目录

背景:

架构图:

解释:

英文解释:(自上而下)

平衡业务与风险、威胁、合规之间的关系(5个维度之间的平衡)

优先处理数据集

制定安全策略

实施安全工具

策略配置同步


背景:

  • 在Gartner2017 安全与风险管理峰会上,分析师Marc-Antoine Meunier发表《2017年数据安全态势》演讲,提及“数据安全治理(Data Security Governance)”
  • Marc将其比喻为“风暴之眼”,以此来形容数据安全治理(DSG)在数据安全领域中的重要地位及作用。
  • 《State of Security Governance, 2017-Where Do We Go Next?》是Gartner对于数据安全治理的完整理念和方法论

架构图:

解释:

从上到下,从需求调研开始实施数据安全治理。千万不要跨过数据摸底、治理优先级分析、制定治理整体策略,而直接从技术工具开始对数据安全进行治理。

英文解释:(自上而下)

  • 平衡业务与风险、威胁、合规的关系
  • 治理优先级
  • 制定安全策略
  • 实施安全工具
  • 策略配置同步

平衡业务与风险、威胁、合规之间的关系(5个维度之间的平衡)

  • 企业战略:数据安全治理应保持与企业战略的制定和实施的统一
  • 治理:数据安全需要开展深度的治理工作(另一种解读:管理:与现有管理手段结合)
  • 合规:考虑企业需要面临的合规要求
  • IT策略:与企业整体IT策略同步
  • 风险容忍度:企业对安全风险的容忍度是多少

优先处理数据集

先明确选择需要治理的对象,优先选择重要数据进行数据安全治理工作。可以通过数据梳理、分类分级等手段,完成数据资产盘点和筛选,在纷杂的数据中理清头绪。

制定安全策略

  • 访问关系:数据访问者、访问对象、访问行为。(对应人、数据、分析)
  • 安全策略:根据场景制定针对性安全策略

实施安全工具

根据数据不同生命周期,采取不同的数据安全技术/工具

策略配置同步

数据安全策略集中管理、同步下发。策略执行对象应包括关系型数据库、大数据类型、文档文件、云端数据等数据类型。