企業信息化建設是隨着企業戰略、業務形態、預算等多個方面不斷迭代及變化的,所以在建設過程中難免出現階段鴻溝,跨階段整合難的現象,當企業以數據爲中心的戰略考量時,就需要通過數據治理方法對以往問題糾偏,對未來形態建設。本文通過理清數據治理與數據安全治理關係,寄希望幫助讀者對兩者有所清晰的認識。
一、數據治理與數據安全治理關係
數據治理簡單來講是通過對數據的梳理整合,利用數據驅動業務,實現企業增值。
數據安全治理是安全領域的框架集合,該集合包括數據、業務、安全、技術、管理等多個方面。數據安全治理屬於數據治理體系中的一個過程(一部分),從業務層到安全層,從管理層到技術層,從左到右,自上而下全方位與體系融合,貫穿始終。
安全治理即可在數據治理框架下進行,也可獨立實施。
二、框架體系-數據安全治理位置
治理域中的主數據、業務數據、分析數據任務有所不同,但包含基本組件:數據標準管理、數據模型管理、數據質量管理、數據安全治理、數據生命週期管理等。
過程域中的管控平臺分爲業務運維保障平臺和安全管控保障平臺。
下圖爲參照ITSS提出的數據治理規範形成治理目標。
數據治理框架
業界數據治理框架:
1.國際標準化組織 (ISO/IEC)38505數據治理框架。
2.國際數據管理協會(DAMA)DAMA-DMBOK框架。
3.國際數據治理研究所(DGI)DGI數據治理框架。
4.IBM數據治理委員會(IBMDGC)數據治理成熟度模型。
5.中國電子工業標準化技術協會信息技術服務分會(ITSS) 數據治理規範。
三、體系規劃-數據安全治理位置
體系規劃可分4個過程即:現狀調研、評估與分析、體系規劃與架構設計、實施規劃。
現狀調研: 通過問卷調查、現場訪談、業務現狀、信息化現狀(管理分析、防護能力分析、數據分析)等多種方式進行安全調研,爲分析與評估夯下堅實基礎。
評估與分析:通過調研內容,結合成熟度模型、行業最佳實踐及發展趨勢進行評估和差距分析,同時根據信息化現狀對數據進行識別(安全威脅性、脆弱性等)及實施單位(安全建設廠商)。
戰略規劃與架構設計:完善戰略規劃及體系架構設計。體系架構設計從組織體系、管控體系、標準體系、安全體系系等多個維度進行規劃。
實施規劃:從實施策略、推進計劃。資源規劃等多個方面有效整合,實現實施可落地。
體系規劃
四、架構設計-數據安全治理位置
架構階段是數據治理的準備階段,通過現狀調研和需求分析,識別業務問題和實施風險,完成數據治理的整體規劃和體系設計。數據安全治理穿插與分析、設計、執行、評估環節。
架構階段的主要任務及其要點
五、治理階段-數據安全治理位置
從質量分析、安全分析、週期分析三個方面分析、梳理數據缺陷,形成治理的階段性目標和計劃。
設計環節完成數據標準和數據模型的設計、開發,爲數據治理的實際執行做好準備。
執行環節依次完成採集、清晰、導入等安全防護工作,完成數據資產的價值提升。
評估環節從運行狀況、數據安全等經濟效益等方面對數據治理的效果進行評估,爲進一步的優化提供條件。
治理階段的主要任務及其要點
目前很多廠商數據治理工作核心在業務層面(畢竟業務是主要),在與安全建設或結合方面還非常薄弱,隨着近幾年國家對安全建設關注度越來越高,業務廠商與安全廠商結合爲客戶提供整體解決方案,也許會有意想不到的效果。
如有興趣,可瞭解數據安全歷史文章:
