数字化时代下的数据治理与数据安全治理

近年来全球各行各业都在积极探索和开展数字化转型与建设，期望通过数字化技术来支撑业务的长期、持续增长。那么如何做好数字化转型呢？华为在其数字化转型实践《华为数据之道》一书中表明，数字化转型要抓住数据治理这个“牛鼻子”，而且不仅要强调技术的支撑，还要强调业务价值的发挥，才能为数字化转型的成功打下良好基础。

数据治理方面，业界已有一些成熟的模型框架，如战略一致性模型（Strategic Alignment Model，SAM）、阿姆斯特丹信息模型（The Amsterdam Information Model，AIM）、DAMA-DMBOK数据管理框架等。其中DAMA-DMBOK数据管理框架，在数据治理领域具有较高的参考价值，其围绕DAMA-DMBOK数据管理框架的11个知识领域进行构建。

DAMA-DMBOK2数据管理框架（DAMA车轮图）

数据安全作为其体系框架的组成部分，是数据治理的基础保障，没有数据安全的数据治理，必将导致数据治理的整体失败。数据安全治理也是支撑数据治理达成，实现组织数字化转型目标的基础保障。

近年来，来自外部的安全风险也呈现加剧态势，我国针对数据安全方面的立法也在加速推进。例如《网络安全法》、正在审议的《数据安全法》、《个人信息保护法》等，都是国家层面对网络及数据安全极度重视的体现。

综上，对于组织来说，无论从自身业务发展的内在需要，还是外部合规遵从，如何做好数据安全治理 ，保障数据安全，都是摆在组织面前的一个重大问题。

因此我们将从数据治理的角度，来谈谈组织如何才能做好数据安全治理。

一、明确并定义好组织的数据安全的目标

数据安全目标，包括以下几个方面：

1.支持对企业数据资产的适当访问、使用，并防止不当的访问、使用。

2. 支持对隐私、保护和保密制度、法规的遵从。

3.确保满足利益相关方对隐私和保密的要求。

二、遵循良好数据安全的指导原则

组织数据安全遵循以下指导原则：

协同合作

数据安全是一项需要协同的工作，涉及IT安全管理员、数据管理专员/数据治理、内部和外部审计团队以及法律部门。

统一统筹

运用数据安全标准和策略时，必须保证组织的一致性。

主动管理

数据安全管理的成功取决于主动性和动态性、所有利益相关方的关注、管理变更以及克服组织或文化瓶颈，如信息安全、信息技术、数据管理以及业务利益相关方之间的传统职责分离。

明确责任

必须明确界定角色和职责，包括跨组织和角色的数据“监管链”。

元数据驱动

数据安全分类分级是数据定义的重要组成部分。

减少接触以降低风险

最大限度地减少敏感/机密数据的扩散，尤其是在非生产环境中。

三、践行科学的数据安全治理活动

数据安全治理实施没有放之四海而皆准的方法来满足所有必需的隐私、保密等数据安全要求。企业数据安全治理应设计自己的安全控制措施，并证明这些措施已达到或超过了业务需求与法律法规的严格要求。记录这些控制措施的实施情况，并随着时间的推移进行监控和测量。数据安全活动内容包括如下：

1.识别数据安全需求

区分业务需求、外部监管限制规则很重要。同时也有必要确保支持组织的数据安全标准。

业务需求

在组织内实施数据安全的第一步是全面了解组织的业务需求。组织的业务需求、使命、战略和规模以及所属行业，决定了所需数据安全的严格程度。

监管要求

信息时代的道德法律问题促使各国政府制定新的法律和标准，这些都对组织信息管理施加了严格的安全控制。创建一份完整的清单，其中包含所有相关数据法规以及受每项法规影响的数据主题域，为法规遵从而制定的相关安全策略和实施的控制措施之间建立纽带。

2.制定数据安全制度

组织在制定数据安全制度时应基于自己的业务和法规要求。制度是所选行动过程的陈述以及为达成目标所期望行为的顶层描述。

制定安全制度需要IT安全管理员、安全架构师、数据治理委员会、数据管理专员、内部和外部审计团队以及法律部门之间的协作。所有数据法规遵从行动必须协调一致，以降低成本、工作指令混乱和不必要的本位之争。

管理与企业安全相关的行为需要不同级别的制度，例如：企业安全制度、IT安全制度、数据安全制度等。另外，还应定期重新评估数据安全制度、过程和活动，在所有利益相关方的数据安全要求之间取得尽可能的平衡。

3.定义数据安全细则

制度提供行为准则，但并不能列出所有可能的意外情况。细则是对制度的补充，并提供有关如何满足制度意图的其他详细信息。

定义数据保密等级

保密等级分类是重要的元数据特征，用于指导用户如何获得访问权限。每个组织都应创建或采用满足其业务需求的分级方案。任何分级方案都应清晰易行，它将包含从最低到最高的一系列密级。例如，从“一般用途”到“绝密”。

定义数据监管类别

高度公开的数据泄露事件日益增多，导致出台了很多与数据相关的法律法规。法律法规要求是信息安全的延伸，需要采取其他措施，以对监管要求进行有效管理。

定义安全角色

数据访问控制可根据需要在单个用户级或组织级中进行管理。角色组使得安全管理员能够按角色定义权限，并通过在适当角色组中注册用户实现权限授予。

4.评估当前安全风险

安全风险包括可能危及网络和/或数据库的因素。识别风险的第一步是确定敏感数据的存储位置，以及这些数据需要哪些保护措施。对每个系统进行以下评估：

存储或传送的数据敏感性评估。

保护数据的要求评估。

现有的安全保护措施评估。

记录调查结果以此为将来的评价创建基线。必须通过技术支持的安全流程改进来弥补差距。应对改进效果进行衡量和监测，以确保风险得到缓解。

安全风险评估可聘用“白帽”黑客或采购数据安全服务来评估漏洞。白帽测试可作为组织不可渗透的证明，可用于市场声誉的宣传。

5.实施控制和规程

数据安全策略的实施和管理主要由安全管理员负责，与数据管理专员和技术团队协作，实施适当的控制以满足安全策略要求。

控制和规程至少应涵盖：

获取和终止对系统和/或应用程序的访问权限。

为用户分配角色或从角色中去除。

监控权限级别。

处理和监控访问变更请求。

根据机密性和适用法规对数据进行分类、数据泄露后处理等。

综上，通过明确并定义好数据安全目标，并遵循良好的指导原则，践行科学的数据安全治理活动，可以为数据安全治理，提供明确的、可行的工作思路，为组织做好数据安全治理提供依据。

昂楷自成立至今，一直专注于数据安全领域，经过多年发展，已打造形成了一整套数据安全综合治理解决方案，可为组织业务数字化转型中提供完善的数据安全治理思路、方法和服务。

数据安全治理解决方案

昂楷数据安全治理解决方案内容主要涵盖数据资产梳理、风险评估、主动防御、数据处理加固、监控审计、数据溯源、态势感知、联动联防8大模块，覆盖数据全生命周期的安全防护，能够为组织业务数字化转型构建完善的数据安全治理技术防护体系。

附：参考文献

[1] 中华人民共和国网络安全法

[2] 中华人民共和国数据安全法（草案）

[3] 中华人民共和国个人信息保护法（草案）

[4] DAMA数据管理知识体系指南：原书第2版／美国DAMA国际著；DAMA中国分会翻译组译．―北京：机械工业出版社

[5] 华为数据之道ENTERPRISE DATA AT HUAWEI华为公司数据管理部　著；机械工业出版社2020年出版