观点 | 数据治理与数据安全治理思考
大数据经过多年发展,在不同的业务场景下得到深入应用,在企业提升经营目标、促进经营决策,以及通过大数据应用促进经济发展、优化民生工程、解决生活服务便捷等场景起到了重要作用。特别是十九届四中全会史无前例的将“数据”作为新型生产要素参与收益分配,一时间,各指导部门及高校、研究及咨询机构、行业企业纷纷开始研究和实践数据有效利用的数字化转型探索。通过数据的有效利用,实现数字化转型,加快数字化发展,成为整个社会共识。
数据治理作为基础性工作和第一步,受到高度重视。数据的确权、数据质量、数据跨境流通、数据开放与共享、数据交易、数据安全等等,如何做好数据治理工作成为数字化转型的新一个挑战。数据治理的最终目标是提升数据的价值,数据治理非常必要,是企业实现数字战略的基础,它是一个管理体系,包括组织、制度、流程、工具。
01
数据治理
数据治理(Data Governance)是组织中涉及数据使用的一整套管理行为,包括数据治理计划、监控、实施。由企业数据治理部门发起并推行,关于如何制定和实施针对整个企业内部数据的商业应用和技术管理的一系列政策和流程。
国际数据治理研究所(DGI)给出的定义:数据治理是一个通过一系列信息相关的过程来实现决策权和职责分工的系统,这些过程按照达成共识的模型来执行,该模型描述了谁(Who)能根据什么信息,在什么时间(When)和情况(Where)下,用什么方法(How),采取什么行动(What)。而在GB/T 34960.5-2018《信息技术服务 治理 第5部分:数据治理规范》国家标准中,明确数据治理是数据资源及其应用过程中相关管控活动、绩效和风险管理的集合。
治理通常理解是企业组织管理层进行建立体系化、系统化的决策、指导和监督原则的高阶指导管理过程,事实上实践中很多人偏狭义的理解数据治理,常常与数据管理等同看待。
在DAMA数据管理知识体系指南和DCMM中都包含了数据治理的内容。国际数据管理协会(DAMA)给出的定义:数据治理是对数据资产管理行使权力和控制的活动集合。是各类数据管理的核心,指导所有数据管理功能的执行。在《GB/T 36073-2018 数据管理能力成熟度评估模型》(DCMM)里,对数据管理能力的定义为:组织和机构对数据进行管理和应用的能力。其能力域包括数据战略、数据治理、数据架构、数据应用、数据安全、数据质量、数据标准、数据生命周期。从这8个能力域来看与数据治理需要的工具类似,因此我们在某一个层面上,可以DCMM为标准来进行数据治理的工作开展,或者认同DCMM作为现阶段数据治理的指导,不必深究数据治理与数据管理的差异化。
数据治理的三个目标
在数字化转型中,单单从经营业务及其相关数据利用方面来看(不考虑企业内部运营的数据),数据治理要实现以下三个目标:
“数字”:数字化要做好,数据采集自动化,数据存储结构化,数据运用在线化。其前提是有完整的信息化建设基础,有数据采集的能力。
“数智”:数智化就是数据智能,大数据的目标是为了找到关心的小数据,关键数据,而不是为了收藏数据,需要考数据科学挖掘,包括算法、模型分析、人工智能…
02
数据安全治理
Gartner提出的数据安全治理框架认为数据安全治理不能仅是一套集成了各类数据安全工具的产品解决方案,而是需要从上而下贯穿整个组织架构,覆盖组织的全体人员,形成组织全员对数据安全治理目标的一致共识,并采取适当的管理和技术措施,有效地保护组织数据的全生命周期安全。
微软的DGPC数据安全治理框架认为数据安全治理需围绕人员、流程和技术三个核心领域展开,与现有安全框架(通常意义上现有的安全管理体系的融合)协同合作以实现隐私、保密和合规的安全治理目标。
数据安全能力成熟度模型认为“组织应关注数据的流转情况,将视角从数据本身扩展到其生命周期的各个阶段,使用一套以数据为核心的、围绕数据全生命周期构建的模型来指导其建立、持续改进并依此评价其数据安全能力”。
总体而言,数据安全治理的核心内涵包括从战略层面形成由上而下贯穿组织总体架构的对数据安全治理目标的共识,关注数据处理全生命周期安全,重视管理与技术措施并举,并能够根据安全形势、技术发展和演进趋势等的动态变化,对数据安全治理体系进行持续优化。组织在规划和开展数据安全治理工作时,需要依据数据安全治理的核心理念,从数据安全战略、管理机制和技术手段多方面建设数据安全治理能力。(数据安全复合治理与时间白皮书)
03
不同之处
视角不同
→ 数据治理的视角:
数据治理指利用数据驱动业务,实现企业增值。数据治理的智能化程度,决定了企业数字化转型的加速度。数据资产依赖于数据治理,而企业数据资产问题归根结底是由于企业中对外数据缺少统一而为的组织、制度、流程的管控、引起的“数据孤岛”问题。
→ 数据安全治理的视角:
结果不同
数据治理完成后的结果是完成数据模型训练、得到数据决策结果或者新的业务调整方向,通常是需要面临着对业务系统的改造或调整工作。
数据安全治理完成后的结果通常是在同一数据安全策略下,选择不同的技术产品、流程机制来实现针对数据池安全保护。
关注点不同
→ 数据治理:
关注于数据本身的组织,使用和传输、业务支撑等场景下的质量、规范、流程与制度等。
→ 数据安全治理:
输出不同
数据治理的主要输出是制度、管理规章、规范、治理标准、数据指标体系等。
04
落地实践的五个重要认知
方法论有所不同,而在落地实践中,数据治理与数据安全治理的共同之处暂且毛估估有以下几点:
数据安全治理除了组织管理和流程机制层面的设置,更多依赖安全管理平台系统或落地技术措施,涵盖API管理、数据存储备份、数据加解密、数据防泄漏、身份认证与访问控制、数字水印、隐私计算、数据脱敏、数据操作行为审计、数据删除等安全技术,依靠单一技术只能解决单一或部分问题,因此数据安全治理的建立与实施,一定程度上依赖多样化的成熟技术组合,不断建设形成全面的解决方案。
数据安全与网络安全
数据安全法中关于数据开发利用与安全保护的论述,证明数据安全是与数据利用同等重要的地位,业务发展与安全并架而行,数据安全的核心是安全和合规。而传统网络安全(非CyberSecurity)核心是保障基础网络和存储数据的安全。
05
数据安全治理面临的挑战
行业内实践经验缺乏
市场化方案成熟度有限,需要额外的非技术投入
安全需求来源不一样,导致沟通成本增加
数据合规如何做,难以开展和落地
※此文只言片语,未精雕细琢,未经深思,仅拿来作笔记参考,不足之处,望请见谅。
精彩推荐