安全資訊

數據安全治理是近兩年頻繁被安全廠(chǎng)商提起的話(huà)題，很多企業(yè)也對數據安全治理非常感興趣，但是部分朋友還是分不清數據治理和數據安全治理，所以今天，我來(lái)給大家好好說(shuō)說(shuō)數據治理與數據安全治理的區別。

關(guān)注點(diǎn)不同

數據治理

關(guān)注于數據本身的組織，使用和傳輸、業(yè)務(wù)支撐等場(chǎng)景下的質(zhì)量、規范、流程與制度等。

數據安全治理

關(guān)注于數據在整個(gè)生命周期可用性、完整性與機密性的安全保護，以數據業(yè)務(wù)屬性為始，數據的分級分類(lèi)為核心，從數據存放位置為核心，建立以數據為中心的安全架構體系。

輸出不同

數據治理的主要輸出是制度、管理規章、規范等。

數據安全治理的輸出包括數據的分級分類(lèi)，安全使用規范，數據的可視化、監控和發(fā)現要求等，以及最終如何采用技術(shù)手段推動(dòng)人員組織與流程的落地。

參考標準/依據不同

數據安全參考標準

• 國際標準化組織 (ISO/IEC) 38505數據治理框架

• 國際數據管理協(xié)會(huì )（CDMA）DAMA-DMBOK框架

• 國際數據治理研究所（DGI）DGI數據治理框架

• IBM數據治理委員會(huì )（IBMDGA）數據治理成熟度模型

• 中國電子工業(yè)標準化技術(shù)協(xié)會(huì )信息技術(shù)服務(wù)分會(huì )（ITSS）數據治理規范

數據安全治理參考標準

目前已成型的參考標準分別有以下兩套標準，分別是：

• Gartner DSG : 數據安全治理的理念最早由Gartner正式提出，分析師將其與“風(fēng)暴之眼”進(jìn)行比較來(lái)形容數據安全治理（DSG）在數據安全領(lǐng)域中的重要性和作用。

• DGPC：微軟的專(zhuān)門(mén)強調隱私、保密和合規的數據安全治理框架，主要圍繞“人員、流程、技術(shù)”三個(gè)核心能力領(lǐng)域的具體控制要求展開(kāi)，與現有安全框架體系或標準協(xié)調合作以實(shí)現治理目標。

結果不同

數據治理完成后的結果通常是業(yè)務(wù)系統的改造工作。

數據安全治理完成后的結果通常是在同一數據安全策略下選擇不同的技術(shù)產(chǎn)品來(lái)實(shí)現數據安全保護。

視角不同

數據治理的視角

數據治理指利用數據驅動(dòng)業(yè)務(wù)，實(shí)現企業(yè)增值。數據治理的智能化程度，決定了企業(yè)數字化轉型的加速度。數據資產(chǎn)依賴(lài)于數據治理，而企業(yè)數據資產(chǎn)問(wèn)題歸根結底是由于企業(yè)中對外數據缺少統一而為的組織、制度、流程的管控、引起的“數據孤島”問(wèn)題。

數據治理的范疇更為全面，比如有哪些數據，分布在哪里，能不能取到，被誰(shuí)使用，如何理解，數據治理如何，是否安全，價(jià)值/成本/收益如何。

數據治理本質(zhì)是數字化業(yè)務(wù)的需求。

數據安全治理的視角

Gartner提出，數據安全治理不僅僅是一套用工具組合的產(chǎn)品級解決方案，是從決策層到技術(shù)層，從管理制度到工具支撐，自上而下貫穿整個(gè)組織架構的完整鏈條。組織內的各個(gè)層級之間需要對數據安全治理的目標和宗旨取得共識，確保采取合理和適當的措施，以最有效的方式保護信息資源。

特征不同

數據治理的特征

數據治理并非適用于任何企業(yè)。任何企業(yè)都在使用、產(chǎn)生數據。如果數據是一次性使用的、數據的產(chǎn)生僅僅是副產(chǎn)品，那么數據治理就無(wú)太大意義，應用本身對相關(guān)數據進(jìn)行控制就足夠。

數據共享體現價(jià)值需要規范框架約束。如果數據不僅僅與特定的應用相關(guān)，還會(huì )在更大的范圍內共享，特別是整個(gè)企業(yè)范圍內共享，如企業(yè)的數字化轉型，那么就不能任由個(gè)人或部門(mén)各行其是地處置他們的數據，數據活動(dòng)需要在一個(gè)企業(yè)的規范框架約束下進(jìn)行。

數據資產(chǎn)的安全性需要企業(yè)安全策略框架。如果數據是敏感或關(guān)鍵性的，那么使用、傳輸或存儲這類(lèi)的數據，會(huì )需要特別的處置，這種情況下也不能任由個(gè)人或部門(mén)各行其是，而是需要在一個(gè)企業(yè)的安全策略框架約束下進(jìn)行。

企業(yè)數據治理的本質(zhì)是建立/維護一組企業(yè)的“數據法規”，由這些法規來(lái)規范企業(yè)所有人員的數據活動(dòng)。

因此，數據治理是一個(gè)“制度化”過(guò)程，所謂制度化是執行一個(gè)“正式批準”的體系，該體系包括明確的價(jià)值目的、必須遵從的規范和落實(shí)各治理責任的組織機構。

數據安全治理的特征

• 以人和數據為中心，專(zhuān)注于數據安全的生命周期安全；

• 首先通過(guò)風(fēng)險與業(yè)務(wù)平衡識別，對數據進(jìn)行分級分類(lèi)，組織數據安全及策略體系化落地；

• 將管理、技術(shù)與流程融合，建立自動(dòng)化，持續性，自適應安全體系；

• 數據安全技術(shù)與平臺保障能力也非單一能力，而是體系化、協(xié)同性、綜合性能力。數據安全治理即使在技術(shù)工具與平臺落地階段，也涵蓋了加解密、數據防泄漏、云訪(fǎng)問(wèn)安全代理、身份認證管理、用戶(hù)實(shí)體行為分析、數據庫審計等不同維度的的技術(shù)矩陣，依靠單一安全廠(chǎng)商、產(chǎn)品是無(wú)法達到這種全面技術(shù)保障能力的要求的，因此數據安全治理的建立與實(shí)施一定程度上依賴(lài)于生態(tài)形成與聯(lián)盟化發(fā)展。

最后我們可以總結一下，面對數據資產(chǎn)問(wèn)題的時(shí)候，安全是其中的一個(gè)環(huán)節。數據安全治理是數據治理的一個(gè)過(guò)程，是企業(yè)數字轉型中必然經(jīng)歷的階段，數據安全治理可獨立實(shí)施。數據安全治理是數據安全領(lǐng)域數據、業(yè)務(wù)、安全、技術(shù)、管理的集合。