在“数字中国”发展战略指引下,数据成为经济发展的新动能,拥抱数字化变革是企事业单位的必然选择。伴随着数字业务的飞速发展,数据安全治理成为企业正常发展的最基本保障。《数据安全法》指出:维护数据安全应建立健全数据安全治理体系,提高数据安全保障能力。数据安全治理和数据治理经常被混淆为一谈,虽然很多时候数据治理和安全并没有直接关系,那么今天我们来分析一下数据治理和数据安全治理的区别。
关注点不同
数据治理:关注于数据本身的组织,使用和传输、业务支撑等场景下的质量、规范、流程与制度等。
数据安全治理:关注于数据在整个生命周期可用性、完整性与机密性的安全保护,以数据业务属性为始,数据的分级分类为核心,从数据存放位置为核心,建立以数据为中心的安全架构体系。
输出不同
数据治理的主要输出是制度、管理规章、规范等。
数据安全治理的输出包括数据的分级分类,安全使用规范,数据的可视化、监控和发现要求等,以及最终如何采用技术手段推动人和流程的落地。
参考标准/依据不同
数据治理参考标准:
▼国际标准化组织 (ISO/IEC) 38505数据治理框架;
▼ 国际数据管理协会(CDMA)DAMA-DMBOK框架;
▼国际数据治理研究所(DGI)DGI数据治理框架;
▼ IBM数据治理委员会(IBMDGA)数据治理成熟度模型;
▼中国电子工业标准化技术协会信息技术服务分会(ITSS)数据治理规范;
数据安全治理参考标准
目前已成型的参考标准分别有以下两套标准,分别是:
▼DGPC:微软的专门强调隐私、保密和合规的数据安全治理框架,主要围绕“人员、流程、技术”三个核心能力领域的具体控制要求展开,与现有安全框架体系或标准协调合作以实现治理目标。
▼Gartner DSG: 数据安全治理的理念最早由Gartner正式提出,分析师将其与“风暴之眼”进行比较来形容数据安全治理(DSG)在数据安全领域中的重要性和作用。
结果不同
数据治理的最终目标是提高数据的质量从而提升数据的价值, 数据治理完成后的结果通常是业务系统的改造工作。
数据安全治理完成后的结果通常是在同一数据安全策略下选择不同的技术产品来实现数据安全保护。
视角不同
数据治理的视角
数据治理指利用数据驱动业务,实现企业增值。数据治理的智能化程度,决定了企业数字化转型的加速度。数据资产依赖于数据治理,而企业数据资产问题归根结底是由于企业中对外数据缺少统一而为的组织、制度、流程的管控、引起的“数据孤岛”问题。
数据治理的范畴更为全面,比如有哪些数据,分布在哪里,能不能取到,被谁使用,价值/成本/收益如何。
数据安全治理本质是数字化业务的需求。
数据安全治理的视角
Gartner提出,数据安全治理不仅仅是一套用工具组合的产品级解决方案,是从决策层到技术层,从管理制度到工具支撑,自上而下贯穿整个组织架构的完整链条。组织内的各个层级之间需要对数据安全治理的目标和宗旨取得共识,确保采取合理和适当的措施,以最有效的方式保护信息资源。
数据治理的特点
数据治理并非适用于任何企业。任何企业都在使用、产生数据。如果数据是一次性使用的、数据的产生仅仅是副产品,那么数据治理就无太大意义,应用本身对相关数据进行控制就足够。
数据共享体现价值需要规范框架约束。如果数据不仅仅与特定的应用相关,还会在更大的范围内共享,特别是整个企业范围内共享,如企业的数字化转型,那么就不能任由个人或部门各行其是地处置他们的数据,数据活动需要在一个企业的规范框架约束下进行。
数据资产的安全性需要企业安全策略框架。如果数据是敏感或关键性的,那么使用、传输或存储这类的数据,会需要特别的处置,这种情况下也不能任由个人或部门各行其是,而是需要在一个企业的安全策略框架约束下进行。
企业数据治理的本质是建立/维护一组企业的“数据法规”,由这些法规来规范企业所有人员的数据活动。
因此,数据治理是一个“制度化”过程,所谓制度化是执行一个“正式批准”的体系,该体系包括明确的价值目的、必须遵从的规范和落实各治理责任的组织机构。
数据安全治理的特点
● 以人和数据为中心,专注于数据的全生命周期安全;
● 首先通过风险与业务平衡识别,以数据分类分级、数据保护、监控及追溯、身份认证为中心,形成完整的数据应用处理保护链,并考虑企业在数字化转型架构下各种风险管理场景,如数据流、数据库、大数据、文件、云环境、各种终端等;
● 将管理、技术与流程融合,建立自动化,持续性,自适应安全体系;
● 数据安全技术与平台保障能力也非单一能力,而是体系化、协同性、综合性能力。数据安全治理在技术工具与平台落地阶段,也涵盖了加解密、数据防泄漏、云访问安全代理、身份认证管理、用户实体行为分析、数据库审计等不同维度的的技术矩阵,依靠单一安全厂商、产品是无法达到这种全面技术保障能力的要求的,因此数据安全治理的建立与实施一定程度上依赖于生态形成与联盟化发展;
最后我们可以总结一下,数据治理和数据安全治理有一定的关联,从本质上来说并没有直接的从属关系,而是不同的实施方向;面对数据资产问题的时候,安全是其中的一个环节。数据安全治理是数据治理的一个过程,是企业数字转型中必然经历的阶段,数据安全治理可独立实施。数据安全治理是数据安全领域数据、业务、安全、技术、管理的集合。
本文作者:北京天空卫士网络安全技术有限公司 张文礼
本文来源:CCIA数据安全工作委员会。
版权归原作者所有,如若转载,请注明出处:https://www.ciocso.com/article/18607.html