數據安全治理首先要成立專門的數據安全治理機構,以明確數據安全治理的政策、落實和監督由誰長期負責,以確保數據安全治理的有效落實。成立的機構可以稱為數據安全治理委員會或數據安全治理小組,機構的成員由數據的利益相關者和專家構成,這個機構通常是一個虛擬的機構,這里之所以稱之為利益相關者,是因為這些人不僅僅是數據的使用者,可能是數據本身的代表者(比如用戶),數據的所有者,數據的責任人。數據安全治理委員會或數據安全治理小組,這個機構本身既是安全策略、規范和流程的制定者,也是安全策略、規范和流程的受眾。
在微軟的DGPC框架中(由微軟開發的隱私,保密和合規性框架的數據治理計劃),該機構一般稱之為DGPC團隊,或者叫Data Stewards:
這個團隊的職責是負責制定數據分類、保護、使用和管理的原則、策略和過程;
這個團隊的構成是IT、人資、法律、財務、業務和市場部門等所有參與人、知識產權、私密信息相關的部門;在一些大型的機構中甚至要包括主管的副總裁、董事會成員,因為數據安全問題,逐漸變成對企業生死相關的問題。
數據安全治理的人員中另一個關鍵角色就是數據安全的受眾,這些受眾是數據安全策略、規范和流程的執行者和被管理者;包括了數據的使用者、管理者、維護者、分發者;大多數數據利益相關者都屬于數據安全治理的受眾;將這些人員納入到這個組織中,才能夠使數據安全治理過程中制訂的安全原則、安全措施和安全規范在具體執行中被有效地貫徹落地。
只有有效地構建一個涵蓋業務、管理、安全、執行等部門的數據安全治理組織機構,才能做到業務和安全的有效平衡。
但數據安全治理的早期啟動,可以由業務或安全部門來發起,逐漸完備整個組織的構成。
某運營商的數據安全治理的相關組織和角色結構圖
(注:其中深色是部門,淺色是角色,這個結構中可以看到覆蓋了業務、安全、運維和企業的相關管理支撐部門。)
產品咨詢:4000 258 365 
