一、背景
隨着組織業務不斷髮展,數據利用率越來越高,從數據孤島到數據整合,從關係型存儲到非關係型存儲,從簡單報表到敏捷BI,從原有單點利用到現有全部支撐,可見數據如何充分利用已成爲支撐組織發展戰略不可缺少的板塊。
在組織內部業務不斷髮展過程中,在數據不斷被不法份子利用過程中,在國家對數據安全高度重視過程中,數據安全的問題日益突出,從戰術層面如何解決數據安全問題,從戰略層面如何讓安全與業務融合,實現業務價值,是組織戰略發展第二階段應充分考慮的問題。
組織發展階段特點
二、數據安全治理與傳統防護區別
數據安全治理是該階段下的產物,數據安全治理與傳統的安全防護有非常大的區別,從形態來說,數據安全是一種過程,而傳統安全防護則更像是結果。從實施角度來說,數據安全治理是項目型,需要以組織內部數據爲基礎、以內部安全環境爲基礎,安全防護目標與業務高度匹配,從而實現數據安全防護。傳統安全防護則是產品型,強調產品功能及組合價值,更多獨立於業務之外,網絡爲中心建設爲主。
數據安全治理與傳統防護區別
三、業務經驗輸入安全經驗輸出
由於數據安全治理是項目型,所以對組織內部各種環境,如組織架構、網絡架構、業務系統架構、業務流向、業務調用邏輯、數據分佈、數據流轉、敏感數據分佈、敏感數據訪問,每一項都需要具有非常豐富的業務經驗,或者具有非常豐富的行業經驗才能準確梳理。依據梳理內容、安全發展戰略,結合外部合規及相關標準、行業發展方向、最佳實踐等,形成“貼身”且可發展的安全防護,從業務到安全的過程便是業務經驗輸入安全經驗輸出的過程。
業務經驗輸入安全經驗輸出
四、數據安全治理建設思路
數據安全治理建設範圍應從管理層到技術層,從業務層到防護層,實現自上而下、自左而右的全面治理。
管理層:包含相關組織架構建設、數據安全相關制度完善(從戰略層到合規層)、標準化建設等。
技術層:包含基於數據生命週期下的數據審計、數據管控、數據脫敏、數據加密、數據態勢感知、身份認證等技術。
業務層:包含基於業務的業務系統調用流程、業務系統架構、數據資產梳理、數據整體分佈與訪問、敏感數據分佈與訪問等。
防護層:運維與技術相結合,包含數據分類分級管控、數據管控策略過程控制、數據審計策略過程控制、脫敏策略過程控制、加密策略過程控制等、身份認證過程管控等。
五、數據安全治理相關文章
近期更新了較多有關數據安全的文章,如有興趣,詳見如下鏈接: