第二届中国数据安全治理高峰论坛:通用数据安全治理框架及完整技术落地方案

本文涉及的产品
数据安全中心,免费版
简介:

数据安全治理是数据治理的重要内容,横跨IT治理架构中数据管理和风险管理两个重要闭环。为了减轻安全威胁、数据驻留和隐私问题带来的风险,安全和风险管理领导者应当引入适用企业的数据安全治理框架,避免内外安全风险带来的信誉损失和经济损失。

上周二(5月22日),由安华金和承办的第二届中国数据安全治理高峰论坛——“共享数据价值·共担安全责任”在京举行。该看论坛是数据安全领域最具价值的峰会之一。

内容上,论坛围绕数据安全治理框架的整体解决方案、技术支撑以及用户实践初见规模,开始真正为组织与企业交付使用,发挥价值。

一、议题干货精选

在上午的专家分享环节,谷安天下CTO陈伟和安环金和创始人兼CEO刘晓韬,分别从国际视角和国内完整的落地支撑方案这两个角度,探讨了对数据安全治理的理解。

1. 《2018国际研究机构数据安全治理框架解读》
谷安天下CTO陈伟

8efee2a975fd41bb6d1710f913639cebc8ce0746

从IT治理到数据安全治理

传统的IT治理是指,组织在信息化过程中需要建立的一种宏观的决策、协调及控制机制。其作用是明确IT决策责任、建立协调沟通机制,有效利用各种资源,控制信息化风险,促进IT与业务的融合,使IT为企业创造价值。建立自适应的信息安全能力,是新型IT治理的重要目标之一。

在整个IT治理架构中,数据治理较为特殊,有首席数据官直接负责,横跨数据管理和风险管理两个闭环,从数据的生产、使用、挖掘和管理四个角度,为组织决策提供重要信息。而数据安全治理,便是数据治理的重要内容。

Gartner数据安全治理框架(DSG)

Gartner认为, 当前数字业务正在为企业创造价值,但不能忽视不断增长的业务风险和责任。安全和风险管理领导者应该制定适当的数据安全治理框架,以减轻数据安全隐患所带来的风险。这些安全挑战包括:隐私保护的合规要求、数据泄露对组织声誉和客户信任度的影响、混合IT环境下通用数据安全策略的制定,以及和身份访问管理等安全产品通用安全策略的共享等。

今年4月,Gartner提出了数字安全治理框架(DSG),试图从组织的高层业务风险分析出发,对组织业务中的各个数据集进行识别、分类和管理,并针对数据集的数据流和数据分析库的机密性、完整性、可用性创建8种安全策略。同时,数据管理与信息安全团队,可以针对整合的业务数据生命周期过程进行业务影响分析(BIA), 发现的各种数据隐私和数据保护风险,以降低整体的业务风险。

d761d5267c76e4d7172460050eab577c75160c94

DSG框架

微软针对隐私、保密和合规性的数据治理框架(DGPC)

不同于Gartner的数据安全治理,微软的数据治理框架(DGPC)主要从人员、流程,和技术这三个角度出发,将框架重点放在数据安全的“树状结构”上,以识别和管理与特定数据流相关的安全和隐私风险需要保护的信息。

  • 人员领域,DGPC框架把数据安全相关组织分为战略层、战术层和操作层三个层次,每一层次都要明确组织中的数据安全相关的角色职责、资源配置和操作指南;
  • 在流程领域,DGPC认为,组织应首先检查数据安全相关的各种法规、标准、政策和程序,明确必须满足的要求,并使其制度化与流程化,以指导数据安全实践;
  • 技术领域,微软开发了一种工具(数据安全差距分析表),来分析与评估数据安全流程控制和技术控制存在的特定风险。
dede895fc3b2662422b96c6e7ae98cc1275c8bd1

数据安全差距分析表

数据安全治理通用框架

会上,陈伟表示,通过对Gartner、微软等企业数据安全治理方法的解读与分析,并结合国内外其他数据安全标准及行业最佳实践,谷安天下认为,数据安全治理通用框架一般要包括三个要素: 数据安全治理机制、数据安全生命周期管理、数据安全技术部署。各类组织可以根据业务特征和数据安全要求,对通用数据安全治理框架进行补充或剪裁,以形成有自身特点的数据安全治理框架,以指导企业的数据安全工作。

88ff71b3129b0f004909ca68e3893fd7cb5d4dfc

通用数据安全治理框架

2. 《数据安全治理技术支撑体系》
安华金和创始人&CEO刘晓韬

刘晓韬认为,数据安全治理不应再是空中楼阁,要实现从理念到技术的体系构建,还需要真正具有从流程方法到技术支撑的完整方案。

数据安全治理的首要原则是保障数据价值释放,不能影响业务流转。

首先,是做好数据的分级分类:

  • 数据分级分类制订安全策略
  • 明确数据资产的分布和使用状况

其次,要保障数据的使用安全

  • 影响数据使用的安全技术和策略是伪安全
  • 基于数据使用角色和场景选定安全技术

再者,数据要管理整合:

  • 数据安全产品要与安全管理工作深度整合
  • 数据安全产品要满足国家和行业规范要求

通过整合一系列的安全管控技术应用,最终通过数据安全态势感知实现数据统计信息、数据流向、数据告警信息的可视化呈现。

二、全国首个数据安全治理委员会成立

除了与会嘉宾的精彩分享,还特别值得一提的是,在此次会议上数据安全治理委员会的成立。

数据安全治理体系是一个很大的体系框架,非一家之力可塑。因此,构建生态是本次峰会的另一个重要目标。

0e2f0547c65a589a2e799bfce8ea2b6d92f65362

中国网络安全与信息化产业联盟数据安全治理委员会成立

作为全国首家聚焦数据安全领域的专项委员会,该组织将汇聚国内数据安全企业力量,打造集技术研究、学术探讨、行业实践分享的交流平台,发挥各自资源与价值,共同打造数据安全生态,探索和推动政府、企业、行业在数据安全治理工作上的思路、规范和技术实践。

三、数据安全治理白皮书发布

由安华金和发起、编纂并出品的《数据安全治理白皮书》,是数据安全治理委员会的重要成果之一,通过对国内外数据安全情势与市场趋势进行解读与前瞻,结合国际相关标准与框架,针对数据安全治理的概念、规范、技术与实践进行总结,提出一套真正在中国易于落地的数据安全建设方法论。

安华金和CMO付蓉洁在白皮书发布环节表示,据Gartner预测,到2021年,超过30%的企业将实施数据安全治理框架(该比例目前不足5%)。数据安全治理委员的成立,白皮书等最佳实践工具的发布,希望可以真正系统化地解决组织遇到的数据安全治理问题,也希望业界伙伴一同参与、推广和应用普及。


原文发布时间为:2018-05-28

本文作者:Martin

本文来自云栖社区合作伙伴“安全牛”,了解相关信息可以关注“安全牛”。

相关文章
|
1月前
|
存储 安全 分布式数据库
探索区块链技术在数据安全中的应用
【10月更文挑战第21天】 本文深入探讨了区块链技术在增强数据安全性方面的应用。通过对区块链基本原理的解释,结合其在数据存储、传输和访问控制中的具体实现方式,本文揭示了区块链技术如何有效防止数据篡改和未授权访问。此外,文章还讨论了区块链技术面临的挑战及其未来发展趋势,为读者提供了一个全面了解区块链技术在数据安全领域应用的视角。
49 4
|
20天前
|
数据安全/隐私保护 数据格式
数据安全必备:三种实用的数据脱敏技术
在数字化时代,数据安全和隐私保护成为了企业和个人关注的焦点。数据脱敏作为一种有效的数据保护手段,能够降低数据泄露的风险,保护用户隐私。本文将介绍三种常见的数据脱敏方案,帮助您在实际工作中选择合适的脱敏技术。
41 2
|
5月前
|
安全 Java Apache
Java中的数据安全与隐私保护技术
Java中的数据安全与隐私保护技术
|
22天前
|
存储 供应链 安全
深入探讨区块链技术在数据安全中的应用
本文旨在探讨区块链技术在数据安全领域的应用,分析其如何通过去中心化的特性增强数据的安全性和透明度。文章首先介绍区块链的基本原理,然后详细阐述其在防止数据篡改、提高交易安全性以及实现数据共享方面的优势。最后,文章讨论了当前区块链技术面临的挑战和未来的发展趋势。
|
2月前
|
自然语言处理 算法 Unix
【数据安全】敏感字过滤方案总结
【数据安全】敏感字过滤方案总结
45 1
|
2月前
|
Java fastjson Apache
【数据安全】数据脱敏方案总结
【数据安全】数据脱敏方案总结
88 1
|
2月前
|
存储 供应链 安全
使用区块链技术增强数据安全性
使用区块链技术增强数据安全性
|
3月前
|
存储 安全 区块链
探索区块链技术在数据安全中的应用
本文旨在通过浅显易懂的语言,向读者介绍区块链这一看似复杂实则贴近我们生活的技术。我们将从基础概念出发,逐步深入到区块链技术如何在保护个人隐私和确保数据安全方面发挥巨大作用。文章将用简单的例子和直观的比喻,帮助读者理解区块链的工作原理及其在现实世界的应用价值。
64 6
|
3月前
|
存储 安全 数据库
双重防护,无懈可击!Python AES+RSA加密方案,构建最强数据安全堡垒
【9月更文挑战第11天】在数字时代,数据安全至关重要。AES与RSA加密技术相结合,构成了一道坚固防线。AES以其高效性保障数据加密,而RSA则确保密钥安全传输,二者相辅相成,提供双重保护。本文通过Python代码示例展示了这一加密方案的魅力,强调了其在实际应用中的重要性和安全性。使用HTTPS等安全协议传输加密密钥和密文,确保数据在数字世界中自由流通而无忧。
73 1
|
4月前
|
监控 安全 数据安全/隐私保护
确保数据安全与隐私保护的数据治理最佳实践
【8月更文第13天】随着数据成为企业最重要的资产之一,数据安全和隐私保护变得至关重要。本文将探讨数据治理中的一些最佳实践,并提供具体的代码示例来说明如何实施这些策略。
797 4