數據安全治理概述
引言:企業(yè)轉型,對中國大量成長型企業(yè)而言,其轉型的過程就是完成從創(chuàng)業(yè)到成長���,從成熟到規(guī)范成熟的企業(yè)生命體的進化�。其本質就是企業(yè)從單一產品和簡單環(huán)節(jié)的低級或初級的價值創(chuàng)造狀態(tài)�����,向組合產品以及多環(huán)節(jié)整合的高級的價值創(chuàng)造狀態(tài)的轉變和進化��。這是面對市場經濟的迅速發(fā)展及行業(yè)成熟規(guī)律下企業(yè)的自然行為與必然選擇�����。 2017年�,安華金和加快從數據庫安全廠商向數據安全治理產品和服務提供商轉型的步伐�����,致力于在數據安全治理領域大刀闊斧����,開創(chuàng)全新領地。
數據治理或者數據安全在大多數安全從業(yè)者的印象中是比較熟悉的概念�����,但數據安全治理卻似乎是個新名詞��。實際上,對于擁有重要數據資產的企業(yè)或政府部門�����,在數據安全治理方面或多或少都有實踐�,只是尚未系統化的實行。比如運營商行業(yè)的客戶數據安全管理規(guī)范及其落地的配套管控措施����,一些政府部門的數據分級分類管理規(guī)范;在國外由Microsoft 提出的DGPC(Data Governance for Privacy Confidentiality and Compliance)框架也是專門的面向數據安全治理的管理和技術框架�。接下來我們將把數據安全理念分成四篇系列文章,有側重的�,相對系統化地加以闡述。
系列文章
1. 數據安全治理概論
2. 數據安全治理的組織和受眾
3. 數據安全治理的策略與流程
4. 數據安全治理的技術支撐框架
5.數據安全治理小結
今天這篇文章�����,我們通過“數據安全治理”概論對這個全新的理念做個系統化認知�����。
愿景
數據安全治理的愿景�����。在這里,筆者首先要強調的是數據安全治理的目標是——數據安全使用�。我們不談脫離了“使用”的安全,數據存在的目的就是為了使用���,如果不是基于這個前提去談安全�,最終有可能產生無法落地的情況���,或者即使落地,效果也會差強人意��。
數據安全治理概論
數據安全治理的概念——數據安全治理是以數據的安全使用為目的的綜合管理理念����。
三大需求目標:
滿足數據安全保護( Protection)
敏感數據管理(Sensitive)
合規(guī)性( Compliance)
四大重要環(huán)節(jié):
數據的分類( Classify)
梳理( Understand)
管控( Control)
和審計( Audit)
三大核心實現框架:
數據安全人員組織(Person)
數據安全使用的策略和流程( Policy & Process)
數據安全技術支撐(Tech)
圖 1.1 ?數據安全治理理念框架
數據安全治理的需求目標
圍繞“ 數據安全使用” 的愿景, 數據安全治理覆蓋了安全防護�、 敏感信息管理、合規(guī)三大目標 ��;這三個目標比我們過去以防黑客攻擊和滿足合規(guī)性兩大安全目標�,更為全面和完善。經過二十多年信息化和互聯網經濟的發(fā)展��,數據成為繼現金和技術之后又一核心價值資產���;數據黑產在過去十年里蓬勃發(fā)展�����,讓每個人��、每個企業(yè)和國家的數據面臨著巨大威脅��;只有合理地處理好數據資產的使用與安全��,企業(yè)與國家才能在新的數據時代穩(wěn)健而高速發(fā)展���。對于敏感數據的安全管理和使用����,是數據安全治理的核心主題�����。
數據安全治理的核心內容
數據安全治理的核心內容����,首先是來自對數據的有效理解和分析,對數據進行不同類別和密級的劃分 ���;根據數據的類別和密級制定不同的管理和使用原則���,盡可能對數據做到有差別和針對性的防護���,實現在適當安全保護下的數據自由流動。
在數據分級和分類后����,重要的是要描述數據的特征����,以及這些數據在系統內的分布,了解這些數據在被誰訪問�����,這些人是如何使用和訪問數據的�,這就需要完整的數據梳理過程。
在數據有效梳理的基礎上���,我們需要制定出針對不同數據�����、不同使用者的管理控制措施 �����;數據的管控包含數據的收集�、存儲、使用��、分發(fā)和銷毀���。除了數據管控��,我們還需要有效地對數據的訪問行為進行日志記錄����,對收集的日志記錄進行定期地合規(guī)性分析和風險分析���。
數據安全治理的治理框架
在數據安全治理中�,首要任務是成立專門的安全治理團隊���,保證數據安全治理工作能夠長期持續(xù)的得以執(zhí)行�。同時數據安全治理要明確數據治理相關的工作部門和角色(受眾),使數據治理工作能夠有的放矢�。
數據安全治理的策略和流程,要以文件的形式明確企業(yè)(組織)內部的敏感數據有哪些����,敏感數據進行分類和分級,對不同類別和級別的敏感數據的管理控制原則�����,不同的工作部門和角色所具有的權限�,數據使用的不同環(huán)節(jié)所要遵循的控制流程。
數據安全治理的技術支撐�,是要明確在管理控制過程中,采用什么樣的技術手段幫助實現數據的安全管理過程��;這些技術手段可以包括數據的梳理����、數據的訪問控制����、數據的保護、數據的脫敏和分發(fā)��、數據的審計���、數據訪問的風險分析�。
數據安全治理與傳統安全概念的差異
為了更加有效地理解數據安全治理概念與傳統數據安全的差異,我們可以與傳統安全理念進行一個比較:
圖 1.2 ?數據安全治理與傳統安全的差異對比
在整個數據安全治理理念中�,在組織保障方面首先需要成立數據安全治理的組織機構,確保數據安全治理工作在組織內能真正地落地�����。下一篇文章����,我們將重點對數據安全治理的組織與受眾進行重點闡述。
