數據治理或者數據安全概念,對于大多數IT 和安全從業者來說,認知度比較高,但數據安全治理,似乎是個新名詞。實際上,關于數據安全治理原則與框架,國際研究機構Gartner 對此已經進行專屬領域的研究,大型企業Microsoft 從數據隱私合規角度也曾向市場提出隱私,保密和合規性的數據治理方案。
Gartner認為數據安全治理不僅僅是一套用工具組合的產品級解決方案,是從決策層到技術層,從管理制度到工具支撐,自上而下貫穿整個組織架構的完整鏈條。組織內的各個層級之間需要對數據安全治理的目標和宗旨取得共識,確保采取合理和適當的措施,以最有效的方式保護信息資源,這也是Gartner對“安全和風險管理”的基本定義。
Gatner數據安全治理框架
Step1:業務需求與安全(風險/威脅/合規性)之間的平衡
這里需要考慮5個維度的平衡:經營策略、治理、合規、IT策略和風險容忍度,這也是治理隊伍開展工作前需要達成統一的5個要素。
Step2:數據優先級
進行數據分級分類,以此對不同級別數據實行合理的安全手段。
Step3:制定策略,降低安全風險
從兩個方向考慮如何實施數據安全治理,一是明確數據的訪問者(應用用戶/數據管理人員)、訪問對象、訪問行為;二是基于這些信息制定不同的、有針對性的數據安全策略。
Step4:實行安全工具
數據是流動的,數據結構和形態會在整個生命周期中不斷變化,需要采用多種安全工具支撐安全策略的實施。Gartner在DSG體系中提出了實現安全和風險控制的5個工具:Crypto、DCAP、DLP、CASB、IAM,這5個工具是指5個安全領域,其中可能包含多個具體的技術手段。
Step5:策略配置同步
策略配置同步主要針對DCAP的實施而言,集中管理數據安全策略是DCAP的核心功能,而無論訪問控制、脫敏、加密、令牌化,哪種手段都必須注意對數據訪問和使用的安全策略保持同步下發,策略執行對象應包括關系型數據庫、大數據類型、文檔文件、云端數據等數據類型。
由微軟開發的隱私,保密和合規性(DGPC)框架的數據治理計劃,是為了企業和組織能夠以統一、跨學科的方式來實現以下三個目標,而非組織內不同部門獨立解決這三個不同的問題:
1)傳統的IT安全方法側重于IT基礎設施,通過邊界安全與終端安全進行保護。重點應該加強對存儲數據的保護,并隨基礎設施移動,加強保護;
2)隱私相關的保護措施必須超越與安全重疊的隱私保護措施,包括:重點獲取、保護和執行客戶對如何及何時收集、處理或第三方共享的行為保護措施;
3)數據安全和數據隱私合規責任需要通過一套統一的控制目標和控制行為,進行合理化處理,以滿足合規。
DGPC框架與企業現有的IT管理和控制框架(如COBIT)以及ISO / IEC 27001/27002和支付卡行業數據安全標準(PCI DSS)等安全標準協同工作。DGPC框架圍繞三個核心能力領域組織,涵蓋人員,流程和技術三個部分。
在以上國際視角對數據安全理解的基礎上,并且和我國一些具體的安全實踐相結合,安華金和提出了一套在中國易于落地的數據安全建設的體系化方法論。
數據安全治理是以“讓數據使用更安全”為目的的安全體系構建的方法論,核心內容包括:
(1)滿足數據安全保護(Protection)、合規性(Compliance)、敏感數據管理(Sensitive)
三個需求目標;
(2)核心理念包括:分級分類(Classfiying)、角色授權(Privilege)、場景化安全(Scene);
(3)數據安全治理的建設步驟包括:組織構建、資產梳理、策略制定、過程控制、行
為稽核和持續改善;
(4)核心實現框架為數據安全人員組織(Person)、數據安全使用的策略和流程(Policy
& Process)、數據安全技術支撐(Technology)三大部分。
安華金和在中國國內提出的這一數據安全治理理念與技術路線,填補了該理念在中國的空白,更有效推動實現該理念在國內的執行落地。
產品咨詢:4000 258 365 
