数据安全治理——数据安全的必由之路.docx

数据安全的必由之路：数据安全治理 引言：企业转型，对中国大量成长型企业而言，其转型的过程就是完成从创业到成长，从成熟到规范成熟的企业生命体的进化。其本质就是企业从单一产品和简单环节的低级或初级的价值创造状态，向组合产品以及多环节整合的高级的价值创造状态的转变和进化。这是面对市场经济的迅速发展及行业成熟规律下企业的自然行为与必然选择。2017年，安华金和加快从数据库安全厂商向数据安全治理产品和服务提供商转型的步伐，致力于在数据安全治理领域大刀阔斧，开创全新领地。 数据治理或者数据安全在大多数安全从业者的印象中是比较熟悉的概念，但数据安全治理却似乎是个新名词。实际上，对于拥有重要数据资产的企业或政府部门，在数据安全治理方面或多或少都有实践，只是尚未系统化的实行。比如运营商行业的客户数据安全管理规范及其落地的配套管控措施，一些政府部门的数据分级分类管理规范；在国外由Microsoft 提出的DGPC（Data Governance for Privacy Confidentiality and Compliance）框架也是专门的面向数据安全治理的管理和技术框架。接下来我们将把数据安全理念分成四篇系列文章，有侧重的，相对系统化地加以阐述。 1. 数据安全治理概论 2. 数据安全治理的组织和受众 3. 数据安全治理的策略与流程 4. 数据安全治理的技术支撑框架 5. 数据安全治理小结 今天这篇文章，我们对“数据安全治理”概论做个认知。 一. 愿景 数据安全治理的愿景。在这里，笔者首先要强调的是数据安全治理的目标是——数据安全使用。我们不谈脱离了“使用”的安全，数据存在的目的就是为了使用，如果不是基于这个前提去谈安全，最终有可能产生无法落地的情况，或者即使落地，效果也会差强人意。 1.1 数据安全治理概论 数据安全治理的概念——数据安全治理是以数据的安全使用为目的的综合管理理念。 三个需求目标： 数据安全保护（Protection） 敏感数据管理（Sensitive） 合规性（Compliance） 四大重要环节： 数据的分类（Classify) 梳理（Understand） 管控（Control） 和审计（Audit） 三大核心实现框架： 数据安全人员组织（Person） 数据安全使用的策略和流程（Policy & Process） 数据安全技术支撑（Tech） 数据安全治理理念框架 1.2 数据安全治理的需求目标 围绕“ 数据安全使用” 的愿景， 数据安全治理覆盖了安全防护、 敏感信息管理、合规三大目标 ；这三个目标比我们过去以防黑客攻击和满足合规性两大安全目标，更为全面和完善。经过二十多年信息化和互联网经济的发展，数据成为继现金和技术之后又一核心价值资产；数据黑产在过去十年里蓬勃发展，让每个人、每个企业和国家的数据面临着巨大威胁；只有合理地处理好数据资产的使用与安全，企业与国家才能在新的数据时代稳健而高速发展。对于敏感数据的安全管理和使用，是数据安全治理的核心主题。 二. 数据安全治理的核心内容 数据安全治理的核心内容，首先是来自对数据的有效理解和分析，对数据进行不同类别和密级的划分 ；根据数据的类别和密级制定不同的管理和使用原则，尽可能对数据做到有差别和针对性的防护，实现在适当安全保护下的数据自由流动。 在数据分级和分类后，重要的是要描述数据的特征，以及这些数据在系统内的分布，了解这些数据在被谁访问，这些人是如何使用和访问数据的，这就需要完整的数据梳理过程。 在数据有效梳理的基础上，我们需要制定出针对不同数据、不同使用者的管理控制措施 ；数据的管控包含数据的收集、存储、使用、分发和销毁。除了数据管控，我们还需要有效地对数据的访问行为进行日志记录，对收集的日志记录进行定期地合规性分析和风险分析。 三. 数据安全治理框架 在数据安全治理中，首要任务是成立专门的安全治理团队，保证数据安全治理工作能够长期持续的得以执行。同时数据安全治理要明确数据治理相关的工作部门和角色（受众），使数据治理工作能够有的放矢。 数据安全治理的策略和流程，要以文件的形式明确企业（组织）内部的敏感数据有哪些，敏感数据进行分类和分级，对不同类别和级别的敏感数据的管理控制原则，不同的工作部门和角色所具有的权限，数据使用的不同环节所要遵循的控制流程。 数据安全治理的技术支撑，是要明确在管理控制过程中，采用什么样的技术手段帮助实现数据的安全管理过程；这些技术手段可以包括数据的梳理、数据的访问控制、数据的保护、数据的脱敏和分发、数据的审计、数据访问的风险分析。 四. 数据安全治理与传统安全概念的差异 为了更加有效地理解数据安全治理概念与传统数据安全的差异，我们可以与传统安全理念进行一个比较： 差异对比 数据安全治理 传统安全 目标方面 以数据的安全使用为目标 以数据的安全防护，不受攻击为目标 对象方面 面向内部或准内部人员，以这些人员行为的安全管控为主要对象 面向外部黑客，以对外部黑客或入侵者的防控为主要对象 理念方面 以数据分级分类为基础，以信息合理、安全流动为目标 以区域隔离、安全域划分为目标 手段方面 以信息使用过程的安全管理和技术支撑为手段 以边界防护为主要安全手段 融合方面 安全产品技术和流程管理深度整合 管理与技术相对分离 数据安全治理与传统数据安全的差异对比 在整个数据安全治理理念中，在组织保障方面首先需要成立数据安全治理的组织机构，确保数据安全治理工作在组织内能真正地落地。下一篇文章，我们将重点对数据安全治理的组织与受众进行重点阐述。 0万U豆体验卡 卡号：50D890668267e3349e33 密码：686d03401eefba96faba 奖品名称：500万U豆体验卡 卡号：50De7a00c543af387fc0 密码：b26488ce65abc1787202 奖品名称：500万U豆体验卡 卡号：50Dbac638 85c802fd52e 密码：3d1c344384327b85efff 奖品名称：500万U豆体验卡 卡号：50Dd97f0765bdf6998a3 密码：48db1c14e42a2b321fac 奖品名称：500万U豆体50D61 215eb41ae3cc919 密码：25bffae5346e7b7d2548 奖品名称：100万U豆体验卡 卡号：10D1cab621456ab278ab 密码：709f65f32865af2559c2 奖品名称：100万U豆体验卡 卡号：10D8f1d6a4b953f3474e 密码：6e2e4017cce30dc7e055 奖品名称：100万U豆体验卡 卡号：10Dd1fc6d6dd529b6892 密码：a5dbdd8338f91d2c0701 奖品名称：100万U豆体验卡 卡号：10D08377b71d4374262b 密码：1d7a7c21ebd99b798a54 - 5 - © 2017 安华金和