前言：近年来，数据安全成为全球热门话题，国内外关于数据安全的立法不断出现，如欧盟的GDPR《通用数据保护条例》，美国CCPA《加州消费者隐私法案》，我国《数据安全法》（草案）。一方面各国在加强立法，希望从顶层设计上保护公民的数据安全；另一方面，组织的数据被窃取、泄露、加密、破坏等攻击事件不断增加。IBM《2019 年全球数据泄露成本报告》显示，过去 5 年数据泄露成本上升了 12%，平均成本已达到 392 万美元。恶意数据泄露平均会给企业带来 445 万美元的损失，比系统故障和人为错误等意外原因导致的数据泄露高出100 多万美元。

数据就是金钱，如何才能保护好自己数据，这是每个组织都应该思考的问题。然而不同于传统的网络安全建设，数据由于具备流动性和业务强关联性，使得其安全建设不是简单的、静态化的、点面式的建设，而是一项需要运用工程化、体系化、规范化思想，全面梳理数据在业务中的各个环节，采用自上而下的理念进行建设。

本文聚焦数据安全治理方面的研究，主要选取国际知名咨询机构Gartner、国际知名科技公司Microsoft、国内权威检测机构中国评测、国内领先的安全公司天融信作为研究对象，旨在帮助组织全面认识数据安全建设工作。

1、Gartner数据安全治理框架

数据安全治理的理念最早由Gartner正式提出，Gartner认为数据安全治理不仅仅是一套用工具组合的产品级解决方案，而是从决策层到技术层，从管理制度到工具支撑，自上而下贯穿整个组织架构的完整链条。组织内的各个层级之间需要对数据安全治理的目标和宗旨取得共识，确保采取合理和适当的措施，以最有效的方式保护信息资源。

其思想框架主要包括如下五步：

第一步：平衡业务需求与风险

经营利益相关者在治理工作开始前应达成多方面的共识，包括经营策略、治理、合规、IT 策略和风险容忍度等方面；

第二步：识别，确定优先级和管理数据集生命周期

对全生命周期的数据集进行识别、分类、分级；

第三步：定义数据安全策略

在分类分级基础上，明确被保护的数据对象、数据涉及人员及其行为，而后基于此明确不同类别不同级别的被保护数据本身的全生命周期安全策略，以及相应人员及其行为的安全管控策略等；

第四步：实施安全产品

随后采用多种安全产品支撑安全策略的实施，包括加密系统、以数据为中心的审计和保护系统、数据防泄漏系统、云访问安全代理、身份识别与访问管理系统等；

第五步：制定所有产品的政策

最后为所有产品配置策略并保持策略下发同步，策略执行对象包括关系型数据库、大数据、文件、云、终端等

2、微软数据安全治理框架DGPC

微软则提出专门强调隐私、保密和合规的数据安全治理框架（DGPC），以更好实现数据安全风险控制。其数据安全治理理念主要围绕“人员、流程、技术”三个核心能力领域的具体控制要求展开，与现有安全框架体系或标准协调合作以实现治理目标。

1、人

数据治理流程和工具仅与使用和管理它们的人员一样有效。重要的第一步是建立一个DGPC团队，该团队由组织内的个人组成，并赋予他们明确的角色和职责，足够的资源来执行其所需的职责，以及对总体数据治理目标的明确指导。本质上，这是一个虚拟组织，其成员共同负责定义管理数据分类，保护，使用和管理的关键方面的原则，政策和程序。这些人（通常称为“数据管理员”）通常还会开发组织的访问控制配置文件，确定由什么构成符合策略的数据使用，建立数据泄露通知程序和升级路径，并监督其他相关数据管理领域。

2、处理

通过DGPC工作中合适的人员，组织可以专注于定义所涉及的流程。首先检查各种授权文件（法规，法规，标准以及公司政策和战略文件），这些文件阐明了必须满足的要求。了解这些法律授权，组织策略和战略目标如何相交将有助于组织将其业务和合规性数据要求（包括数据质量指标和业务规则）整合到一个统一的集合中。

下一步是定义指导原则和政策，以产生满足这些要求的适当环境。最后，组织应在特定数据流的背景下识别对数据安全，隐私和合规性的威胁；分析相关风险；并确定适当的控制目标和控制活动。

3、技术

开发出一种方法来分析特定的数据流，并识别可能因信息安全管理系统和/或控制框架的更广泛的保护措施而无法解决的，特定于流程的残留风险。这种方法涉及填写一个称为“风险/差距分析矩阵”的表格，该表格围绕三个要素构建：信息生命周期，四个技术领域以及组织的数据隐私和机密性原则。

                                                               风险/差距分析矩阵

3、中国软件评测中心网安中心数据安全治理框架

国内数据安全治理委员会认为，数据安全治理是以“让数据使用更安全”为目的，通过组织构建、规范制度、技术支撑等要素共同完成数据安全建设的方法论。中国软件评测中心网安中心提出数据安全治理体系框架，框架主要由治理层、管理层、执行层和监督层四个层面组成。

                                                                      数据安全治理体系框架

4、天融信数据安全治理框架

天融信在国内率先提出了“以数据为核心的安全建设”理念，以等级保护为基础、以关键数据为核心、做好数据分类分级管理、基于数据安全治理过程、实现数据全生命周期保护。基于此、天融信形成了构建以数据为中心的数据安全能力框架，该框架主要由数据安全治理、数据安全保护、数据安全运营和数据安全监管组成。

                                                      天融信以数据为核心的安全保障体系框架

“以数据为核心的安全体系”的建立，需要经过“数据安全治理过程”作为保障。天融信数据安全治理的总体思想为：以数据为中心、技术为手段、管理为保障，建立基于深度内容识别技术为基础的数据全生命周期管控体系，提升组织的数据安全保障能力，实现数据可控使用，防止数据意外泄露。数据安全治理以提高组织数据安全管控能力为主要成果目标，根据各业务的需求特点有针对性的确定数据保密性、完整性及可用性保障能力目标。从组织建设入手，明确数据安全的权责关系，并以此为基础，梳理数据安全的业务、合规、风险等多方面需求，确定数据安全治理的保护目标，完善数据安全管理体系，给出切实可行的策略、要求、标准规范及实施指南。通过全面的业务关系及数据流向梳理，明确数据资产的脆弱性及面临的主要威胁，得出在采集、传输、存储、处理、交换及销毁的全生命周期风险评估结论。最终根据当前数据安全能力现状与能力目标的差距，给出切实可行的数据安全治理方案。此外，还需关注数据安全能力改进、建设、运维过程的管理，确保数据安全能力切实落地。

                                                             天融信数据安全治理过程保障框架

 

                                                                         《全文完》

参考资料：

1、Eye of the Storm - Gartner defines data security governance

/article/62221118447/

2、Securing the Digital Business

/content/dam/en/analyst-report/

3、Data Governance for Privacy, Confidentiality and Compliance: A Holistic Approach

/resources/isaca-journal/past-issues/2010/data-governance-for-privacy-confidentiality-and-compliance-a-holistic-approach

http://video./ecn/te/NorthAmerica/2010/pptx/

4、电信和互联网行业数据安全治理白皮书（2020年）

5、天融信科技集团数据安全治理中心和数据安全产品线

 

了解更多内容，请关注博主公众号：