數據安全治理(簡稱:DSG)是以“讓數據使用更安全”為目的的安全體系構建的方法論,核心內容包括:
(1)滿足數據安全保護(Protection)��、合規性(Compliance)��、敏感數據管理(Sensitive)三個需求目標;
(2)核心理念包括:分級分類(Classfiying)����、角色授權(Privilege)��、場景化安全(Scene);
(3)數據安全治理的建設步驟包括:組織構建����、資產梳理�����、策略制定��、過程控制、行為稽核和持續改善����;
(4)核心實現框架為數據安全人員組織(Person)����、數據安全使用的策略和流程(Policy & Process)�����、數據安全技術支撐(Technology)三大部分�。
數據安全成熟度模型(簡稱:DSMM)是另一個數據安全建設中的系統化框架�,是圍繞數據的生命周期、結合大數據業務的需求以及監管法規的要求����,持續不斷的提升組織整體的數據安全能力,以數據為核心的安全框架。
DSMM核心框架圖
主要包含以下三個維度:
1) 數據生命周期安全:圍繞數據生命周期����,提煉出大數據環境下���,以數據為中心���,針對數據生命周期各階段建立的相關數據安全過程域體系��。
2) 安全能力維度:明確組織機構在各數據安全領域所需要具備的能力維度,明確為制度流程���、人員能力、組織建設和技術工具四個關鍵能力的維度��。
3) 能力成熟度等級:基于統一的分級標準�����,細化組織機構在各數據安全過程域的5個級別的能力成熟度分級要求��。
DSMM模型與DSG理論之間既有相同,又有區別�;兩個安全體系都強調以數據為中心建立系統化的數據安全體系��,在數據安全的建設上,都不是強調唯技術論,都強調組織建設���、制度流程和技術工具的綜合作用。
DSG和DSMM有以下重要區別:
1) DSG是以數據的分級分類為核心,進行安全策略的設定;DSMM是以數據的生命周期為核心,尋求安全策略的覆蓋;
2) DSG體系化建議了數據使用或服務的人員的角色,根據角色對數據使用的主要場景��,提供建議的安全措施��,以及所要使用的安全工具����;而DSMM更多的是提供一種評估方法�,看數據使用的過程中��,企業是否定義了明確的控制措施����,并無具體化的方法推薦����;
3) DSG并不那么強調數據的生命周期,DSG反對在數據的生命周期中不區分化的安全措施,DSG強調針對數據使用場景���,滿足數據使用需求后的針對性安全措施;比如在開發測試環境,需要采用脫敏的技術獲得高仿真數據�,在這種場景下不強調審計���、管控和加密等措施��;
4) 在DSG體系中,將安全體系的構建���,明確歸納為安全政策的制定��,技術支撐平臺的建設,安全政策執行有效性的監督,安全政策的改善這一持續循環過程�����;而DSMM對安全成熟度進行了等級化分級��,將持續改善定義為了最高級別����;在DSG的理念中�,無論在完成了多少的安全建設,持續改善都是一個標準動作。
5) 從本質上講,DSG更像一種方法論���,幫助企業如何迅速構建一套行之有效的數據安全體系�;而DSMM更像一種評估方法,像一個考試����,讓企業或監管機構來評價企業當前的安全建設狀態�����。
產品咨詢:4000 258 365 
