數(shù)據(jù)安全治理的參與者
引言:數(shù)據(jù)安全治理是由組織中分工明確的人來主導(dǎo)實(shí)施的一項(xiàng)系統(tǒng)性工程。該項(xiàng)工作得以良好運(yùn)作有賴于三大要素:人員組織、策略流程和技術(shù)工具��。
數(shù)據(jù)安全治理機(jī)構(gòu)
數(shù)據(jù)安全治理工作的展開首先要成立專門的數(shù)據(jù)安全治理機(jī)構(gòu)����,以明確數(shù)據(jù)安全治理的政策����、落實(shí)和監(jiān)督由誰長期負(fù)責(zé),以確保數(shù)據(jù)安全治理的有效落實(shí)���。
通常�,我們可以將成立的機(jī)構(gòu)稱之為“數(shù)據(jù)安全治理委員會(huì)”或“數(shù)據(jù)安全治理小組”����,該機(jī)構(gòu)并非傳統(tǒng)意義上的實(shí)體機(jī)構(gòu),屬于一個(gè)虛擬的機(jī)構(gòu)��,機(jī)構(gòu)成員由數(shù)據(jù)的利益相關(guān)者和專家構(gòu)成����,這里之所以稱之為利益相關(guān)者,是因?yàn)檫@些人可能不僅僅是數(shù)據(jù)的使用者�����,也是數(shù)據(jù)本身的代表者( 比如用戶)����,數(shù)據(jù)的所有者,數(shù)據(jù)的責(zé)任人�。
數(shù)據(jù)安全治理委員會(huì)或數(shù)據(jù)安全治理小組這個(gè)機(jī)構(gòu)本身既是安全策略、安全規(guī)范和安全流程的制定者�,也是安全策略、規(guī)范和流程的受眾���。
在 DGPC 框架中這個(gè)機(jī)構(gòu)一般稱之為DGPC 團(tuán)隊(duì)����, 或者叫 Data Stewards��,這個(gè)團(tuán)隊(duì)的職責(zé)是 :This is a virtual organization whose members are collectively responsible for defining principles, policies and procedures that govern key aspects of data classification, protection, use and management.?
① 制定數(shù)據(jù)分類�����、保護(hù)���、使用��、管理的原則
② 制定數(shù)據(jù)分類���、保護(hù)�����、使用�����、管理的策略
③ 制定數(shù)據(jù)分類����、保護(hù)���、使用�、管理的流程
這個(gè)團(tuán)隊(duì)的構(gòu)成是:IT, human resources, legal and finance departments as well as business groups and the marketing department—in short, any group with a stake in collecting, processing, using and managing personally identifiable information (PII), intellectual property, trade secrets and other types of confidential information.(IT�、人資、法務(wù)��、財(cái)務(wù)����、業(yè)務(wù)和市場(chǎng)部門等所有與人、知識(shí)產(chǎn)權(quán)��、私密信息相關(guān)的部門)
機(jī)構(gòu)五大責(zé)任
數(shù)據(jù)安全治理的正式機(jī)構(gòu)的成立,標(biāo)志著一個(gè)組織在數(shù)據(jù)安全治理工作上的正式啟動(dòng)���,使組織內(nèi)數(shù)據(jù)安全規(guī)范制定、數(shù)據(jù)安全技術(shù)導(dǎo)入���、數(shù)據(jù)安全體系建設(shè)得以不斷完善�。數(shù)據(jù)安全治理機(jī)構(gòu)成立后�,需要完成以下職責(zé):
(1)數(shù)據(jù)的分級(jí)分類原則的制定
數(shù)據(jù)的分級(jí)分類原則,往往是數(shù)據(jù)安全治理機(jī)構(gòu)成立后要解決的核心問題����。只有先制定合理有效的分級(jí)分類原則,才能在紛雜廣袤的數(shù)據(jù)中�,明確出核心敏感數(shù)據(jù)、次要敏感數(shù)據(jù)���、公開共享數(shù)據(jù)�����,從而基于此再設(shè)定數(shù)據(jù)的不同分享策略和原則���。
(2)數(shù)據(jù)安全使用(管理)規(guī)范的制定
數(shù)據(jù)安全使用規(guī)范的制定����,標(biāo)志著數(shù)據(jù)安全治理進(jìn)入到一個(gè)規(guī)范化的階段���,有了可靠的演進(jìn)框架���。
在這個(gè)階段的初期,要完成敏感數(shù)據(jù)的分布梳理�、內(nèi)部角色的梳理、數(shù)據(jù)的使用狀況梳理����。基于此�����,了解清楚不同類別的敏感數(shù)據(jù)是如何被相關(guān)者使用的��。
中期���,要完成在現(xiàn)狀基礎(chǔ)上的安全分析����,要明確常規(guī)合理、合法行為�;要明確風(fēng)險(xiǎn)、非法的行為��;要明確在特定情況下數(shù)據(jù)訪問越級(jí)的審批結(jié)構(gòu)���。
最后,我們要清晰有序地將這些角色����、訪問過程的控制要求明確為受整個(gè)組織認(rèn)可的文件,以官方的形式正式下發(fā)�����。
(3)數(shù)據(jù)安全治理技術(shù)的導(dǎo)入
數(shù)據(jù)已經(jīng)成為人類歷史上積累出來的最大資產(chǎn)和財(cái)富����,數(shù)據(jù)安全規(guī)范的執(zhí)行,不可能依托于人工的方式完成���,任何依托于人工的方式�,都是不可想象的��。
必須要引入大量的現(xiàn)代化的技術(shù)和工具,幫助完成數(shù)據(jù)的梳理�、控制、行為監(jiān)控和風(fēng)險(xiǎn)預(yù)警���。
(4)數(shù)據(jù)安全使用規(guī)范的監(jiān)督執(zhí)行
作為數(shù)據(jù)安全治理中的核心機(jī)構(gòu)����,信息部門在數(shù)據(jù)安全管理規(guī)范制定完成后����,最重要的是職責(zé)是監(jiān)督規(guī)范的執(zhí)行,處理異常和風(fēng)險(xiǎn)行為��。
而數(shù)據(jù)安全治理中的相關(guān)業(yè)務(wù)和使用部門��,職責(zé)在于將安全管理規(guī)范在本部門內(nèi)落地��、執(zhí)行�。
(5)數(shù)據(jù)安全治理的持續(xù)演進(jìn)
數(shù)據(jù)安全治理不是一蹴而就的事情,有了首期的框架后���,我們要根據(jù)執(zhí)行中所面臨的風(fēng)險(xiǎn)狀況���、安全事件�����、組織架構(gòu)調(diào)整�����、業(yè)務(wù)系統(tǒng)上線等�����,完成對(duì)安全治理中的安全管理規(guī)范、技術(shù)支撐平臺(tái)的演進(jìn)�����。
數(shù)據(jù)安全治理受眾
數(shù)據(jù)安全治理人員中的另一個(gè)關(guān)鍵角色就是數(shù)據(jù)安全的受眾�����,這些受眾涵蓋了數(shù)據(jù)安全策略�����、規(guī)范和流程的執(zhí)行者和被管理者��;數(shù)據(jù)的使用者、管理者�、維護(hù)者、分發(fā)者���。實(shí)際上����,大多數(shù)數(shù)據(jù)利益相關(guān)者都屬于數(shù)據(jù)安全治理的受眾��。
常見的組織中與數(shù)據(jù)相關(guān)的部門包括:
安全管理部門:安全制度制定��、安全檢查���、技術(shù)導(dǎo)入����、事件監(jiān)控與處理 業(yè)務(wù)部門:業(yè)務(wù)人員安全管理�、業(yè)務(wù)人員行為審計(jì)、業(yè)務(wù)合作方管理 運(yùn)維部門:運(yùn)維人員行為規(guī)范與管理���、運(yùn)維行為審計(jì)���、運(yùn)維第三方管理 其它:第三方外包�����、人事���、采購、審計(jì)等部門?
部門內(nèi)不同角色在數(shù)據(jù)安全治理中的職責(zé)�,一般包括: 安全管理部門:政策制定者、檢查與審計(jì)管理���、技術(shù)導(dǎo)入者 業(yè)務(wù)部門:根據(jù)單位的業(yè)務(wù)職能劃分 運(yùn)維部門:運(yùn)行維護(hù)����、開發(fā)測(cè)試���、生產(chǎn)支撐
組織框架舉例
以某政府部門的數(shù)據(jù)安全治理組織框架為例:
圖1某政府部門的數(shù)據(jù)安全治理組織框架圖
圖2 某運(yùn)營商的數(shù)據(jù)安全治理的相關(guān)組織和角色結(jié)構(gòu)圖
以某運(yùn)營商搭建的數(shù)據(jù)安全治理組織框架為例:業(yè)務(wù)管理部門、信息安全部門�、運(yùn)維支撐部門,以及企業(yè)信息部�����、審計(jì)部組成的其他部門等都是直接接觸數(shù)據(jù)的核心部門,無論是借助數(shù)據(jù)來開展正常的業(yè)務(wù)工作��,還是對(duì)信息數(shù)據(jù)進(jìn)行安全防護(hù)��,亦或參與數(shù)據(jù)的測(cè)試�、開發(fā)、共享和維護(hù)���,都已經(jīng)是肩負(fù)起了數(shù)據(jù)安全的保護(hù)義務(wù)和責(zé)任�,這些受眾的日常工作行為需要在既定的數(shù)據(jù)安全策略與規(guī)范下展開����,遵從數(shù)據(jù)安全流程來共同參與數(shù)據(jù)安全的治理工作。
結(jié)語
人或者團(tuán)隊(duì)是一切工作的核心�,確定好數(shù)據(jù)安全治理的組織架構(gòu)、角色分工�,才能進(jìn)一步明確權(quán)責(zé),形成科學(xué)合理的管理秩序���,繼而保障數(shù)據(jù)安全治理工作可以井然有序的推進(jìn)下去�。
北京安華金和科技有限公司 ?2015 版權(quán)所有 ICP備10053980號(hào) 京公網(wǎng)安備11010802010569號(hào)
