數(shù)據(jù)治理或者數(shù)據(jù)安全概念�,對于大多數(shù)IT 和安全從業(yè)者來說�����,認知度比較高���,但數(shù)據(jù)安全治理���,似乎是個新名詞。實際上���,關(guān)于數(shù)據(jù)安全治理原則與框架��,國際研究機構(gòu)Gartner 對此已經(jīng)進行專屬領(lǐng)域的研究�����,大型企業(yè)Microsoft 從數(shù)據(jù)隱私合規(guī)角度也曾向市場提出隱私�,保密和合規(guī)性的數(shù)據(jù)治理方案���。
Gartner認為數(shù)據(jù)安全治理不僅僅是一套用工具組合的產(chǎn)品級解決方案�,是從決策層到技術(shù)層,從管理制度到工具支撐��,自上而下貫穿整個組織架構(gòu)的完整鏈條����。組織內(nèi)的各個層級之間需要對數(shù)據(jù)安全治理的目標和宗旨取得共識,確保采取合理和適當?shù)拇胧?,以最有效的方式保護信息資源,這也是Gartner對“安全和風險管理”的基本定義��。
Gatner數(shù)據(jù)安全治理框架
Step1:業(yè)務(wù)需求與安全(風險/威脅/合規(guī)性)之間的平衡
這里需要考慮5個維度的平衡:經(jīng)營策略��、治理����、合規(guī)、IT策略和風險容忍度�����,這也是治理隊伍開展工作前需要達成統(tǒng)一的5個要素��。
Step2:數(shù)據(jù)優(yōu)先級
進行數(shù)據(jù)分級分類�����,以此對不同級別數(shù)據(jù)實行合理的安全手段。
Step3:制定策略�,降低安全風險
從兩個方向考慮如何實施數(shù)據(jù)安全治理,一是明確數(shù)據(jù)的訪問者(應(yīng)用用戶/數(shù)據(jù)管理人員)�����、訪問對象��、訪問行為����;二是基于這些信息制定不同的���、有針對性的數(shù)據(jù)安全策略�。
Step4:實行安全工具
數(shù)據(jù)是流動的����,數(shù)據(jù)結(jié)構(gòu)和形態(tài)會在整個生命周期中不斷變化,需要采用多種安全工具支撐安全策略的實施����。Gartner在DSG體系中提出了實現(xiàn)安全和風險控制的5個工具:Crypto�����、DCAP���、DLP、CASB�����、IAM����,這5個工具是指5個安全領(lǐng)域,其中可能包含多個具體的技術(shù)手段���。
Step5:策略配置同步
策略配置同步主要針對DCAP的實施而言�����,集中管理數(shù)據(jù)安全策略是DCAP的核心功能���,而無論訪問控制、脫敏�、加密�、令牌化�,哪種手段都必須注意對數(shù)據(jù)訪問和使用的安全策略保持同步下發(fā),策略執(zhí)行對象應(yīng)包括關(guān)系型數(shù)據(jù)庫��、大數(shù)據(jù)類型��、文檔文件�����、云端數(shù)據(jù)等數(shù)據(jù)類型�����。
Microsoft的DGPC理念
由微軟開發(fā)的隱私�,保密和合規(guī)性(DGPC)框架的數(shù)據(jù)治理計劃���,是為了企業(yè)和組織能夠以統(tǒng)一�����、跨學(xué)科的方式來實現(xiàn)以下三個目標���,而非組織內(nèi)不同部門獨立解決這三個不同的問題:
1)傳統(tǒng)的IT安全方法側(cè)重于IT基礎(chǔ)設(shè)施��,通過邊界安全與終端安全進行保護���。重點應(yīng)該加強對存儲數(shù)據(jù)的保護,并隨基礎(chǔ)設(shè)施移動�����,加強保護�����;
2)隱私相關(guān)的保護措施必須超越與安全重疊的隱私保護措施���,包括:重點獲取�����、保護和執(zhí)行客戶對如何及何時收集���、處理或第三方共享的行為保護措施;
3)數(shù)據(jù)安全和數(shù)據(jù)隱私合規(guī)責任需要通過一套統(tǒng)一的控制目標和控制行為��,進行合理化處理�,以滿足合規(guī)����。
DGPC框架與企業(yè)現(xiàn)有的IT管理和控制框架(如COBIT)以及ISO / IEC 27001/27002和支付卡行業(yè)數(shù)據(jù)安全標準(PCI DSS)等安全標準協(xié)同工作���。DGPC框架圍繞三個核心能力領(lǐng)域組織�����,涵蓋人員���,流程和技術(shù)三個部分。
在以上國際視角對數(shù)據(jù)安全理解的基礎(chǔ)上��,并且和我國一些具體的安全實踐相結(jié)合����,安華金和提出了一套在中國易于落地的數(shù)據(jù)安全建設(shè)的體系化方法論�。
數(shù)據(jù)安全治理是以“讓數(shù)據(jù)使用更安全”為目的的安全體系構(gòu)建的方法論,核心內(nèi)容包括:
(1)滿足數(shù)據(jù)安全保護(Protection)����、合規(guī)性(Compliance)、敏感數(shù)據(jù)管理(Sensitive)
三個需求目標����;
(2)核心理念包括:分級分類(Classfiying)�����、角色授權(quán)(Privilege)��、場景化安全(Scene)��;
(3)數(shù)據(jù)安全治理的建設(shè)步驟包括:組織構(gòu)建���、資產(chǎn)梳理、策略制定���、過程控制��、行
為稽核和持續(xù)改善�����;
(4)核心實現(xiàn)框架為數(shù)據(jù)安全人員組織(Person)�����、數(shù)據(jù)安全使用的策略和流程(Policy
& Process)��、數(shù)據(jù)安全技術(shù)支撐(Technology)三大部分���。
安華金和在中國國內(nèi)提出的這一數(shù)據(jù)安全治理理念與技術(shù)路線�����,填補了該理念在中國的空白��,更有效推動實現(xiàn)該理念在國內(nèi)的執(zhí)行落地��。
產(chǎn)品咨詢:4000 258 365 
