數據安全的必由之路:數據安全治理
數據治理或者數據安全在大多數安全從業者的印象中是比較熟悉的概念,但數據安全治理卻似乎是個新名詞。實際上,對于擁有重要數據資產的企業或政府部門,在數據安全治理方面或多或少都有實踐,只是尚未系統化的實行。比如運營商行業的客戶數據安全管理規范及其落地的配套管控措施,一些政府部門的數據分級分類管理規范;在國外由Microsoft 提出的DGPC(Data Governance for Privacy Confidentiality and Compliance)框架也是專門的面向數據安全治理的管理和技術框架。接下來我們將把數據安全理念分成四篇系列文章,有側重的,相對系統化地加以闡述。
1. 數據安全治理概論
2. 數據安全治理的組織和受眾
3. 數據安全治理的策略與流程
4. 數據安全治理的技術支撐框架
5. 數據安全治理小結
今天這篇文章,我們對“數據安全治理”概論做個認知。
愿景
數據安全治理的愿景。在這里,筆者首先要強調的是數據安全治理的目標是——數據安全使用。我們不談脫離了“使用”的安全,數據存在的目的就是為了使用,如果不是基于這個前提去談安全,最終有可能產生無法落地的情況,或者即使落地,效果也會差強人意。
數據安全治理概論
數據安全治理的概念——數據安全治理是以數據的安全使用為目的的綜合管理理念。
三個需求目標:
- 數據安全保護(Protection)
- 敏感數據管理(Sensitive)
- 合規性(Compliance)
圖 1.1 數據安全治理理念框架
四大重要環節:
- 數據的分類(Classify)
- 梳理(Understand)
- 管控(Control)
- 和審計(Audit)
三大核心實現框架:
- 數據安全人員組織(Person)
- 數據安全使用的策略和流程(Policy & Process)
- 數據安全技術支撐(Tech)
圖 1.1 數據安全治理理念框架
數據安全治理的需求目標
圍繞“ 數據安全使用” 的愿景, 數據安全治理覆蓋了安全防護、 敏感信息管理、合規三大目標 ;這三個目標比我們過去以防黑客攻擊和滿足合規性兩大安全目標,更為全面和完善。經過二十多年信息化和互聯網經濟的發展,數據成為繼現金和技術之后又一核心價值資產;數據黑產在過去十年里蓬勃發展,讓每個人、每個企業和國家的數據面臨著巨大威脅;只有合理地處理好數據資產的使用與安全,企業與國家才能在新的數據時代穩健而高速發展。對于敏感數據的安全管理和使用,是數據安全治理的核心主題。
數據安全治理的核心內容
數據安全治理的核心內容,首先是來自對數據的有效理解和分析,對數據進行不同類別和密級的劃分 ;根據數據的類別和密級制定不同的管理和使用原則,盡可能對數據做到有差別和針對性的防護,實現在適當安全保護下的數據自由流動。
在數據分級和分類后,重要的是要描述數據的特征,以及這些數據在系統內的分布,了解這些數據在被誰訪問,這些人是如何使用和訪問數據的,這就需要完整的數據梳理過程。
在數據有效梳理的基礎上,我們需要制定出針對不同數據、不同使用者的管理控制措施 ;數據的管控包含數據的收集、存儲、使用、分發和銷毀。除了數據管控,我們還需要有效地對數據的訪問行為進行日志記錄,對收集的日志記錄進行定期地合規性分析和風險分析。
數據安全治理框架
在數據安全治理中,首要任務是成立專門的安全治理團隊,保證數據安全治理工作能夠長期持續的得以執行。同時數據安全治理要明確數據治理相關的工作部門和角色(受眾),使數據治理工作能夠有的放矢。
數據安全治理的策略和流程,要以文件的形式明確企業(組織)內部的敏感數據有哪些,敏感數據進行分類和分級,對不同類別和級別的敏感數據的管理控制原則,不同的工作部門和角色所具有的權限,數據使用的不同環節所要遵循的控制流程。
數據安全治理的技術支撐,是要明確在管理控制過程中,采用什么樣的技術手段幫助實現數據的安全管理過程;這些技術手段可以包括數據的梳理、數據的訪問控制、數據的保護、數據的脫敏和分發、數據的審計、數據訪問的風險分析。
數據安全治理與傳統安全概念的差異
為了更加有效地理解數據安全治理概念與傳統數據安全的差異,我們可以與傳統安全理念進行一個比較:
圖 1.2 數據安全治理與傳統數據安全的差異對比
在整個數據安全治理理念中,在組織保障方面首先需要成立數據安全治理的組織機構,確保數據安全治理工作在組織內能真正地落地。下一篇文章,我們將重點對數據安全治理的組織與受眾進行重點闡述。
【本文是51CTO專欄作者“安華金和”的原創稿件,轉載請聯系原作者】
