文档介绍:数据安全的必由之路:数据安全治理引言:企业转型,对中国大量成长型企业而言,其转型的过程就是完成从创业到成长,从成熟到规范成熟的企业生命体的进化。其本质就是企业从单一产品和简单环节的低级或初级的价值创造状态,向组合产品以及多环节整合的高级的价值创造状态的转变和进化。这是面对市场经济的迅速发展及行业成熟规律下企业的自然行为与必然选择。2017年,安华金和加快从数据库安全厂商向数据安全治理产品和服务提供商转型的步伐,致力于在数据安全治理领域大刀阔斧,开创全新领地。数据治理或者数据安全在大多数安全从业者的印象中是比较熟悉的概念,但数据安全治理却似乎是个新名词。实际上,对于拥有重要数据资产的企业或政府部门,在数据安全治理方面或多或少都有实践,只是尚未系统化的实行。比如运营商行业的客户数据安全管理规范及其落地的配套管控措施,一些政府部门的数据分级分类管理规范;在国外由Microsoft提出的DGPC(pliance)框架也是专门的面向数据安全治理的管理和技术框架。接下来我们将把数据安全理念分成四篇系列文章,有侧重的,相对系统化地加以阐述。,我们对“数据安全治理”概论做个认知。愿景数据安全治理的愿景。在这里,笔者首先要强调的是数据安全治理的目标是——数据安全使用。我们不谈脱离了“使用”的安全,数据存在的目的就是为了使用,如果不是基于这个前提去谈安全,最终有可能产生无法落地的情况,或者即使落地,效果也会差强人意。数据安全治理概论数据安全治理的概念——数据安全治理是以数据的安全使用为目的的综合管理理念。三个需求目标:数据安全保护(Protection)敏感数据管理(Sensitive)pliance)四大重要环节:数据的分类(Classify)梳理(Understand)管控(Control)和审计(Audit)三大核心实现框架:数据安全人员组织(Person)数据安全使用的策略和流程(Policy&Process)数据安全技术支撑(Tech)数据安全治理理念框架数据安全治理的需求目标围绕“数据安全使用”的愿景,数据安全治理覆盖了安全防护、敏感信息管理、合规三大目标;这三个目标比我们过去以防黑客攻击和满足合规性两大安全目标,更为全面和完善。经过二十多年信息化和互联网经济的发展,数据成为继现金和技术之后又一核心价值资产;数据黑产在过去十年里蓬勃发展,让每个人、每个企业和国家的数据面临着巨大威胁;只有合理地处理好数据资产的使用与安全,企业与国家才能在新的数据时代稳健而高速发展。对于敏感数据的安全管理和使用,是数据安全治理的核心主题。数据安全治理的核心内容数据安全治理的核心内容,首先是来自对数据的有效理解和分析,对数据进行不同类别和密级的划分;根据数据的类别和密级制定不同的管理和使用原则,尽可能对数据做到有差别和针对性的防护,实现在适当安全保护下的数据自由流动。在数据分级和分类后,重要的是要描述数据的特征,以及这些数据在系统内的分布,了解这些数据在被谁访问,这些人是如何使用和访问数据的,这就需要完整的数据梳理过程。在数据有效梳理的基础上,我们需要制定出针对不同数据、不同使用者的管理控制措施;数据的管控包含数据的收集、存储、使用、分发和销毁