一、數(shù)據(jù)治理
信息系統(tǒng)建設(shè)發(fā)展到一定階段�,數(shù)據(jù)資源將成為戰(zhàn)略資產(chǎn),而有效的數(shù)據(jù)治理才是數(shù)據(jù)資產(chǎn)形成的必要條件����。以銀行業(yè)為例,過(guò)去的十年�,銀行的IT系統(tǒng)經(jīng)歷了數(shù)據(jù)量高速膨脹的時(shí)期,這些海量的�����、分散在不同角落的異構(gòu)數(shù)據(jù)導(dǎo)致了數(shù)據(jù)資源的價(jià)值低、應(yīng)用難度大等問(wèn)題�����。同時(shí)�,銀行內(nèi)部的業(yè)務(wù)條線或行政分化也在不斷地制造著銀行數(shù)據(jù)交互的斷層,而銀行與外部業(yè)務(wù)交互所產(chǎn)生的“體外循環(huán)”數(shù)據(jù)與企業(yè)的核心數(shù)據(jù)體系并不能自然地融合��,這個(gè)時(shí)候數(shù)據(jù)治理體系建設(shè)可能不是銀行的一個(gè)選擇�����,而是唯一的出路��。
數(shù)據(jù)治理的概念:是指從使用零散數(shù)據(jù)變?yōu)槭褂媒y(tǒng)一數(shù)據(jù)�����、從具有很少或沒(méi)有組織和流程到企業(yè)范圍內(nèi)的綜合數(shù)據(jù)治理�����、從嘗試處理數(shù)據(jù)混亂狀況到數(shù)據(jù)井井有條的一個(gè)過(guò)程��。數(shù)據(jù)治理可以確保企業(yè)的數(shù)據(jù)資產(chǎn)得到正確有效的管理�����,數(shù)據(jù)治理從組織架構(gòu)、原則��、過(guò)程和規(guī)則等方面確保數(shù)據(jù)管理的各項(xiàng)職能得到正確的履行�����。
2018年5月����,銀保監(jiān)會(huì)發(fā)布了《銀行業(yè)金融機(jī)構(gòu)數(shù)據(jù)治理指引》,從數(shù)據(jù)治理架構(gòu)�����、數(shù)據(jù)管理���、數(shù)據(jù)質(zhì)量控制、數(shù)據(jù)價(jià)值實(shí)現(xiàn)����、監(jiān)督管理等方面規(guī)范了銀行業(yè)金融機(jī)構(gòu)的數(shù)據(jù)管理活動(dòng)。數(shù)據(jù)治理的戰(zhàn)略組成部分主要包括:數(shù)據(jù)治理的愿景�����、商業(yè)案例摘要(包括例子)、指導(dǎo)原則�、長(zhǎng)遠(yuǎn)目標(biāo)分解、管理措施�����、實(shí)施線路等�。
數(shù)據(jù)治理是一種體系,是一個(gè)關(guān)注于信息系統(tǒng)執(zhí)行層面的體系�����,這一體系的目的是整合IT與業(yè)務(wù)部門的知識(shí)和意見(jiàn)�,通過(guò)一個(gè)類似于監(jiān)督委員會(huì)或項(xiàng)目小組的虛擬組織對(duì)企業(yè)的信息化建設(shè)進(jìn)行全方位的監(jiān)管,這一組織的基礎(chǔ)是企業(yè)高層的授權(quán)和業(yè)務(wù)部門與IT部門的建設(shè)性合作�����。從范圍來(lái)講�,數(shù)據(jù)治理涵蓋了從前端事務(wù)處理系統(tǒng)、后端業(yè)務(wù)數(shù)據(jù)庫(kù)到終端的數(shù)據(jù)分析��,從源頭到終端再回到源頭形成一個(gè)閉環(huán)負(fù)反饋系統(tǒng)(控制理論中趨穩(wěn)的系統(tǒng))�。
從目的來(lái)講�,數(shù)據(jù)治理就是要對(duì)數(shù)據(jù)的獲取��、處理���、使用進(jìn)行監(jiān)管(監(jiān)管就是我們?cè)趫?zhí)行層面對(duì)信息系統(tǒng)的負(fù)反饋)��,而監(jiān)管的職能主要通過(guò)以下五個(gè)方面的執(zhí)行力來(lái)保證——發(fā)現(xiàn)���、監(jiān)督、控制�、溝通、整合����。
二、數(shù)據(jù)安全治理
數(shù)據(jù)治理或者數(shù)據(jù)安全概念�,對(duì)于大多數(shù)IT和安全從業(yè)者來(lái)說(shuō)�����,認(rèn)知度比較高����,但數(shù)據(jù)安全治理�,似乎是個(gè)新名詞�����。實(shí)際上�,對(duì)于擁有重要數(shù)據(jù)資產(chǎn)的政府部門或企業(yè),對(duì)于數(shù)據(jù)資產(chǎn)的保護(hù)��,涉及到數(shù)據(jù)安全治理方面�����,或多或少都有實(shí)踐�,只是尚未體系化、標(biāo)準(zhǔn)化���。
比如����,運(yùn)營(yíng)商行業(yè)的客戶數(shù)據(jù)安全管理規(guī)范及落地的配套管控措施���,一些政府部門的數(shù)據(jù)分級(jí)分類管理規(guī)范��。在國(guó)外由Microsoft推出的DGPC方案(Data Governance for Privacy Confidentiality and Compliance縮寫)���,就是專門強(qiáng)調(diào)隱私�、保護(hù)與合規(guī)的數(shù)據(jù)治理技術(shù)框架����;Gartner研究中在2015年提出了數(shù)據(jù)安全治理這一概念和相應(yīng)的原則與框架,2017年Gartner全球安全大會(huì)中多位分析師在數(shù)據(jù)安全���、信息安全治理���、安全治理的相關(guān)研究報(bào)告中,多次提及并加以強(qiáng)調(diào)����,并且認(rèn)為數(shù)據(jù)安全治理已成為了數(shù)據(jù)安全中的 “風(fēng)暴之眼”(The Eye Of Storm),2018年����,Gartner首次在數(shù)據(jù)安全治理方向上專門推出研究報(bào)告《如何使用數(shù)據(jù)安全治理》,以此為組織中的CDO��、CSO����、CISO提供數(shù)據(jù)安全價(jià)值。
Gartner認(rèn)為數(shù)據(jù)安全治理不僅僅是一套用工具組合的產(chǎn)品級(jí)解決方案�,而是從決策層到技術(shù)層,從管理制度到工具支撐�����,自上而下貫穿整個(gè)組織架構(gòu)的完整鏈條����。組織內(nèi)的各個(gè)層級(jí)之間需要對(duì)數(shù)據(jù)安全治理的目標(biāo)和宗旨取得共識(shí),確保采取合理和適當(dāng)?shù)拇胧?����,以最有效的方式保護(hù)信息資源����,這也是Gartner對(duì)“安全和風(fēng)險(xiǎn)管理”的基本定義。
綜合了國(guó)際相關(guān)框架模型和我國(guó)一些具體的安全實(shí)踐后����,國(guó)內(nèi)對(duì)于數(shù)據(jù)安全治理也提出了適合中國(guó)國(guó)情的概念認(rèn)知——作為一套在中國(guó)易于落地的數(shù)據(jù)安全建設(shè)的體系化方法論,數(shù)據(jù)安全治理是以“讓數(shù)據(jù)使用更安全”為目的的安全體系構(gòu)建的方法論���,是“圍繞數(shù)據(jù)安全使用”的愿景���,覆蓋了安全防護(hù)����、敏感信息管理��、合規(guī)三大目標(biāo)構(gòu)建而成的技術(shù)體系�����,核心內(nèi)容包括:
1)核心理念:分級(jí)分類(Classfiying)�、角色授權(quán)(Privilege)、場(chǎng)景化安全(Scene)����;
2)建設(shè)步驟:組織構(gòu)建、資產(chǎn)梳理���、策略制定���、過(guò)程控制、行為稽核和持續(xù)改善�����;
3)核心實(shí)現(xiàn)框架:數(shù)據(jù)安全人員組織(Person)�、數(shù)據(jù)安全使用的策略和流程(Policy & Process)、數(shù)據(jù)安全技術(shù)支撐(Technology)三大部分��。
三�、兩者的差異表現(xiàn)
從嚴(yán)格意義上來(lái)看,數(shù)據(jù)安全治理是數(shù)據(jù)治理中的一個(gè)過(guò)程��,在今天對(duì)數(shù)據(jù)資產(chǎn)高度重視和個(gè)人隱私數(shù)據(jù)高度監(jiān)管的年代����,數(shù)據(jù)安全治理更應(yīng)該是數(shù)據(jù)治理的一個(gè)重要組成部門。但從實(shí)際操作上來(lái)看���,兩者之間又有很大不同:
1) 從發(fā)起部門看:數(shù)據(jù)治理主要是由IT部門在驅(qū)動(dòng)��;數(shù)據(jù)安全治理主要是由安全合規(guī)部門在驅(qū)動(dòng)��。當(dāng)然兩者的成功都要涉及到業(yè)務(wù)��、運(yùn)維和管理部門甚至公司最高管理決策層����。
2) 從目標(biāo)上看:數(shù)據(jù)治理的目標(biāo)是數(shù)據(jù)驅(qū)動(dòng)商業(yè)發(fā)展,提升企業(yè)數(shù)據(jù)資產(chǎn)價(jià)值�。而數(shù)據(jù)安全治理的目標(biāo)讓數(shù)據(jù)使用中更安全,保障數(shù)據(jù)的安全使用和共享�����,實(shí)質(zhì)也是保障數(shù)據(jù)資產(chǎn)價(jià)值��。
3) 從工作內(nèi)容產(chǎn)出看:數(shù)據(jù)治理工作產(chǎn)出上�,一個(gè)核心成果就是數(shù)據(jù)質(zhì)量提升,通過(guò)數(shù)據(jù)的清洗和規(guī)范的過(guò)程�,獲得有質(zhì)量的數(shù)據(jù)。而數(shù)據(jù)安全治理的重要產(chǎn)出���,就是完成對(duì)企業(yè)數(shù)據(jù)訪問(wèn)的安全策略的分級(jí)分類����,完成企業(yè)對(duì)數(shù)據(jù)的合規(guī)安全訪問(wèn)政策和措施�����。
4) 從數(shù)據(jù)資產(chǎn)梳理看:數(shù)據(jù)治理的資產(chǎn)梳理的主要產(chǎn)出物��,就是元數(shù)據(jù)����。元數(shù)據(jù)管理�����,即賦予數(shù)據(jù)上下文和含義的參考框架。而數(shù)據(jù)安全治理中的資產(chǎn)梳理�,要明確數(shù)據(jù)分級(jí)分類的標(biāo)準(zhǔn),敏感數(shù)據(jù)資產(chǎn)的分布���,敏感數(shù)據(jù)資產(chǎn)的訪問(wèn)狀況和授權(quán)報(bào)告�����。
當(dāng)然��,在當(dāng)前的數(shù)據(jù)治理中也逐漸在加大對(duì)數(shù)據(jù)安全上的一些要求�����,但相對(duì)而言還屬于從屬角色�,不那么系統(tǒng)化�����;這就如同信息安全在IT建設(shè)中的關(guān)系一樣。
大數(shù)據(jù)時(shí)代����,往往只有那些建立了一定的數(shù)據(jù)治理體系的客戶,才能真正的將商業(yè)智能用起來(lái)�����,用戶才能真正進(jìn)入商業(yè)智能時(shí)代�����。這個(gè)問(wèn)題在銀行等金融機(jī)構(gòu)內(nèi)顯得尤為突出����,在數(shù)據(jù)以量大質(zhì)優(yōu)而著稱的行業(yè),缺乏數(shù)據(jù)治理的體系化建設(shè)�����,必然會(huì)導(dǎo)致商業(yè)智能價(jià)值鏈?zhǔn)茏?���。因此,要想在?shù)字化轉(zhuǎn)型中抓住機(jī)遇��,數(shù)據(jù)治理體系建設(shè)勢(shì)在必行。而數(shù)據(jù)安全治理則是其中基礎(chǔ)而又關(guān)鍵的一環(huán)���。
產(chǎn)品咨詢:4000 258 365 
