一、背景
随着组织业务不断发展,数据利用率越来越高,从数据孤岛到数据整合,从关系型存储到非关系型存储,从简单报表到敏捷BI,从原有单点利用到现有全部支撑,可见数据如何充分利用已成为支撑组织发展战略不可缺少的板块。
在组织内部业务不断发展过程中,在数据不断被不法份子利用过程中,在国家对数据安全高度重视过程中,数据安全的问题日益突出,从战术层面如何解决数据安全问题,从战略层面如何让安全与业务融合,实现业务价值,是组织战略发展第二阶段应充分考虑的问题。
组织发展阶段特点
二、数据安全治理与传统防护区别
数据安全治理是该阶段下的产物,数据安全治理与传统的安全防护有非常大的区别,从形态来说,数据安全是一种过程,而传统安全防护则更像是结果。从实施角度来说,数据安全治理是项目型,需要以组织内部数据为基础、以内部安全环境为基础,安全防护目标与业务高度匹配,从而实现数据安全防护。传统安全防护则是产品型,强调产品功能及组合价值,更多独立于业务之外,网络为中心建设为主。
数据安全治理与传统防护区别
三、业务经验输入安全经验输出
由于数据安全治理是项目型,所以对组织内部各种环境,如组织架构、网络架构、业务系统架构、业务流向、业务调用逻辑、数据分布、数据流转、敏感数据分布、敏感数据访问,每一项都需要具有非常丰富的业务经验,或者具有非常丰富的行业经验才能准确梳理。依据梳理内容、安全发展战略,结合外部合规及相关标准、行业发展方向、最佳实践等,形成“贴身”且可发展的安全防护,从业务到安全的过程便是业务经验输入安全经验输出的过程。
业务经验输入安全经验输出
四、数据安全治理建设思路
数据安全治理建设范围应从管理层到技术层,从业务层到防护层,实现自上而下、自左而右的全面治理。
管理层:包含相关组织架构建设、数据安全相关制度完善(从战略层到合规层)、标准化建设等。
技术层:包含基于数据生命周期下的数据审计、数据管控、数据脱敏、数据加密、数据态势感知、身份认证等技术。
业务层:包含基于业务的业务系统调用流程、业务系统架构、数据资产梳理、数据整体分布与访问、敏感数据分布与访问等。
防护层:运维与技术相结合,包含数据分类分级管控、数据管控策略过程控制、数据审计策略过程控制、脱敏策略过程控制、加密策略过程控制等、身份认证过程管控等。
五、数据安全治理相关文章
近期更新了较多有关数据安全的文章,如有兴趣,详见如下链接: