數(shù)據(jù)安全治理(簡(jiǎn)稱(chēng):DSG)是以“讓數(shù)據(jù)使用更安全”為目的的安全體系構(gòu)建的方法論�,核心內(nèi)容包括:
(1)滿足數(shù)據(jù)安全保護(hù)(Protection)、合規(guī)性(Compliance)���、敏感數(shù)據(jù)管理(Sensitive)三個(gè)需求目標(biāo)���;
(2)核心理念包括:分級(jí)分類(lèi)(Classfiying)、角色授權(quán)(Privilege)��、場(chǎng)景化安全(Scene)�;
(3)數(shù)據(jù)安全治理的建設(shè)步驟包括:組織構(gòu)建、資產(chǎn)梳理����、策略制定、過(guò)程控制����、行為稽核和持續(xù)改善;
(4)核心實(shí)現(xiàn)框架為數(shù)據(jù)安全人員組織(Person)、數(shù)據(jù)安全使用的策略和流程(Policy & Process)���、數(shù)據(jù)安全技術(shù)支撐(Technology)三大部分��。
數(shù)據(jù)安全成熟度模型(簡(jiǎn)稱(chēng):DSMM)是另一個(gè)數(shù)據(jù)安全建設(shè)中的系統(tǒng)化框架����,是圍繞數(shù)據(jù)的生命周期����、結(jié)合大數(shù)據(jù)業(yè)務(wù)的需求以及監(jiān)管法規(guī)的要求,持續(xù)不斷的提升組織整體的數(shù)據(jù)安全能力�����,以數(shù)據(jù)為核心的安全框架���。
DSMM核心框架圖
主要包含以下三個(gè)維度:
1) 數(shù)據(jù)生命周期安全:圍繞數(shù)據(jù)生命周期��,提煉出大數(shù)據(jù)環(huán)境下��,以數(shù)據(jù)為中心,針對(duì)數(shù)據(jù)生命周期各階段建立的相關(guān)數(shù)據(jù)安全過(guò)程域體系�����。
2) 安全能力維度:明確組織機(jī)構(gòu)在各數(shù)據(jù)安全領(lǐng)域所需要具備的能力維度,明確為制度流程�、人員能力、組織建設(shè)和技術(shù)工具四個(gè)關(guān)鍵能力的維度��。
3) 能力成熟度等級(jí):基于統(tǒng)一的分級(jí)標(biāo)準(zhǔn)�����,細(xì)化組織機(jī)構(gòu)在各數(shù)據(jù)安全過(guò)程域的5個(gè)級(jí)別的能力成熟度分級(jí)要求��。
DSMM模型與DSG理論之間既有相同���,又有區(qū)別���;兩個(gè)安全體系都強(qiáng)調(diào)以數(shù)據(jù)為中心建立系統(tǒng)化的數(shù)據(jù)安全體系,在數(shù)據(jù)安全的建設(shè)上���,都不是強(qiáng)調(diào)唯技術(shù)論���,都強(qiáng)調(diào)組織建設(shè)、制度流程和技術(shù)工具的綜合作用�。
DSG和DSMM有以下重要區(qū)別:
1) DSG是以數(shù)據(jù)的分級(jí)分類(lèi)為核心,進(jìn)行安全策略的設(shè)定;DSMM是以數(shù)據(jù)的生命周期為核心����,尋求安全策略的覆蓋;
2) DSG體系化建議了數(shù)據(jù)使用或服務(wù)的人員的角色�����,根據(jù)角色對(duì)數(shù)據(jù)使用的主要場(chǎng)景���,提供建議的安全措施���,以及所要使用的安全工具;而DSMM更多的是提供一種評(píng)估方法��,看數(shù)據(jù)使用的過(guò)程中���,企業(yè)是否定義了明確的控制措施����,并無(wú)具體化的方法推薦���;
3) DSG并不那么強(qiáng)調(diào)數(shù)據(jù)的生命周期���,DSG反對(duì)在數(shù)據(jù)的生命周期中不區(qū)分化的安全措施�����,DSG強(qiáng)調(diào)針對(duì)數(shù)據(jù)使用場(chǎng)景��,滿足數(shù)據(jù)使用需求后的針對(duì)性安全措施�����;比如在開(kāi)發(fā)測(cè)試環(huán)境,需要采用脫敏的技術(shù)獲得高仿真數(shù)據(jù)��,在這種場(chǎng)景下不強(qiáng)調(diào)審計(jì)�、管控和加密等措施�����;
4) 在DSG體系中���,將安全體系的構(gòu)建�,明確歸納為安全政策的制定��,技術(shù)支撐平臺(tái)的建設(shè)�,安全政策執(zhí)行有效性的監(jiān)督����,安全政策的改善這一持續(xù)循環(huán)過(guò)程;而DSMM對(duì)安全成熟度進(jìn)行了等級(jí)化分級(jí)�����,將持續(xù)改善定義為了最高級(jí)別���;在DSG的理念中����,無(wú)論在完成了多少的安全建設(shè),持續(xù)改善都是一個(gè)標(biāo)準(zhǔn)動(dòng)作�。
5) 從本質(zhì)上講�,DSG更像一種方法論,幫助企業(yè)如何迅速構(gòu)建一套行之有效的數(shù)據(jù)安全體系�;而DSMM更像一種評(píng)估方法,像一個(gè)考試���,讓企業(yè)或監(jiān)管機(jī)構(gòu)來(lái)評(píng)價(jià)企業(yè)當(dāng)前的安全建設(shè)狀態(tài)。
產(chǎn)品咨詢(xún):4000 258 365 
