终于有人把数据安全治理讲明白了

01什么是数据安全治理

国际标准化组织（ISO）对计算机系统安全防护的定义是：“为数据处理系统建立和采用的技术与管理的安全保护，保护计算机硬件、软件和数据不因偶然或恶意的原因而遭到破坏、更改或泄露。”

在Gartner 2017安全与风险管理峰会上，分析师Marc发表了题为“2017年数据安全态势”的演讲，并提及了“数据安全治理”（Data Security Governance）。Marc将其比喻为“风暴之眼”，以此来形容数据安全治理（DSG）在数据安全领域中的重要地位及作用。

Gartner对数据安全治理的基本定义是：“数据安全治理绝不仅是一套用工具组合而成的产品级解决方案，而是从决策层到技术层，从管理制度到工具支撑，自上而下、贯穿整个组织架构的完整链条。组织内的各个层级需要对数据安全治理的目标和宗旨达成共识，确保采取合理和适当的措施，以最有效的方式保护信息资源。” 

由此我们可以将数据安全治理理解为：确保数据的可用性、完整性和保密性所采取的各种策略、技术和活动，包括从企业战略、企业文化、组织建设、业务流程、规章制度、技术工具等各方面提升数据安全风险应对能力的过程，控制数据安全风险或将风险带来的影响降至最低。

数据安全策略和技术可以识别数据集信息敏感性、重要性、合规性等要求，然后应用适当的保护措施来保护这些数据资源。数据安全治理涉及多种技术、流程和实践，以确保数据安全和防止未经授权的非法访问。同时，数据安全治理还应专注于保护个人敏感数据，例如个人身份、联系信息或关键业务知识产权。

02数据治理与数据安全治理

数据安全治理是通过制定数据安全策略和流程来保护企业数据，涉及数据、业务、安全、技术、管理等多个方面。数据安全治理是数据治理的一个子集，安全治理既可在数据治理框架下进行，也可独立实施。安全治理与数据治理的关系如表1所示。

表1 数据治理与数据安全治理的关系

数据安全治理从战略和战术层面支撑数据治理的开展，通过实施安全访问、分级分类、合规使用的数据安全策略，实现业务的目标，例如满足法律法规要求、保护消费者隐私等。

最后，引用前阿里巴巴集团技术副总裁和首席安全专家杜跃进的一段话为本节作结：我们的世界正在进入一个奇怪的分裂状态：一方面人们为大数据时代即将在各个领域发生的革命性进步而激动难眠，一方面人们也在为数据安全和隐私保护问题担心得睡不着觉。围绕大数据的创新和安全，各种政策、法律、标准、产品和学术研究表现出空前的热情。然而眼花缭乱的声音却使人们陷入了混乱，陷入了数据恐慌。如果我们不能尽快找到清晰的思路，不能尽快找到方法实现围绕大数据的发展与安全之间的平衡，我们可能丧失人类历史上迄今为止最大的一次发展机会，或者陷入最大的安全危机。

03数据安全治理体系

数据安全治理主要是围绕着数据安全的脆弱性，针对面临的各种风险制定针对性的策略，将风险降至可接受的程度。在整个数据安全治理的过程中，最为重要是制定合适的数据安全策略。

企业数据安全治理体系是一个以风险和策略为基础，以运维体系为纽带，以技术体系为手段，将三者与数据资产基础设施进行有机结合的整体，它贯穿于数据的整个生命周期。

如图1所示，企业数据安全治理体系主要包含以下五部分，保证数据的全生命周期的可用性、完整性、保密性以及合规使用。

• 数据安全治理目标：重点强调安全目标与业务目标的一致性。数据安全治理的目标是保证数据的安全性，确保数据的合规使用，为业务目标的实现保驾护航。
• 数据安全管理体系：主要包括组织与人员、数据安全认责策略、数据安全管理制度等。
• 数据安全技术体系：主要包括数据全生命周期的敏感数据识别、数据分类与分级、数据访问控制、数据安全审计等。
• 数据安全运维体系：主要包括定期稽核策略、动态防护策略、数据备份策略、数据安全培训等。
• 数据安全基础设施：重点强调数据所在宿主机的物理安全和网络安全。

图1　数据安全治理体系构成

如图2所示，在数据安全治理体系架构中，数据安全策略是核心，数据安全管理体系是基础，数据安全技术体系为支撑，数据安全运维体系是应用。数据安全策略通过管理体系制定，通过技术体系创建，通过安全运维体系执行。

图2　数据安全治理各体系之间的关系

数据安全治理是数据治理的一个专项分支，其治理体系可以架构在数据治理的整体框架下，也可以单独构建，实施数据安全的专项治理。数据安全治理是战略层面的策略，强调在战略、组织、政策的框架下，定义数据治理的策略，形成一种协作的秩序，让数据安全管理从“无序”到“有序”，从“人治”到“法制”。