,必然會導(dǎo)致商業(yè)智能價值鏈受阻�����。因此�����,要想在數(shù)字化轉(zhuǎn)型中抓住機遇�����,數(shù)據(jù)治理體系建設(shè)勢在必行�����。而數(shù)據(jù)安全治理則是其中基礎(chǔ)而又關(guān)鍵的一環(huán)����。
產(chǎn)品咨詢:4000 258 365 
