终于有人把数据安全治理讲明白了

2024-10-31

01什么是数据安全治理

国际标准化组织(ISO)对计算机系统安全防护的定义是：“为数据处理系统建立和采用的技术与管理的安全保护，保护计算机硬件、软件和数据不因偶然或恶意的原因而遭到破坏、更改或泄露。”

在Gartner 2017安全与风险管理峰会上，分析师Marc发表了题为“2017年数据安全态势”的演讲，并提及了“数据安全治理”(Data Security Governance)。Marc将其比喻为“风暴之眼”，以此来形容数据安全治理(DSG)在数据安全领域中的重要地位及作用。

Gartner对数据安全治理的基本定义是：“数据安全治理绝不仅是一套用工具组合而成的产品级解决方案，而是从决策层到技术层，从管理制度到工具支撑，自上而下、贯穿整个组织架构的完整链条。组织内的各个层级需要对数据安全治理的目标和宗旨达成共识，确保采取合理和适当的措施，以最有效的方式保护信息资源。”

由此我们可以将数据安全治理理解为：确保数据的可用性、完整性和保密性所采取的各种策略、技术和活动，包括从企业战略、企业文化、组织建设、业务流程、规章制度、技术工具等各方面提升数据安全风险应对能力的过程，控制数据安全风险或将风险带来的影响降至最低。

数据安全策略和技术可以识别数据集信息敏感性、重要性、合规性等要求，然后应用适当的保护措施来保护这些数据资源。数据安全治理涉及多种技术、流程和实践，以确保数据安全和防止未经授权的非法访问。同时，数据安全治理还应专注于保护个人敏感数据，例如个人身份、联系信息或关键业务知识产权。

02数据治理与数据安全治理

数据安全治理是通过制定数据安全策略和流程来保护企业数据，涉及数据、业务、安全、技术、管理等多个方面。数据安全治理是数据治理的一个子集，安全治理既可在数据治理框架下进行，也可独立实施。安全治理与数据治理的关系如表1所示。

表1 数据治理与数据安全治理的关系

数据安全治理从战略和战术层面支撑数据治理的开展，通过实施安全访问、分级分类、合规使用的数据安全策略，实现业务的目标，例如满足法律法规要求、保护消费者隐私等。

最后，引用前阿里巴巴集团技术副总裁和首席安全专家杜跃进的一段话为本节作结：我们的世界正在进入一个奇怪的分裂状态：一方面人们为大数据时代即将在各个领域发生的革命性进步而激动难眠，一方面人们也在为数据安全和隐私保护问题担心得睡不着觉。围绕大数据的创新和安全，各种政策、法律、标准、产品和学术研究表现出空前的热情。然而眼花缭乱的声音却使人们陷入了混乱，陷入了数据恐慌。如果我们不能尽快找到清晰的思路，不能尽快找到方法实现围绕大数据的发展与安全之间的平衡，我们可能丧失人类历史上迄今为止最大的一次发展机会，或者陷入最大的安全危机。