信息系統建設發展到一定階段,數據資源將成為戰略資產,而有效的數據治理才是數據資產形成的必要條件。以銀行業為例,過去的十年,銀行的IT系統經歷了數據量高速膨脹的時期,這些海量的、分散在不同角落的異構數據導致了數據資源的價值低、應用難度大等問題。同時,銀行內部的業務條線或行政分化也在不斷地制造著銀行數據交互的斷層,而銀行與外部業務交互所產生的“體外循環”數據與企業的核心數據體系并不能自然地融合,這個時候數據治理體系建設可能不是銀行的一個選擇,而是唯一的出路。
數據治理的概念:是指從使用零散數據變為使用統一數據、從具有很少或沒有組織和流程到企業范圍內的綜合數據治理、從嘗試處理數據混亂狀況到數據井井有條的一個過程。數據治理可以確保企業的數據資產得到正確有效的管理,數據治理從組織架構、原則、過程和規則等方面確保數據管理的各項職能得到正確的履行。
2018年5月,銀保監會發布了《銀行業金融機構數據治理指引》,從數據治理架構、數據管理、數據質量控制、數據價值實現、監督管理等方面規范了銀行業金融機構的數據管理活動。數據治理的戰略組成部分主要包括:數據治理的愿景、商業案例摘要(包括例子)、指導原則、長遠目標分解、管理措施、實施線路等。
數據治理是一種體系,是一個關注于信息系統執行層面的體系,這一體系的目的是整合IT與業務部門的知識和意見,通過一個類似于監督委員會或項目小組的虛擬組織對企業的信息化建設進行全方位的監管,這一組織的基礎是企業高層的授權和業務部門與IT部門的建設性合作。從范圍來講,數據治理涵蓋了從前端事務處理系統、后端業務數據庫到終端的數據分析,從源頭到終端再回到源頭形成一個閉環負反饋系統(控制理論中趨穩的系統)。
從目的來講,數據治理就是要對數據的獲取、處理、使用進行監管(監管就是我們在執行層面對信息系統的負反饋),而監管的職能主要通過以下五個方面的執行力來保證——發現、監督、控制、溝通、整合。
數據治理或者數據安全概念,對于大多數IT和安全從業者來說,認知度比較高,但數據安全治理,似乎是個新名詞。實際上,對于擁有重要數據資產的政府部門或企業,對于數據資產的保護,涉及到數據安全治理方面,或多或少都有實踐,只是尚未體系化、標準化。
比如,運營商行業的客戶數據安全管理規范及落地的配套管控措施,一些政府部門的數據分級分類管理規范。在國外由Microsoft推出的DGPC方案(Data Governance for Privacy Confidentiality and Compliance縮寫),就是專門強調隱私、保護與合規的數據治理技術框架;Gartner研究中在2015年提出了數據安全治理這一概念和相應的原則與框架,2017年Gartner全球安全大會中多位分析師在數據安全、信息安全治理、安全治理的相關研究報告中,多次提及并加以強調,并且認為數據安全治理已成為了數據安全中的 “風暴之眼”(The Eye Of Storm),2018年,Gartner首次在數據安全治理方向上專門推出研究報告《如何使用數據安全治理》,以此為組織中的CDO、CSO、CISO提供數據安全價值。
Gartner認為數據安全治理不僅僅是一套用工具組合的產品級解決方案,而是從決策層到技術層,從管理制度到工具支撐,自上而下貫穿整個組織架構的完整鏈條。組織內的各個層級之間需要對數據安全治理的目標和宗旨取得共識,確保采取合理和適當的措施,以最有效的方式保護信息資源,這也是Gartner對“安全和風險管理”的基本定義。
綜合了國際相關框架模型和我國一些具體的安全實踐后,國內對于數據安全治理也提出了適合中國國情的概念認知——作為一套在中國易于落地的數據安全建設的體系化方法論,數據安全治理是以“讓數據使用更安全”為目的的安全體系構建的方法論,是“圍繞數據安全使用”的愿景,覆蓋了安全防護、敏感信息管理、合規三大目標構建而成的技術體系,核心內容包括:
1)核心理念:分級分類(Classfiying)、角色授權(Privilege)、場景化安全(Scene);
2)建設步驟:組織構建、資產梳理、策略制定、過程控制、行為稽核和持續改善;
3)核心實現框架:數據安全人員組織(Person)、數據安全使用的策略和流程(Policy & Process)、數據安全技術支撐(Technology)三大部分。
從嚴格意義上來看,數據安全治理是數據治理中的一個過程,在今天對數據資產高度重視和個人隱私數據高度監管的年代,數據安全治理更應該是數據治理的一個重要組成部門。但從實際操作上來看,兩者之間又有很大不同:
1) 從發起部門看:數據治理主要是由IT部門在驅動;數據安全治理主要是由安全合規部門在驅動。當然兩者的成功都要涉及到業務、運維和管理部門甚至公司最高管理決策層。
2) 從目標上看:數據治理的目標是數據驅動商業發展,提升企業數據資產價值。而數據安全治理的目標讓數據使用中更安全,保障數據的安全使用和共享,實質也是保障數據資產價值。
3) 從工作內容產出看:數據治理工作產出上,一個核心成果就是數據質量提升,通過數據的清洗和規范的過程,獲得有質量的數據。而數據安全治理的重要產出,就是完成對企業數據訪問的安全策略的分級分類,完成企業對數據的合規安全訪問政策和措施。
4) 從數據資產梳理看:數據治理的資產梳理的主要產出物,就是元數據。元數據管理,即賦予數據上下文和含義的參考框架。而數據安全治理中的資產梳理,要明確數據分級分類的標準,敏感數據資產的分布,敏感數據資產的訪問狀況和授權報告。
當然,在當前的數據治理中也逐漸在加大對數據安全上的一些要求,但相對而言還屬于從屬角色,不那么系統化;這就如同信息安全在IT建設中的關系一樣。
大數據時代,往往只有那些建立了一定的數據治理體系的客戶,才能真正的將商業智能用起來,用戶才能真正進入商業智能時代。這個問題在銀行等金融機構內顯得尤為突出,在數據以量大質優而著稱的行業,缺乏數據治理的體系化建設,必然會導致商業智能價值鏈受阻。因此,要想在數字化轉型中抓住機遇,數據治理體系建設勢在必行。而數據安全治理則是其中基礎而又關鍵的一環。
產品咨詢:4000 258 365 
