数据安全治理的九大要素前言:风险是数据安全保障的起点,正是由于有了风险、有了特定威胁动机的威胁源,使用各种攻击方法、利用信息系统的各种脆弱性、对信息资产造成各种影响,才引起了信息安全问题。而数据安全治理就是围绕着风险,针对面临的各种风险,制定针对性的策略,将风险减少至可以接受的程度。I 安全目标与业务目标对其大数据时代,从企业内部到企业关联的上下游产业链中每天都源源不断产生大量数据,这些数据能够给企业带来无限机会。数据也因此被称为新时代企业的“黄金”和“石油”正成为企业的核心资产、国家的战略资源。保证数据安全能力已成为全球进入大数据时代的重要竞争力。传统的数据安全更多的是放在网络入侵系统数据被窃取,而这只是数据安全的一部分,我们提到的数据安全是以数据为中心,建设可见、可控、可管的能力,达到让数据看得见,控得住,管得好。我们回过头再谈数据安全治理的目标,让数据看得见,控得住,管得好是数据安全治理的手段,并不是目标。那么什么才是数据安全治理的目标呢?有专家观点:数据安全管理是实现敏感数据最小化访问,以保证数据的安全。笔者认为这是战术层面的数据安全管理,而从战略上讲数据安全和敏感信息的保护要站在企业级数据共享和应用的视角,以合规要求为前提,以数据应用为基础,以满足业务用数需求为驱动,将数据安全目标与企业业务目标对其,来进行统筹规划。换句话说,数据安全治理的目标是通过安全的使用数据以实现业务目标,脱离了“使用”数据安全就没有了意义,脱离了“业务目标”数据资产就没有了价值。I 梳理数据资产,识别敏感数据数据资产梳理是数据安全治理的基础,通过对数据资产的梳理,可以确定敏感性数据在系统内部的分布、确定敏感数据是如何被访问的、确定当前的数据访问账号和授权的情况等。关于数据资产梳理的方法主要有自顶向下的全面梳理和需求驱动的自底向上梳理方法,这两种方法在笔者之前的文章中也有详细描述,详见《主数据管理四部曲》。这个过程也可以借助一些自动化工具帮助我们识别敏感数据,基于用户指定或预定义的敏感数据及特征,工具可以自动识别发现敏感数据并导出清单。同时,还需要借助数据可视化技术,构建企业数据地图可视化企业数据资产,并可以通过数据地图准确定位敏感数据所在位置,让数据资产和安全风险都能看得见。I 数据认责体系谁应该对企业的数据安全负责?这是有一个争议性的话题。提到数据安全认责,有人会说:“不是 IT 负...
