風暴之眼 Gartner定義資料安全治理

在gartner

2017

安全與風險管理峰會上，分析師

marc-antoine meunier發表

《2023年資料安全態勢》演講，提及「資料安全治理（

data security governance

）」，marc

將其比喻為「風暴之眼」，以此來形容資料安全治理（dsg）在資料安全領域中的重要地位及作用。

《state of security governance, 2017

-where do we go next?

》是gartner對於資料安全治理的完整理念和方**，安華金和提煉其中主要觀點與技術體系，還原乙個完整的gartner資料安全治理概念和框架，它將告訴我們「下一步該去**」？

首先，我們需要了解的是

，資料安全治理絕不僅僅是一套用工具組合的產品級解決方案

，而是從決策層到技術層

，從管理制度到工具支撐，

自上而下貫穿整個組織架構的完整鏈條

。組織內的各個層級之間需要對資料安全治理的目標和宗旨取得共識，確保採取合理和適當的措施，以最有效的方式保護資訊資源，這也是gartner對「安全和風險管理」的基本定義。

資料安全治理流程

建立管理問責制和決策權：其中包含了企業安全憲章建立、政策框架與組織保障，這決定了資料安全治理對於企業的重要性和地位，將此作為後續資料安全治理；

決定可接受的安全風險：組織架構建立後，評估企業自身面臨的安全風險，對不同等級的風險設定不同的管理政策，如有疑義，則啟動內部仲裁；

安全風險控制：針對安全風險控制，制定相應策略，內部進行資源匹配，這裡面將涉及具體的技術工具；

風險控制有效性：資料安全治理必須是乙個完整的閉環，通過安全評估及具體指標衡量，以確保風險得到了有效管理，否則，需要回到第乙個步驟重新糾偏。

良好的治理&不好的治理，如何判斷？

確立資料安全治理流程目標後，決策者需要關注幾個關鍵性指標，以作為評判資料安全治理工作是否是良性的，減輕企業負擔，gartner也為我們提供了幾個評判標準。

資料安全治理的現狀

資料安全治理是乙個多層框架，有完整的自上而下的邏輯，資料的價值和其安全保障對於企業和組織的重要性已不必強調。因此，資料安全治理不是乙個單純的it專案，而是與其他經營行為同等重要，會共同為組織良性發展提供有力保障的戰略行為，或者說，如果這件事情沒有做好，也很有可能讓企業多年積累的經營成果付之一炬，然而從gartner調研到的資料來看，大多數的企業和組織可能還沒意識到這一點：

30％的受訪者擁有專門的安全管理職能，包括業務代表；42%沒有特設該職能

我們認為資料安全治理的開展目的，應當與經營目標保持趨向性，這就要求企業成立專門的資料安全治理小組，並且在人員隊伍搭建中包括業務代表。

13%的受訪者表示參與治理的比例最大的是業務線；87％的治理委員會嚴重偏向技術性

上面提到資料安全治理的開展是從決策層貫穿至技術層的整體動作，這要求治理小組的成員比例，應當合理包括決策層、業務線、技術線等。

34％的受訪者表示最高端的安全執行官向高階業務管理者報告；56％的安全領***終向it部門報告。

資料安全治理小組的工作匯報物件決定其在企業思考中能夠夠開展的深度和力度，如果匯報物件只能到it部門，基本上決定這只能是乙個技術專案，無關經營和戰略。

資料安全治理的整體框架

gartner對資料庫安全治理形成乙個從上而下的整體框架，包括從治理前提、具體目標到技術支撐的完整體系，是乙個「骨骼」，在開展實施時，企業和組織再填充「肉」。

step1：業務需求與風險/威脅/合規性之間的平衡

這裡需要考慮5個維度的平衡：經營策略、治理、合規、it策略和風險容忍度，這也是治理隊伍開展工作前需要達成統一的5個要素。

經營戰略：確立資料安全的處理如何支撐經營策略的制定和實施

治理：對資料安全需要開展深度的治理工作

合規：企業和組織面臨的合規要求

it策略：企業的整體it策略同步

風險容忍度：企業對安全風險的容忍度在**

step2：資料優先順序

進行資料安全治理前，需要先明確治理的物件，企業擁有龐大的資料資產，本著高效原則，gartner建議，應當優先對重要資料進行安全治理工作，安華金和的治理思路同樣將「資料分級分類」作為整體計畫的第一環，這將大大提高治理的效率和投入產出比。通過對全部資料資產進行梳理，明確資料型別、屬性、分布、訪問物件、訪問方式、使用頻率等，繪製「資料地圖」，以此為依據進行資料分級分類，以此對不同級別資料實行合理的安全手段。這個基礎也會為每一步治理技術的實施提供策略支撐。

step3：制定策略，降低安全風險

從兩個方向考慮如何實施資料安全治理，一是明確資料的訪問者（應用使用者/資料管理人員）、訪問物件、訪問行為；二是基於這些資訊制定不同的、有針對性的資料安全策略。這一步的實施更加需要資料資產梳理的結果作為支撐，以提供資料在訪問、儲存、分發、共享等不同場景下，即滿足業務需求，又保障資料安全的保護策略。

step4：實行安全工具

資料是流動的，資料結構和形態會在整個生命週期中不斷變化，需要採用多種安全工具支撐安全策略的實施。gartner在dsg體系中提出了實現安全和風險控制的5個工具，實際上這5個工具是指5個安全領域，其中可能包含多個具體的技術手段：

crypto（加密）：這其中應該包括資料庫中的結構化資料的加密，以及資料落地儲存之前傳輸層或應用端的加密，以及加密相關的金鑰管理、密文訪問權控等多種技術。

dcap（以資料為中心的審計和保護）：可以集中管理資料安全策略，統一控制結構化、半結構化和非結構化的資料庫或資料豎井。這些產品可以通過合規、報告和取證分析來審計日誌記錄的異常行為，同時使用訪問控制、脫敏、加密、令牌化等技術劃分應用使用者和管理員間的職責。

dlp（資料防洩漏）：dlp工具提供對敏感資料的可見性，無論是在端點上使用，在網路上運動還是靜止在檔案共享上。使用dlp，組織可以實時保護從端點或電子郵件中提取的非結構化資料。dcap和dlp之間的根本區別在於dcap工具更多地側重於組織內使用者訪問的資料，而dlp更側重於將離開組織的資料。

iam（身份識別與訪問管理）：iam是一套全面的建立和維護數字身份，並提供有效地、安全地it資源訪問的業務流程和管理手段，從而實現組織資訊資產統一的身份認證、授權和身份資料集中管理與審計。身份和訪問管理是一套業務處理流程，也是乙個用於建立、維護和使用數字身份的支援基礎結構。

step5：策略配置同步

策略配置同步主要針對dcap的實施而言，集中管理資料安全策略是dcap的核心功能，而無論訪問控制、脫敏、加密、令牌化那種手段都必須注意對資料訪問和使用的安全策略保持同步下發，策略執行物件應包括關係型資料庫、大資料型別、文件檔案、雲端資料等資料型別。

「資料安全治理」區別以往的任何一種安全解決方案，它會是乙個更大的工程，技術和產品不再是資料安全治理框架中的主體，連同組織決策、制度、評估、審核是這個框架的靈魂和指導思想。

後記

2023年，安華金和在中國首家提出資料安全治理理念，2023年具體通過產線的搭建完成對資料安全治理理念的技術支撐，交付完整解決方案。2023年，garnter開始在資訊保安治理原則下關注資料安全治理，雙方針對資料安全治理展開溝通**，無獨有偶，兩者在資料安全治理的認知上存在高度一致性，且各有補足。安華金和將繼續專注資料安全治理工作的研究和落地，借鑑國際主流思想和經驗，實現資料安全治理最佳實踐。

阿里雲市場官方店鋪：

雲安全產品限時體驗：

風暴之眼 Gartner定義資料安全治理

儲存系統「資料之眼」的設計資料探查服務

SQL之資料定義

SQL之定義資料

風暴之眼 Gartner定義資料安全治理

儲存系統「資料之眼」的設計 資料探查服務

SQL之資料定義

SQL之定義資料

相關推薦

儲存系統「資料之眼」的設計資料探查服務