數(shù)據(jù)治理和數(shù)據(jù)安全治理的區(qū)別
數(shù)據(jù)安全治理是近兩年頻繁被安全廠商提起的話題,很多企業(yè)也對(duì)數(shù)據(jù)安全治理非常感興趣,但是部分朋友還是分不清數(shù)據(jù)治理和數(shù)據(jù)安全治理,所以今天,我來(lái)給大家好好說(shuō)說(shuō)數(shù)據(jù)治理與數(shù)據(jù)安全治理的區(qū)別。
關(guān)注點(diǎn)不同
數(shù)據(jù)治理
關(guān)注于數(shù)據(jù)本身的組織,使用和傳輸、業(yè)務(wù)支撐等場(chǎng)景下的質(zhì)量、規(guī)范、流程與制度等。
數(shù)據(jù)安全治理
關(guān)注于數(shù)據(jù)在整個(gè)生命周期可用性、完整性與機(jī)密性的安全保護(hù),以數(shù)據(jù)業(yè)務(wù)屬性為始,數(shù)據(jù)的分級(jí)分類為核心,從數(shù)據(jù)存放位置為核心,建立以數(shù)據(jù)為中心的安全架構(gòu)體系。
輸出不同
數(shù)據(jù)治理的主要輸出是制度、管理規(guī)章、規(guī)范等。
數(shù)據(jù)安全治理的輸出包括數(shù)據(jù)的分級(jí)分類,安全使用規(guī)范,數(shù)據(jù)的可視化、監(jiān)控和發(fā)現(xiàn)要求等,以及最終如何采用技術(shù)手段推動(dòng)人員組織與流程的落地。
參考標(biāo)準(zhǔn)/依據(jù)不同
數(shù)據(jù)安全參考標(biāo)準(zhǔn)
-
國(guó)際標(biāo)準(zhǔn)化組織 (ISO/IEC) 38505數(shù)據(jù)治理框架
-
國(guó)際數(shù)據(jù)管理協(xié)會(huì)(CDMA)DAMA-DMBOK框架
-
國(guó)際數(shù)據(jù)治理研究所(DGI)DGI數(shù)據(jù)治理框架
-
IBM數(shù)據(jù)治理委員會(huì)(IBMDGA)數(shù)據(jù)治理成熟度模型
-
中國(guó)電子工業(yè)標(biāo)準(zhǔn)化技術(shù)協(xié)會(huì)信息技術(shù)服務(wù)分會(huì)(ITSS)數(shù)據(jù)治理規(guī)范
數(shù)據(jù)安全治理參考標(biāo)準(zhǔn)
目前已成型的參考標(biāo)準(zhǔn)分別有以下兩套標(biāo)準(zhǔn),分別是:
-
Gartner DSG : 數(shù)據(jù)安全治理的理念最早由Gartner正式提出,分析師將其與“風(fēng)暴之眼”進(jìn)行比較來(lái)形容數(shù)據(jù)安全治理(DSG)在數(shù)據(jù)安全領(lǐng)域中的重要性和作用。
-
DGPC:微軟的專門強(qiáng)調(diào)隱私、保密和合規(guī)的數(shù)據(jù)安全治理框架,主要圍繞“人員、流程、技術(shù)”三個(gè)核心能力領(lǐng)域的具體控制要求展開(kāi),與現(xiàn)有安全框架體系或標(biāo)準(zhǔn)協(xié)調(diào)合作以實(shí)現(xiàn)治理目標(biāo)。
結(jié)果不同
數(shù)據(jù)治理完成后的結(jié)果通常是業(yè)務(wù)系統(tǒng)的改造工作。
數(shù)據(jù)安全治理完成后的結(jié)果通常是在同一數(shù)據(jù)安全策略下選擇不同的技術(shù)產(chǎn)品來(lái)實(shí)現(xiàn)數(shù)據(jù)安全保護(hù)。
視角不同
數(shù)據(jù)治理的視角
數(shù)據(jù)治理指利用數(shù)據(jù)驅(qū)動(dòng)業(yè)務(wù),實(shí)現(xiàn)企業(yè)增值。數(shù)據(jù)治理的智能化程度,決定了企業(yè)數(shù)字化轉(zhuǎn)型的加速度。數(shù)據(jù)資產(chǎn)依賴于數(shù)據(jù)治理,而企業(yè)數(shù)據(jù)資產(chǎn)問(wèn)題歸根結(jié)底是由于企業(yè)中對(duì)外數(shù)據(jù)缺少統(tǒng)一而為的組織、制度、流程的管控、引起的“數(shù)據(jù)孤島”問(wèn)題。
數(shù)據(jù)治理的范疇更為全面,比如有哪些數(shù)據(jù),分布在哪里,能不能取到,被誰(shuí)使用,如何理解,數(shù)據(jù)治理如何,是否安全,價(jià)值/成本/收益如何。
數(shù)據(jù)治理本質(zhì)是數(shù)字化業(yè)務(wù)的需求。
數(shù)據(jù)安全治理的視角
Gartner提出,數(shù)據(jù)安全治理不僅僅是一套用工具組合的產(chǎn)品級(jí)解決方案,是從決策層到技術(shù)層,從管理制度到工具支撐,自上而下貫穿整個(gè)組織架構(gòu)的完整鏈條。組織內(nèi)的各個(gè)層級(jí)之間需要對(duì)數(shù)據(jù)安全治理的目標(biāo)和宗旨取得共識(shí),確保采取合理和適當(dāng)?shù)拇胧?,以最有效的方式保護(hù)信息資源。
特征不同
數(shù)據(jù)治理的特征
數(shù)據(jù)治理并非適用于任何企業(yè)。任何企業(yè)都在使用、產(chǎn)生數(shù)據(jù)。如果數(shù)據(jù)是一次性使用的、數(shù)據(jù)的產(chǎn)生僅僅是副產(chǎn)品,那么數(shù)據(jù)治理就無(wú)太大意義,應(yīng)用本身對(duì)相關(guān)數(shù)據(jù)進(jìn)行控制就足夠。
數(shù)據(jù)共享體現(xiàn)價(jià)值需要規(guī)范框架約束。如果數(shù)據(jù)不僅僅與特定的應(yīng)用相關(guān),還會(huì)在更大的范圍內(nèi)共享,特別是整個(gè)企業(yè)范圍內(nèi)共享,如企業(yè)的數(shù)字化轉(zhuǎn)型,那么就不能任由個(gè)人或部門各行其是地處置他們的數(shù)據(jù),數(shù)據(jù)活動(dòng)需要在一個(gè)企業(yè)的規(guī)范框架約束下進(jìn)行。
數(shù)據(jù)資產(chǎn)的安全性需要企業(yè)安全策略框架。如果數(shù)據(jù)是敏感或關(guān)鍵性的,那么使用、傳輸或存儲(chǔ)這類的數(shù)據(jù),會(huì)需要特別的處置,這種情況下也不能任由個(gè)人或部門各行其是,而是需要在一個(gè)企業(yè)的安全策略框架約束下進(jìn)行。
企業(yè)數(shù)據(jù)治理的本質(zhì)是建立/維護(hù)一組企業(yè)的“數(shù)據(jù)法規(guī)”,由這些法規(guī)來(lái)規(guī)范企業(yè)所有人員的數(shù)據(jù)活動(dòng)。
因此,數(shù)據(jù)治理是一個(gè)“制度化”過(guò)程,所謂制度化是執(zhí)行一個(gè)“正式批準(zhǔn)”的體系,該體系包括明確的價(jià)值目的、必須遵從的規(guī)范和落實(shí)各治理責(zé)任的組織機(jī)構(gòu)。
數(shù)據(jù)安全治理的特征
-
以人和數(shù)據(jù)為中心,專注于數(shù)據(jù)安全的生命周期安全;
-
首先通過(guò)風(fēng)險(xiǎn)與業(yè)務(wù)平衡識(shí)別,對(duì)數(shù)據(jù)進(jìn)行分級(jí)分類,組織數(shù)據(jù)安全及策略體系化落地;
-
將管理、技術(shù)與流程融合,建立自動(dòng)化,持續(xù)性,自適應(yīng)安全體系;
-
數(shù)據(jù)安全技術(shù)與平臺(tái)保障能力也非單一能力,而是體系化、協(xié)同性、綜合性能力。數(shù)據(jù)安全治理即使在技術(shù)工具與平臺(tái)落地階段,也涵蓋了加解密、數(shù)據(jù)防泄漏、云訪問(wèn)安全代理、身份認(rèn)證管理、用戶實(shí)體行為分析、數(shù)據(jù)庫(kù)審計(jì)等不同維度的的技術(shù)矩陣,依靠單一安全廠商、產(chǎn)品是無(wú)法達(dá)到這種全面技術(shù)保障能力的要求的,因此數(shù)據(jù)安全治理的建立與實(shí)施一定程度上依賴于生態(tài)形成與聯(lián)盟化發(fā)展。
最后我們可以總結(jié)一下,面對(duì)數(shù)據(jù)資產(chǎn)問(wèn)題的時(shí)候,安全是其中的一個(gè)環(huán)節(jié)。數(shù)據(jù)安全治理是數(shù)據(jù)治理的一個(gè)過(guò)程,是企業(yè)數(shù)字轉(zhuǎn)型中必然經(jīng)歷的階段,數(shù)據(jù)安全治理可獨(dú)立實(shí)施。數(shù)據(jù)安全治理是數(shù)據(jù)安全領(lǐng)域數(shù)據(jù)、業(yè)務(wù)、安全、技術(shù)、管理的集合。