數(shù)據(jù)治理或者數(shù)據(jù)安全概念�,對于大多數(shù)IT 和安全從業(yè)者來說,認知度比較高��,但數(shù)據(jù)安全治理���,似乎是個新名詞��。實際上��,關于數(shù)據(jù)安全治理原則與框架�,國際研究機構Gartner 對此已經(jīng)進行專屬領域的研究����,大型企業(yè)Microsoft 從數(shù)據(jù)隱私合規(guī)角度也曾向市場提出隱私��,保密和合規(guī)性的數(shù)據(jù)治理方案����。
Gartner認為數(shù)據(jù)安全治理不僅僅是一套用工具組合的產(chǎn)品級解決方案���,是從決策層到技術層,從管理制度到工具支撐�����,自上而下貫穿整個組織架構的完整鏈條����。組織內的各個層級之間需要對數(shù)據(jù)安全治理的目標和宗旨取得共識,確保采取合理和適當?shù)拇胧���,以最有效的方式保護信息資源��,這也是Gartner對“安全和風險管理”的基本定義���。
Gatner數(shù)據(jù)安全治理框架
Step1:業(yè)務需求與安全(風險/威脅/合規(guī)性)之間的平衡
這里需要考慮5個維度的平衡:經(jīng)營策略��、治理�、合規(guī)����、IT策略和風險容忍度,這也是治理隊伍開展工作前需要達成統(tǒng)一的5個要素�。
Step2:數(shù)據(jù)優(yōu)先級
進行數(shù)據(jù)分級分類,以此對不同級別數(shù)據(jù)實行合理的安全手段����。
Step3:制定策略,降低安全風險
從兩個方向考慮如何實施數(shù)據(jù)安全治理�����,一是明確數(shù)據(jù)的訪問者(應用用戶/數(shù)據(jù)管理人員)���、訪問對象��、訪問行為���;二是基于這些信息制定不同的、有針對性的數(shù)據(jù)安全策略。
Step4:實行安全工具
數(shù)據(jù)是流動的���,數(shù)據(jù)結構和形態(tài)會在整個生命周期中不斷變化��,需要采用多種安全工具支撐安全策略的實施��。Gartner在DSG體系中提出了實現(xiàn)安全和風險控制的5個工具:Crypto�、DCAP�、DLP、CASB���、IAM,這5個工具是指5個安全領域�,其中可能包含多個具體的技術手段。
Step5:策略配置同步
策略配置同步主要針對DCAP的實施而言���,集中管理數(shù)據(jù)安全策略是DCAP的核心功能�,而無論訪問控制���、脫敏����、加密��、令牌化,哪種手段都必須注意對數(shù)據(jù)訪問和使用的安全策略保持同步下發(fā)���,策略執(zhí)行對象應包括關系型數(shù)據(jù)庫��、大數(shù)據(jù)類型�、文檔文件��、云端數(shù)據(jù)等數(shù)據(jù)類型����。
Microsoft的DGPC理念
由微軟開發(fā)的隱私,保密和合規(guī)性(DGPC)框架的數(shù)據(jù)治理計劃�,是為了企業(yè)和組織能夠以統(tǒng)一、跨學科的方式來實現(xiàn)以下三個目標�,而非組織內不同部門獨立解決這三個不同的問題:
1)傳統(tǒng)的IT安全方法側重于IT基礎設施,通過邊界安全與終端安全進行保護�。重點應該加強對存儲數(shù)據(jù)的保護,并隨基礎設施移動�����,加強保護����;
2)隱私相關的保護措施必須超越與安全重疊的隱私保護措施����,包括:重點獲取��、保護和執(zhí)行客戶對如何及何時收集�、處理或第三方共享的行為保護措施;
3)數(shù)據(jù)安全和數(shù)據(jù)隱私合規(guī)責任需要通過一套統(tǒng)一的控制目標和控制行為����,進行合理化處理,以滿足合規(guī)�。
DGPC框架與企業(yè)現(xiàn)有的IT管理和控制框架(如COBIT)以及ISO / IEC 27001/27002和支付卡行業(yè)數(shù)據(jù)安全標準(PCI DSS)等安全標準協(xié)同工作。DGPC框架圍繞三個核心能力領域組織��,涵蓋人員����,流程和技術三個部分�。
在以上國際視角對數(shù)據(jù)安全理解的基礎上,并且和我國一些具體的安全實踐相結合�,918搏天堂提出了一套在中國易于落地的數(shù)據(jù)安全建設的體系化方法論。
數(shù)據(jù)安全治理是以“讓數(shù)據(jù)使用更安全”為目的的安全體系構建的方法論��,核心內容包括:
(1)滿足數(shù)據(jù)安全保護(Protection)、合規(guī)性(Compliance)���、敏感數(shù)據(jù)管理(Sensitive)
三個需求目標����;
(2)核心理念包括:分級分類(Classfiying)�、角色授權(Privilege)、場景化安全(Scene)�;
(3)數(shù)據(jù)安全治理的建設步驟包括:組織構建、資產(chǎn)梳理����、策略制定、過程控制��、行
為稽核和持續(xù)改善���;
(4)核心實現(xiàn)框架為數(shù)據(jù)安全人員組織(Person)����、數(shù)據(jù)安全使用的策略和流程(Policy
& Process)��、數(shù)據(jù)安全技術支撐(Technology)三大部分�����。
918搏天堂在中國國內提出的這一數(shù)據(jù)安全治理理念與技術路線,填補了該理念在中國的空白��,更有效推動實現(xiàn)該理念在國內的執(zhí)行落地�。
產(chǎn)品咨詢:4000 258 365 
