數(shù)據(jù)安全治理的機構設置
數(shù)據(jù)安全治理工作的展開首先要成立專門的數(shù)據(jù)安全治理機構�����,以明確數(shù)據(jù)安全治理的政策��、落實和監(jiān)督由誰長期負責�,以確保數(shù)據(jù)安全治理的有效落實。
通常�����,我們可以將成立的機構稱之為“數(shù)據(jù)安全治理委員會”或“數(shù)據(jù)安全治理小組”���,該機構并非傳統(tǒng)意義上的實體機構����,屬于一個虛擬的機構���,機構成員由數(shù)據(jù)的利益相關者和專家構成����,這里之所以稱之為利益相關者,是因為這些人可能不僅僅是數(shù)據(jù)的使用者���,也是數(shù)據(jù)本身的代表者( 比如用戶)���,數(shù)據(jù)的所有者����,數(shù)據(jù)的責任人。
數(shù)據(jù)安全治理委員會或數(shù)據(jù)安全治理小組這個機構本身既是安全策略�����、安全規(guī)范和安全流程的制定者��,也是安全策略��、規(guī)范和流程的受眾����。
在 DGPC 框架中這個機構一般稱之為DGPC 團隊, 或者叫 Data Stewards����,這個團隊的職責是 :This is a virtual organization whose members are collectively responsible for defining principles, policies and procedures that govern key aspects of data classification, protection, use and management.
① 制定數(shù)據(jù)分類、保護、使用�、管理的原則
② 制定數(shù)據(jù)分類、保護���、使用�����、管理的策略
③ 制定數(shù)據(jù)分類��、保護�����、使用����、管理的流程
這個團隊的構成是:IT, human resources, legal and finance departments as well as business groups and the marketing department—in short, any group with a stake in collecting, processing, using and managing personally identifiable information (PII), intellectual property, trade secrets and other types of confidential information.(IT�、人資、法務�����、財務����、業(yè)務和市場部門等所有與人����、知識產(chǎn)權��、私密信息相關的部門)
數(shù)據(jù)安全治理機構的五大責任
數(shù)據(jù)安全治理的正式機構的成立�����,標志著一個組織在數(shù)據(jù)安全治理工作上的正式啟動�����,使組織內數(shù)據(jù)安全規(guī)范制定����、數(shù)據(jù)安全技術導入���、數(shù)據(jù)安全體系建設得以不斷完善����。數(shù)據(jù)安全治理機構成立后����,需要完成以下職責:
(1)數(shù)據(jù)的分級分類原則的制定
數(shù)據(jù)的分級分類原則���,往往是數(shù)據(jù)安全治理機構成立后要解決的核心問題。只有先制定合理有效的分級分類原則�����,才能在紛雜廣袤的數(shù)據(jù)中�����,明確出核心敏感數(shù)據(jù)����、次要敏感數(shù)據(jù)、公開共享數(shù)據(jù)��,從而基于此再設定數(shù)據(jù)的不同分享策略和原則��。
(2)數(shù)據(jù)安全使用(管理)規(guī)范的制定
數(shù)據(jù)安全使用規(guī)范的制定���,標志著數(shù)據(jù)安全治理進入到一個規(guī)范化的階段����,有了可靠的演進框架。
在這個階段的初期�,要完成敏感數(shù)據(jù)的分布梳理、內部角色的梳理���、數(shù)據(jù)的使用狀況梳理���。基于此�,了解清楚不同類別的敏感數(shù)據(jù)是如何被相關者使用的。
中期����,要完成在現(xiàn)狀基礎上的安全分析,要明確常規(guī)合理���、合法行為;要明確風險�����、非法的行為��;要明確在特定情況下數(shù)據(jù)訪問越級的審批結構���。
最后�����,我們要清晰有序地將這些角色�����、訪問過程的控制要求明確為受整個組織認可的文件��,以官方的形式正式下發(fā)���。
(3)數(shù)據(jù)安全治理技術的導入
數(shù)據(jù)已經(jīng)成為人類歷史上積累出來的最大資產(chǎn)和財富��,數(shù)據(jù)安全規(guī)范的執(zhí)行��,不可能依托于人工的方式完成���,任何依托于人工的方式,都是不可想象的����。
必須要引入大量的現(xiàn)代化的技術和工具,幫助完成數(shù)據(jù)的梳理�����、控制、行為監(jiān)控和風險預警�。
(4)數(shù)據(jù)安全使用規(guī)范的監(jiān)督執(zhí)行
作為數(shù)據(jù)安全治理中的核心機構,信息部門在數(shù)據(jù)安全管理規(guī)范制定完成后�����,最重要的是職責是監(jiān)督規(guī)范的執(zhí)行�,處理異常和風險行為。
而數(shù)據(jù)安全治理中的相關業(yè)務和使用部門��,職責在于將安全管理規(guī)范在本部門內落地��、執(zhí)行�。
(5)數(shù)據(jù)安全治理的持續(xù)演進
數(shù)據(jù)安全治理不是一蹴而就的事情,有了首期的框架后����,我們要根據(jù)執(zhí)行中所面臨的風險狀況�����、安全事件���、組織架構調整�、業(yè)務系統(tǒng)上線等,完成對安全治理中的安全管理規(guī)范��、技術支撐平臺的演進�。
產(chǎn)品咨詢:4000 258 365 
