数据安全治理是数据治理的重要内容,横跨IT治理架构中数据管理和风险管理两个重要闭环。为了减轻安全威胁、数据驻留和隐私问题带来的风险,安全和风险管理领导者应当引入适用企业的数据安全治理框架,避免内外安全风险带来的信誉损失和经济损失。
上周二(5月22日),由安华金和承办的第二届中国数据安全治理高峰论坛——“共享数据价值·共担安全责任”在京举行。该看论坛是数据安全领域最具价值的峰会之一。
内容上,论坛围绕数据安全治理框架的整体解决方案、技术支撑以及用户实践初见规模,开始真正为组织与企业交付使用,发挥价值。
一、议题干货精选
在上午的专家分享环节,谷安天下CTO陈伟和安环金和创始人兼CEO刘晓韬,分别从国际视角和国内完整的落地支撑方案这两个角度,探讨了对数据安全治理的理解。
1. 《2018国际研究机构数据安全治理框架解读》
谷安天下CTO陈伟
从IT治理到数据安全治理
传统的IT治理是指,组织在信息化过程中需要建立的一种宏观的决策、协调及控制机制。其作用是明确IT决策责任、建立协调沟通机制,有效利用各种资源,控制信息化风险,促进IT与业务的融合,使IT为企业创造价值。建立自适应的信息安全能力,是新型IT治理的重要目标之一。
在整个IT治理架构中,数据治理较为特殊,有首席数据官直接负责,横跨数据管理和风险管理两个闭环,从数据的生产、使用、挖掘和管理四个角度,为组织决策提供重要信息。而数据安全治理,便是数据治理的重要内容。
Gartner数据安全治理框架(DSG)
Gartner认为, 当前数字业务正在为企业创造价值,但不能忽视不断增长的业务风险和责任。安全和风险管理领导者应该制定适当的数据安全治理框架,以减轻数据安全隐患所带来的风险。这些安全挑战包括:隐私保护的合规要求、数据泄露对组织声誉和客户信任度的影响、混合IT环境下通用数据安全策略的制定,以及和身份访问管理等安全产品通用安全策略的共享等。
今年4月,Gartner提出了数字安全治理框架(DSG),试图从组织的高层业务风险分析出发,对组织业务中的各个数据集进行识别、分类和管理,并针对数据集的数据流和数据分析库的机密性、完整性、可用性创建8种安全策略。同时,数据管理与信息安全团队,可以针对整合的业务数据生命周期过程进行业务影响分析(BIA), 发现的各种数据隐私和数据保护风险,以降低整体的业务风险。
DSG框架
微软针对隐私、保密和合规性的数据治理框架(DGPC)
不同于Gartner的数据安全治理,微软的数据治理框架(DGPC)主要从人员、流程,和技术这三个角度出发,将框架重点放在数据安全的“树状结构”上,以识别和管理与特定数据流相关的安全和隐私风险需要保护的信息。
- 在人员领域,DGPC框架把数据安全相关组织分为战略层、战术层和操作层三个层次,每一层次都要明确组织中的数据安全相关的角色职责、资源配置和操作指南;
- 在流程领域,DGPC认为,组织应首先检查数据安全相关的各种法规、标准、政策和程序,明确必须满足的要求,并使其制度化与流程化,以指导数据安全实践;
- 在技术领域,微软开发了一种工具(数据安全差距分析表),来分析与评估数据安全流程控制和技术控制存在的特定风险。
数据安全差距分析表
数据安全治理通用框架
会上,陈伟表示,通过对Gartner、微软等企业数据安全治理方法的解读与分析,并结合国内外其他数据安全标准及行业最佳实践,谷安天下认为,数据安全治理通用框架一般要包括三个要素: 数据安全治理机制、数据安全生命周期管理、数据安全技术部署。各类组织可以根据业务特征和数据安全要求,对通用数据安全治理框架进行补充或剪裁,以形成有自身特点的数据安全治理框架,以指导企业的数据安全工作。
通用数据安全治理框架
2. 《数据安全治理技术支撑体系》
安华金和创始人&CEO刘晓韬
刘晓韬认为,数据安全治理不应再是空中楼阁,要实现从理念到技术的体系构建,还需要真正具有从流程方法到技术支撑的完整方案。
数据安全治理的首要原则是保障数据价值释放,不能影响业务流转。
首先,是做好数据的分级分类:
- 数据分级分类制订安全策略
- 明确数据资产的分布和使用状况
其次,要保障数据的使用安全:
- 影响数据使用的安全技术和策略是伪安全
- 基于数据使用角色和场景选定安全技术
再者,数据要管理整合:
- 数据安全产品要与安全管理工作深度整合
- 数据安全产品要满足国家和行业规范要求
通过整合一系列的安全管控技术应用,最终通过数据安全态势感知实现数据统计信息、数据流向、数据告警信息的可视化呈现。
二、全国首个数据安全治理委员会成立
除了与会嘉宾的精彩分享,还特别值得一提的是,在此次会议上数据安全治理委员会的成立。
数据安全治理体系是一个很大的体系框架,非一家之力可塑。因此,构建生态是本次峰会的另一个重要目标。
中国网络安全与信息化产业联盟数据安全治理委员会成立
作为全国首家聚焦数据安全领域的专项委员会,该组织将汇聚国内数据安全企业力量,打造集技术研究、学术探讨、行业实践分享的交流平台,发挥各自资源与价值,共同打造数据安全生态,探索和推动政府、企业、行业在数据安全治理工作上的思路、规范和技术实践。
三、数据安全治理白皮书发布
由安华金和发起、编纂并出品的《数据安全治理白皮书》,是数据安全治理委员会的重要成果之一,通过对国内外数据安全情势与市场趋势进行解读与前瞻,结合国际相关标准与框架,针对数据安全治理的概念、规范、技术与实践进行总结,提出一套真正在中国易于落地的数据安全建设方法论。
安华金和CMO付蓉洁在白皮书发布环节表示,据Gartner预测,到2021年,超过30%的企业将实施数据安全治理框架(该比例目前不足5%)。数据安全治理委员的成立,白皮书等最佳实践工具的发布,希望可以真正系统化地解决组织遇到的数据安全治理问题,也希望业界伙伴一同参与、推广和应用普及。
原文发布时间为:2018-05-28
本文作者:Martin
