查看原文
其他

观点 | 数据治理与数据安全治理思考

两块 FreeBuf安全咨询 2022-09-24

作者 | 两块
编 | 大白haha

大数据经过多年发展,在不同的业务场景下得到深入应用,在企业提升经营目标、促进经营决策,以及通过大数据应用促进经济发展、优化民生工程、解决生活服务便捷等场景起到了重要作用。特别是十九届四中全会史无前例的将“数据”作为新型生产要素参与收益分配,一时间,各指导部门及高校、研究及咨询机构、行业企业纷纷开始研究和实践数据有效利用的数字化转型探索。通过数据的有效利用,实现数字化转型,加快数字化发展,成为整个社会共识。

数据治理作为基础性工作和第一步,受到高度重视。数据的确权、数据质量、数据跨境流通、数据开放与共享、数据交易、数据安全等等,如何做好数据治理工作成为数字化转型的新一个挑战。数据治理的最终目标是提升数据的价值,数据治理非常必要,是企业实现数字战略的基础它是一个管理体系,包括组织、制度、流程、工具。


01

数据治理


数据治理(Data Governance)是组织中涉及数据使用的一整套管理行为,包括数据治理计划、监控、实施。由企业数据治理部门发起并推行,关于如何制定和实施针对整个企业内部数据的商业应用和技术管理的一系列政策和流程。

国际数据治理研究所(DGI)给出的定义:数据治理是一个通过一系列信息相关的过程来实现决策权和职责分工的系统,这些过程按照达成共识的模型来执行,该模型描述了谁(Who)能根据什么信息,在什么时间(When)和情况(Where)下,用什么方法(How),采取什么行动(What)。而在GB/T 34960.5-2018《信息技术服务 治理 第5部分:数据治理规范》国家标准中,明确数据治理是数据资源及其应用过程中相关管控活动、绩效和风险管理的集合。

治理通常理解是企业组织管理层进行建立体系化、系统化的决策、指导和监督原则的高阶指导管理过程,事实上实践中很多人偏狭义的理解数据治理,常常与数据管理等同看待。

在DAMA数据管理知识体系指南和DCMM中都包含了数据治理的内容。国际数据管理协会(DAMA)给出的定义:数据治理是对数据资产管理行使权力和控制的活动集合。是各类数据管理的核心,指导所有数据管理功能的执行。在《GB/T 36073-2018 数据管理能力成熟度评估模型》(DCMM)里,对数据管理能力的定义为:组织和机构对数据进行管理和应用的能力。其能力域包括数据战略、数据治理、数据架构、数据应用、数据安全、数据质量、数据标准、数据生命周期。从这8个能力域来看与数据治理需要的工具类似,因此我们在某一个层面上,可以DCMM为标准来进行数据治理的工作开展,或者认同DCMM作为现阶段数据治理的指导,不必深究数据治理与数据管理的差异化。

在《数据治理工具图谱研究报告》中描述数据治理的目标是提升数据价值,是组织推动战略落实的基础,它由管理体系和技术体系共同组成,包括组织、制度、流程、技术及支撑工具等。


数据治理的三个目标


在数字化转型中,单单从经营业务及其相关数据利用方面来看(不考虑企业内部运营的数据),数据治理要实现以下三个目标:

数字”:数字化要做好,数据采集自动化,数据存储结构化,数据运用在线化。其前提是有完整的信息化建设基础,有数据采集的能力。

数智”:数智化就是数据智能,大数据的目标是为了找到关心的小数据,关键数据,而不是为了收藏数据,需要考数据科学挖掘,包括算法、模型分析、人工智能…

数治”:数治化是数字治理结合业务场景和管理要素的落地和见效,结合产业和业务场景的决策治理,优化结构,提升效果。


02

数据安全治理


Gartner提出的数据安全治理框架认为数据安全治理不能仅是一套集成了各类数据安全工具的产品解决方案,而是需要从上而下贯穿整个组织架构,覆盖组织的全体人员,形成组织全员对数据安全治理目标的一致共识,并采取适当的管理和技术措施,有效地保护组织数据的全生命周期安全。


微软的DGPC数据安全治理框架认为数据安全治理需围绕人员、流程和技术三个核心领域展开,与现有安全框架(通常意义上现有的安全管理体系的融合)协同合作以实现隐私、保密和合规的安全治理目标。


数据安全能力成熟度模型认为“组织应关注数据的流转情况,将视角从数据本身扩展到其生命周期的各个阶段,使用一套以数据为核心的、围绕数据全生命周期构建的模型来指导其建立、持续改进并依此评价其数据安全能力”。


总体而言,数据安全治理的核心内涵包括从战略层面形成由上而下贯穿组织总体架构的对数据安全治理目标的共识,关注数据处理全生命周期安全,重视管理与技术措施并举,并能够根据安全形势、技术发展和演进趋势等的动态变化,对数据安全治理体系进行持续优化。组织在规划和开展数据安全治理工作时,需要依据数据安全治理的核心理念,从数据安全战略、管理机制和技术手段多方面建设数据安全治理能力。(数据安全复合治理与时间白皮书)



03

不同之处



视角不同


数据治理的视角:

数据治理指利用数据驱动业务,实现企业增值。数据治理的智能化程度,决定了企业数字化转型的加速度。数据资产依赖于数据治理,而企业数据资产问题归根结底是由于企业中对外数据缺少统一而为的组织、制度、流程的管控、引起的“数据孤岛”问题。

数据治理的范畴更为全面,比如有哪些数据,分布在哪里,能不能取到,被谁使用,如何理解,数据治理如何,是否安全,价值/成本/收益如何。
数据治理本质是数字化业务的需求。

数据安全治理的视角:

Gartner提出,数据安全治理不仅仅是一套用工具组合的产品解决方案,是从决策层到技术层,从管理制度到工具支撑,自上而下贯穿整个组织架构的完整链条。组织内的各个层级之间需要对数据安全治理的目标和宗旨取得共识,确保采取合理和适当的措施,以最有效的方式保护信息资源。



结果不同


数据治理完成后的结果是完成数据模型训练、得到数据决策结果或者新的业务调整方向,通常是需要面临着对业务系统的改造或调整工作。

数据安全治理完成后的结果通常是在同一数据安全策略下,选择不同的技术产品、流程机制来实现针对数据池安全保护。



关注点不同


数据治理:

关注于数据本身的组织,使用和传输、业务支撑等场景下的质量、规范、流程与制度等。

数据安全治理:

关注于数据在整个生命周期可用性、完整性与机密性的安全保护,以数据业务属性为始,数据的分级分类为核心,从数据存放位置为核心,建立以数据为中心的安全架构体系。


输出不同


数据治理的主要输出是制度、管理规章、规范、治理标准、数据指标体系等。

数据安全治理的输出包括数据的分级分类,安全使用规范,数据的可视化、监控和发现要求等,以及最终如何采用技术手段推动人员组织与流程的落地。
因此,可以看出数据治理是企业为实现数字化转型战略,提升数据的利用价值,对数据资源进行开发和应用的一系列治理活动,侧重数据的有效利用。而数据安全治理是数据治理的一个过程,是企业数字化转型进行数据治理中必经阶段,数据安全治理是否可以独立实施还有待详细讨论,数据安全治理是以保护数据的生命周期安全,需要的一系列管理和技术支撑,是数据安全领域数据、业务、安全、技术、管理的应用集合。


04

落地实践的五个重要认知


方法论有所不同,而在落地实践中,数据治理与数据安全治理的共同之处暂且毛估估有以下几点:
跨区协同:数据治理不单单视为一个技术项目,治理方案需要灵活调整、各部门协同,需要涉及公司组织政策和制度流程、技术措施、工具平台等内容。
业务共识:不能忽视与领导层及业务方的高效沟通,由下向上推动数据治理,困难重重,阻力不可预知,同时需要与业务层达成一致的目标,把数据相关干系人纳入数据治理流程。数据治理是为提升业务或者数据开放需求而生的,而数据安全治理是为了更好的保障数据治理的安全方针的有效落地和安全目标的实现。在推进过程中,都可能涉及到业务系统的改造、数据处理的流程变更等等,甚至需要满足市场法务合规的需求。
数据合规:数据合规是不可逾越的红线,不重视各种法律法规和条例规范,会失去数据安全保护透明度和公众的信任,将整个数据治理或经营业务置于违规风险的不利地位。
基础建设:需要足够的底层技术能力支撑,没有完善的信息化建设,谈不上数字化转型实践,需要大量基础技术能力,IT基础设施、数据中台、数据开发、云业务迁移、数字化转型等,没有底层管理能力和技术的充分准备,数据治理策略将难以推动,令团队处于被动地位。
体系融合:数据治理和数据安全都需要组织人员,管理制度到技术平台工具的支撑,而数据安全治理不可能重建一套安全体系,建设初期也没有额外资源另建一套数据管理体系(组织/人员/制度),需要纳入到现有的管理体系之中,借助原有的管理流程,相互借鉴与融合,比如组织架构、安全培训、管理流程。
数据安全治理的理念,首先需要成立数据安全治理的组织机构,确保数据安全治理工作在组织内能真正地落地;其次,完成数据安全治理的策略性文件和系列落地文件;再次,通过系列的数据安全技术支撑系统应对挑战,确保数据安全管理规定有效落地。
最佳实施路径是在数据治理建设方案框架下,同步规划建设实施数据安全治理。在现阶段多数中小企业数据中台或数据治理仍在建设中的情形下,根据数据治理的侧重点不同,在数据治理过程中实施数据安全治理的比重或阶段各不相同,甚至不包含数据安全治理。

数据安全治理除了组织管理和流程机制层面的设置,更多依赖安全管理平台系统或落地技术措施,涵盖API管理、数据存储备份、数据加解密、数据防泄漏、身份认证与访问控制、数字水印、隐私计算、数据脱敏、数据操作行为审计、数据删除等安全技术,依靠单一技术只能解决单一或部分问题,因此数据安全治理的建立与实施,一定程度上依赖多样化的成熟技术组合,不断建设形成全面的解决方案。



数据安全与网络安全


数据安全法中关于数据开发利用与安全保护的论述,证明数据安全是与数据利用同等重要的地位,业务发展与安全并架而行,数据安全的核心是安全和合规。而传统网络安全(非CyberSecurity)核心是保障基础网络和存储数据的安全。
看待视角不一致,网络安全,以保障基础通信网络和关键信息基础设施可用,保障业务连续、有效防御外界攻击为目标;数据安全以业务和数据的安全使用为目标。
对象不一致,网络防护以防御外界网络攻击或入侵为主要对象,而数据安全以数据为对象。
建设中心不一致,数据安全建设以保障生命周期各阶段为核心,传统网络安全以攻击防护为主。

05

数据安全治理面临的挑战


行业内实践经验缺乏

只有部分头部企业在数据治理或数据安全治理方面,开始的早投入大,需要大量的专业人才和成本投入,但大厂的模式很多中小企业无法借鉴。不同于网络安全的建设,数据安全治理的建设,与经营业务、与数据治理(数据开发利用)有更多的互动,牵扯范围更广,行业经验形成标准化复制难度较大,落地推动工作需要更多适配本地环境因素的摸索。

市场化方案成熟度有限,需要额外的非技术投入

传统网络安全产品的使用者是安全运营人员,运维与业务是割裂的;数据安全与业务是强相关的,市场化数据安全类产品的落地建设需要业务条线(非研发技术人员)的支持、需要数据管理部门的支持(很多大数据管理平台或应用,开源软件居多,无安全属性的考虑)。
市场化解决方案只有单一技术,无法覆盖企业数据安全治理的方方面面,比起网络安全来,数据安全治理更需要有行业业务逻辑的理解。

安全需求来源不一样,导致沟通成本增加

传统安全需求来源于内控、合规、业务发展,需求可以比较明确传导到安全部门。
而针对数据治理的数据安全,比如业务条线向数据管理部门提出需求,数据管理部门进行数据分析和数据开发,输出上层数据应用,双方对安全需求来源均不明确,而需要安全部门以第三方的视角追踪整个过程,来挖掘安全需求并实现。

数据合规如何做,难以开展和落地

传统IT审计,往往由风险合规或稽查审计部门发起,根据外部法规要求或集团规章制度,制定审计检查脚本工具,组织人员开展审计,发现安全管控漏洞和安全策略未执行等风险问题;而数据安全作为新的领域,新增了员工隐私保护、个人信息保护、外部数据安全合规等内容,以及新的数据安全管控措施(防泄漏、行为管控、脱敏、水印)可能不在制度流程中,或数据安全制度规范尚不完善,或对数据生命周期各阶段安全保护目标不理解,都导致审计部门没有足够有此方面经验的人员和检查工具来开展数据安全审计工作。

※此文只言片语,未精雕细琢,未经深思,仅拿来作笔记参考,不足之处,望请见谅。


精彩推荐


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存