風(fēng)暴之眼——Gartner定義數(shù)據(jù)安全治理

“The Eye of the Storm –Data Scurity Governance”

在Gartner 2017安全與風(fēng)險管理峰會上，分析師Marc-Antoine Meunier發(fā)表《2017年數(shù)據(jù)安全態(tài)勢》演講，提及“數(shù)據(jù)安全治理（Data Scurity Governance）”，Marc將其比喻為“風(fēng)暴之眼”，以此來形容數(shù)據(jù)安全治理（DSG）在數(shù)據(jù)安全領(lǐng)域中的重要地位及作用。

Gartner如何定義“數(shù)據(jù)安全治理”？

它在數(shù)據(jù)安全建設(shè)中發(fā)揮怎樣的作用？

我們?nèi)绾伍_展“數(shù)據(jù)安全治理”？

《State of Security Governance, 2017- Where Do We Go Next?》是Gartner對于數(shù)據(jù)安全治理的完整理念和方法論，安華金和提煉其中主要觀點(diǎn)與技術(shù)體系，還原一個完整的Gartner數(shù)據(jù)安全治理概念和框架，它將告訴我們“下一步該去哪里”？

首先，我們需要了解的是，數(shù)據(jù)安全治理絕不僅僅是一套用工具組合的產(chǎn)品級解決方案，而是從決策層到技術(shù)層，從管理制度到工具支撐，自上而下貫穿整個組織架構(gòu)的完整鏈條。組織內(nèi)的各個層級之間需要對數(shù)據(jù)安全治理的目標(biāo)和宗旨取得共識，確保采取合理和適當(dāng)?shù)拇胧宰钣行У姆绞奖Ｗo(hù)信息資源，這也是Gartner對“安全和風(fēng)險管理”的基本定義。

數(shù)據(jù)安全治理流程

1.建立管理問責(zé)制和決策權(quán)：其中包含了企業(yè)安全憲章建立、政策框架與組織保障，這決定了數(shù)據(jù)安全治理對于企業(yè)的重要性和地位，將此作為后續(xù)數(shù)據(jù)安全治理；

2.決定可接受的安全風(fēng)險：組織架構(gòu)建立后，評估企業(yè)自身面臨的安全風(fēng)險，對不同等級的風(fēng)險設(shè)定不同的管理政策，如有疑義，則啟動內(nèi)部仲裁；

3.安全風(fēng)險控制：針對安全風(fēng)險控制，制定相應(yīng)策略，內(nèi)部進(jìn)行資源匹配，這里面將涉及具體的技術(shù)工具；

4.風(fēng)險控制有效性：數(shù)據(jù)安全治理必須是一個完整的閉環(huán)，通過安全評估及具體指標(biāo)衡量，以確保風(fēng)險得到了有效管理，否則，需要回到第一個步驟重新糾偏。

良好的治理&不好的治理，如何判斷？

確立數(shù)據(jù)安全治理流程目標(biāo)后，決策者需要關(guān)注幾個關(guān)鍵性指標(biāo)，以作為評判數(shù)據(jù)安全治理工作是否是良性的，減輕企業(yè)負(fù)擔(dān)，Gartner也為我們提供了幾個評判標(biāo)準(zhǔn)。

數(shù)據(jù)安全治理的現(xiàn)狀

數(shù)據(jù)安全治理是一個多層框架，有完整的自上而下的邏輯，數(shù)據(jù)的價值和其安全保障對于企業(yè)和組織的重要性已不必強(qiáng)調(diào)。因此，數(shù)據(jù)安全治理不是一個單純的IT項(xiàng)目，而是與其他經(jīng)營行為同等重要，會共同為組織良性發(fā)展提供有力保障的戰(zhàn)略行為，或者說，如果這件事情沒有做好，也很有可能讓企業(yè)多年積累的經(jīng)營成果付之一炬，然而從Gartner調(diào)研到的數(shù)據(jù)來看，大多數(shù)的企業(yè)和組織可能還沒意識到這一點(diǎn)：

30％的受訪者擁有專門的安全管理職能，包括業(yè)務(wù)代表；42%沒有特設(shè)該職能

我們認(rèn)為數(shù)據(jù)安全治理的開展目的，應(yīng)當(dāng)與經(jīng)營目標(biāo)保持趨向性，這就要求企業(yè)成立專門的數(shù)據(jù)安全治理小組，并且在人員隊伍搭建中包括業(yè)務(wù)代表。

13%的受訪者表示參與治理的比例最大的是業(yè)務(wù)線；87％的治理委員會嚴(yán)重偏向技術(shù)性

上面提到數(shù)據(jù)安全治理的開展是從決策層貫穿至技術(shù)層的整體動作，這要求治理小組的成員比例，應(yīng)當(dāng)合理包括決策層、業(yè)務(wù)線、技術(shù)線等。

34％的受訪者表示最高級的安全執(zhí)行官向高級業(yè)務(wù)管理者報告；56％的安全領(lǐng)導(dǎo)人最終向IT部門報告。

數(shù)據(jù)安全治理小組的工作匯報對象決定其在企業(yè)思考中能夠夠開展的深度和力度，如果匯報對象只能到IT部門，基本上決定這只能是一個技術(shù)項(xiàng)目，無關(guān)經(jīng)營和戰(zhàn)略。

數(shù)據(jù)安全治理的整體框架

Gartner對數(shù)據(jù)庫安全治理形成一個從上而下的整體框架，包括從治理前提、具體目標(biāo)到技術(shù)支撐的完整體系，是一個“骨骼”，在開展實(shí)施時，企業(yè)和組織再填充“肉”。

Step1：業(yè)務(wù)需求與風(fēng)險/威脅/合規(guī)性之間的平衡

這里需要考慮5個維度的平衡：經(jīng)營策略、治理、合規(guī)、IT策略和風(fēng)險容忍度，這也是治理隊伍開展工作前需要達(dá)成統(tǒng)一的5個要素。

經(jīng)營戰(zhàn)略：確立數(shù)據(jù)安全的處理如何支撐經(jīng)營策略的制定和實(shí)施

治理：對數(shù)據(jù)安全需要開展深度的治理工作

合規(guī)：企業(yè)和組織面臨的合規(guī)要求

IT策略：企業(yè)的整體IT策略同步

風(fēng)險容忍度：企業(yè)對安全風(fēng)險的容忍度在哪里

Step2：數(shù)據(jù)優(yōu)先級

進(jìn)行數(shù)據(jù)安全治理前，需要先明確治理的對象，企業(yè)擁有龐大的數(shù)據(jù)資產(chǎn)，本著高效原則，Gartner建議，應(yīng)當(dāng)優(yōu)先對重要數(shù)據(jù)進(jìn)行安全治理工作，安華金和的治理思路同樣將“數(shù)據(jù)分級分類”作為整體計劃的第一環(huán)，這將大大提高治理的效率和投入產(chǎn)出比。通過對全部數(shù)據(jù)資產(chǎn)進(jìn)行梳理，明確數(shù)據(jù)類型、屬性、分布、訪問對象、訪問方式、使用頻率等，繪制“數(shù)據(jù)地圖”，以此為依據(jù)進(jìn)行數(shù)據(jù)分級分類，以此對不同級別數(shù)據(jù)實(shí)行合理的安全手段。這個基礎(chǔ)也會為每一步治理技術(shù)的實(shí)施提供策略支撐。

Step3：制定策略，降低安全風(fēng)險

從兩個方向考慮如何實(shí)施數(shù)據(jù)安全治理，一是明確數(shù)據(jù)的訪問者（應(yīng)用用戶/數(shù)據(jù)管理人員）、訪問對象、訪問行為；二是根據(jù)基于這些信息制定不同的、有針對性的數(shù)據(jù)安全策略。這一步的實(shí)施更加需要數(shù)據(jù)資產(chǎn)梳理的結(jié)果作為支撐，以提供數(shù)據(jù)在訪問、存儲、分發(fā)、共享等不同場景下，即滿足業(yè)務(wù)需求，又保障數(shù)據(jù)安全的保護(hù)策略。

Step4：實(shí)行安全工具

數(shù)據(jù)是流動的，數(shù)據(jù)結(jié)構(gòu)和形態(tài)會在整個生命周期中不斷變化，需要采用多種安全工具支撐安全策略的實(shí)施。Gartner在DSG體系中提出了實(shí)現(xiàn)安全和風(fēng)險控制的5個工具，實(shí)際上這5各工具是指5個安全領(lǐng)域，其中可能包含多個具體的技術(shù)手段：

Crypto（加密）：這其中應(yīng)該包括數(shù)據(jù)庫中的結(jié)構(gòu)化數(shù)據(jù)的加密，以及數(shù)據(jù)落地存儲之前傳輸層或應(yīng)用端的加密，以及加密相關(guān)的密鑰管理、密文訪問權(quán)控等多種技術(shù)。

DCAP（以數(shù)據(jù)為中心的審計和保護(hù)）：可以集中管理數(shù)據(jù)安全策略，統(tǒng)一控制結(jié)構(gòu)化、半結(jié)構(gòu)化和非結(jié)構(gòu)化的數(shù)據(jù)庫或數(shù)據(jù)豎井。這些產(chǎn)品可以通過合規(guī)、報告和取證分析來審計日志記錄的異常行為，同時使用訪問控制、脫敏、加密、令牌化等技術(shù)劃分應(yīng)用用戶和管理員間的職責(zé)。

DLP（數(shù)據(jù)防泄漏）：

DLP工具提供對敏感數(shù)據(jù)的可見性，無論是在端點(diǎn)上使用，在網(wǎng)絡(luò)上運(yùn)動還是靜止在文件共享上。使用DLP，組織可以實(shí)時保護(hù)從端點(diǎn)或電子郵件中提取的非結(jié)構(gòu)化數(shù)據(jù)。DCAP和DLP之間的根本區(qū)別在于DCAP工具更多地側(cè)重于組織內(nèi)用戶訪問的數(shù)據(jù)，而DLP更側(cè)重于將離開組織的數(shù)據(jù)。

IAM（身份識別與訪問管理）

IAM是一套全面的建立和維護(hù)數(shù)字身份，并提供有效地、安全地IT資源訪問的業(yè)務(wù)流程和管理手段，從而實(shí)現(xiàn)組織信息資產(chǎn)統(tǒng)一的身份認(rèn)證、授權(quán)和身份數(shù)據(jù)集中管理與審計。身份和訪問管理是一套業(yè)務(wù)處理流程，也是一個用于創(chuàng)建和維護(hù)和使用數(shù)字身份的支持基礎(chǔ)結(jié)構(gòu)。

Step5：策略配置同步

策略配置同步主要針對DCAP的實(shí)施而言，集中管理數(shù)據(jù)安全策略是DCAP的核心功能，而無論訪問控制、脫敏、加密、令牌化那種手段都必須注意對數(shù)據(jù)訪問和使用的安全策略保持同步下發(fā)，策略執(zhí)行對象應(yīng)包括關(guān)系型數(shù)據(jù)庫、大數(shù)據(jù)類型、文檔文件、云端數(shù)據(jù)等數(shù)據(jù)類型。

“數(shù)據(jù)安全治理”區(qū)別以往的任何一種安全解決方案，它會是一個更大的工程，技術(shù)和產(chǎn)品不再是數(shù)據(jù)安全治理框架中的主體，連同組織決策、制度、評估、稽核是這個框架的靈魂和指導(dǎo)思想。

后記

2016年，安華金和在中國首家提出數(shù)據(jù)安全治理理念，2017年具體通過產(chǎn)線的搭建完成對數(shù)據(jù)安全治理理念的技術(shù)支撐，交付完整解決方案。2017年，Garnter開始在信息安全治理原則下關(guān)注數(shù)據(jù)安全治理，雙方針對數(shù)據(jù)安全治理展開溝通探討，無獨(dú)有偶，兩者在數(shù)據(jù)安全治理的認(rèn)知上存高度一致性，且各有補(bǔ)足，安華金和將繼續(xù)專注數(shù)據(jù)安全治理工作的研究和落地，借鑒國際主流思想和經(jīng)驗(yàn)，實(shí)現(xiàn)數(shù)據(jù)安全治理最佳實(shí)踐。

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實(shí)，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。