数据安全治理边界是什么

数据安全治理是一个属于纲领战略性的概念，一般和数据安全管理放在一起做参照，以便于增进理解。但这两个概念有所不同，在实际上，数据安全治理是在数据安全领域采取的战略、组织、政策框架的集合。数据安全管理则主要侧重于战术执行层面。本篇我们来聊聊数据安全治理相关的东西。二、数据安全治理简介数据安全治理是企业为达成数据安全目标而采取的战略、组织、政策的总和。数据安全治理的需求来自于企业的战略、所面临的法律法规或监管层面的合规要求、业务面临的风险等，目的是让企业在市场中保持竞争优势、法律合规以及数据的安全。对于数据安全的目标，一般是保障数据的安全收集、安全使用、安全传输、安全存储、安全披露、安全流转与跟踪，防止敏感数据泄露，并满足合规要求。同时，数据安全治理确定了边界、改进方向，以及朝着目标方向前进所进行的战略决策、组织架构设计、政策制定、监督等活动。数据安全治理大致分为如下几个子领域：● 确定数据安全战略。● 数据安全组织的设计，确定权责边界、监督与问责机制。● 制定数据安全政策文件体系（含政策总纲、管理规定、标准规范、流程等）。数据安全治理三要素：● 战略：数据安全的长期目标，可以长期指引大家工作的方向。具体包括差别防护、工作重心、生命周期保护等。● 组织：主要是从业者技能职责认定、责任归属等。● 政策：政策总纲确定整体的数据安全治理原则，并在管理层达成共识，这个政策总纲可以在组织内部自行制定，也可以选择引入业界成熟的标准或框架。数据安全管理三要素：● 项目管理：围绕战略展开，通过项目建设支撑安全战略。包括防御基础设施建设、运维基础设施建设、支撑系统建设、流程/工具建设、业务数据安全改进项目等；● 运营管理：围绕组织展开，通过运营管理支撑组织职责、管理问责与绩效考核。包括高层支持、管理者当责、跨部门协作配合、员工支持、数据分析与绩效可视等；● 风险管理：围绕政策展开，通过风险管理支撑业务内外合规与风险可控。包括合规管理、安全开发生命周期管理、风险管理、业务连续性管理、应急预案预事件管理等。三、数据治理的范围● 数据治理标的：角色和组织、数据线路、政策和标准、架构、合规、问题管理、项目和服务、数据资产评估、交流；● 数据架构、分析和设计：企业数据建模、价值链分析、相关数据架构、逻辑建模、物理建模、建模标准、模型管理；● 数据库管理：数据库设计、数据库执行、支持和恢复、绩效和优化、归档和清除、技术管理；● 数据安全管理：数据隐私标准、保密分类、密码实务、用户或小组和观点管理、用户身份验证、数据安全审计；● 数据质量管理：质量要求规范、质量侧写和分析、数据质量提升、数据认证和审计；● 参考和主数据管理：数据整合架构、参考数据管理、用户数据整合、产品数据整合、维度管理；● 数据仓库和企业情报管理：数据仓库/企业情报架构、数据仓库/集市执行、企业情报执行、企业情报培训和支持、监测和优化；● 文件、记录和内容管理：电子文件管理、物理记录和文档管理、信息内容管理；● 元数据管理：用户和需求、架构和标准、抓取和整合、知识库管理、询问和报告、分配和发送；四、安全项目管理项目管理主要包括为支撑数据安全战略而发起的各种建设性项目，如安全防御基础设施、安全运维基础设施、支撑系统、流程、工具，以及重大的安全改进项目。为了保障安全架构能力在各业务线的落地，安全团队最好能够提供统一的数据安全管理系统，或者将数据安全管理功能融入数据管理平台或中台。数据安全管理系统功能参考：● 提供数据分级分类信息、数据对应的CMDB、数据安全负责人、业务线安全接口人等信息的登记。● 数据的权限申请，含权限明细、有效期等。● 数据流转的审批或登记。● 数据生命周期状态的跟踪，直至数据销毁。● 内外部合规要求与改进指引。● 使用数据的业务登记。● 设计数据安全检查表（Checklist），使用数据的业务，对照合规要求与改进指引，执行自检并保存检查结果，可以用于对业务进行设计合规性的度量。● 风险数据（基于安全的扫描或检测方法，可视化展示各业务的风险）。● 改进计划与改进进度的展示与跟踪。数据安全管理系统可以视为数据安全的仪表盘，让大家直观地感受到当前的数据安全风险现状及改进趋势，系统提供的数据可直接作为向上汇报的数据来源。五、安全运营管理安全运营管理，即日常运营活动的管理，包括了5个层面。1、高层支持数据安全治理是一个需要高层支持的工作。要获得高层的支持，一般需要通过汇报来进行，那么，应该汇报什么内容，以及希望获得什么样的支持呢？通常来说，需要包括以下点：● 法律法规、监管、合同的要求。其中，以法律法规的强制性要求最为权威。比如《网络安全法》明确规定了网络产品、服务提供者有修复漏洞或安全缺陷的义务。● 违法的处罚，比如违反《网络安全法》要求拒不修复漏洞，最高可罚款50万元，导致严重个人信息泄露事件的最高可罚100万元等。● 风险现状的总结与分析，含风险等级以及对公司的影响。● 业界的实践经验参考，主要包括本行业内的头部企业是怎么做的。● 下一步计划、对公司的意义，以及希望得到的支持，比如建议由高层发起，启动业务改进项目，这一行动在达成合规的同时，将赢得市场的竞争优势地位。2、管理者当责安全运营团队需要通过适当的方式，将此类问题暴露出来并同步到业务管理层。可以采用的方式有风险数据统计与分析、各业务线的改进得分排名等。必要时，也需要针对领导不当责、不严格要求团队或团队负责的业务综合安全风险长期居高不下的情况，向更高级别的管理层提出，供管理问责参考。3、跨部门协作配合良好协作的前提是构建信任，作为安全运营，需要帮助业务真正地解决问题，建立信任，比如主动解决业务的求助、主动输出培训、主动输出案例与解决方案分享、及时提供技术支持等。在进行总结汇报时，也要注意分享利益，提及合作团队为克服什么样的困难而做出的努力，感谢合作团队的付出。在申请项目奖项时，主动纳入各协作团队的同事。4、员工支持在企业内部推行数据安全时，不是发几个通知就能完成的，也离不开持续的宣传、教育、培训、推广等活动，逐步将数据安全的理念深入人心，将数据安全的最佳实践在内部达成共识。5、数据分析与绩效可视安全运营的一项重要工作，就是对风险度量数据进行分析总结，用于汇报、沟通，发现需要重点关注的问题，以及展示团队取得的成果，让高层满意。度量数据按照团队进行聚合，比如针对选取的风险指标，给各业务线进行打分和排名，以及输出改进的变化趋势，用于评价各团队的绩效。六、合规风险管理数据安全合规与风险管理，其目的是为了支撑数据安全治理中的政策总纲与框架，将政策总纲与框架中的原则和精神在日常的产品开发与业务活动过程中落地。合规与风险管理可以概括为：定政策、融流程、降风险● 定政策：是指合规管理，包括建立并完善内部政策，使之符合法律法规的要求并作为内部风险改进的依据，以及合规认证与测评，促进合规政策体系改进、业务改进。● 融流程：是指将安全活动在流程中落地，如果将安全要素融入产品开发与发布相关流程，可保障产品全生命周期的安全性。如果将安全相关要求融入业务流程，可保障业务活动的安全合规。● 降风险：是指风险管理，就是以内部政策为依据，在流程中以及日常活动中，评估、识别、检测各业务的数据所面临的风险，根据严重程度对其定级，确定风险处置的优先级，并采取风险控制措施降低风险，防止风险演变为事故，以及对风险进行度量，提升整体数据安全能力。七、SDL核心工作这一部分主要是为了支撑融流程。1、安全培训产品是由人来设计、开发、测试、实施的，参与人员的安全能力和安全意识，不可避免地影响所交付产品的安全性。所以安全团队的日常运营工作还包括持续的宣传、培训、推广等活动。2、安全评估评估就是主动识别产品可能的缺陷、漏洞、不合规等风险，评估的形式包括但不限于：● 方案架构设计的评估，可通过同行评审、自检等方式完成。● 代码漏洞的主动发现，可通过代码审计工具来完成。● 安全测试，可通过扫描、测试用例、渗透测试等方式完成。● 合规性评估，如隐私保护措施是否符合所有适用法律法规的要求。八、风险管理这一部分主要是为了支撑降风险。对于风险管理，可以使用安全架构的5A方法论，来审视产品的架构安全性。7.1、风险评估以涉及敏感数据的业务为评估对象，来评估其安全性。如果是普通业务，相应的控制措施可以适当放宽
贫僧丁幻丝说完*咱曹代丝一些—数据安全治理边界是通过数据安全治理，企业能够将数据生产、传输、存储、调用等数据生命全周期进行规范化、流程化、标准化，实现数据在企业中的安全，让数据资产能够在流通使用的同时，不发生安全泄漏事故。