“The Eye of the Storm –Data Scurity Governance”
在Gartner 2017安全與風(fēng)險(xiǎn)管理峰會(huì)上,分析師Marc-Antoine Meunier發(fā)表《2017年數(shù)據(jù)安全態(tài)勢(shì)》演講,提及“數(shù)據(jù)安全治理(Data Scurity Governance)”,Marc將其比喻為“風(fēng)暴之眼”,以此來形容數(shù)據(jù)安全治理(DSG)在數(shù)據(jù)安全領(lǐng)域中的重要地位及作用。
Gartner如何定義“數(shù)據(jù)安全治理”?
它在數(shù)據(jù)安全建設(shè)中發(fā)揮怎樣的作用?
我們?nèi)绾伍_展“數(shù)據(jù)安全治理”?
《State of Security Governance, 2017- Where Do We Go Next?》是Gartner對(duì)于數(shù)據(jù)安全治理的完整理念和方法論,安華金和提煉其中主要觀點(diǎn)與技術(shù)體系,還原一個(gè)完整的Gartner數(shù)據(jù)安全治理概念和框架,它將告訴我們“下一步該去哪里”?
首先,我們需要了解的是,數(shù)據(jù)安全治理絕不僅僅是一套用工具組合的產(chǎn)品級(jí)解決方案,而是從決策層到技術(shù)層,從管理制度到工具支撐,自上而下貫穿整個(gè)組織架構(gòu)的完整鏈條。組織內(nèi)的各個(gè)層級(jí)之間需要對(duì)數(shù)據(jù)安全治理的目標(biāo)和宗旨取得共識(shí),確保采取合理和適當(dāng)?shù)拇胧?,以最有效的方式保護(hù)信息資源,這也是Gartner對(duì)“安全和風(fēng)險(xiǎn)管理”的基本定義。
數(shù)據(jù)安全治理流程
1.建立管理問責(zé)制和決策權(quán):其中包含了企業(yè)安全憲章建立、政策框架與組織保障,這決定了數(shù)據(jù)安全治理對(duì)于企業(yè)的重要性和地位,將此作為后續(xù)數(shù)據(jù)安全治理;
2.決定可接受的安全風(fēng)險(xiǎn):組織架構(gòu)建立后,評(píng)估企業(yè)自身面臨的安全風(fēng)險(xiǎn),對(duì)不同等級(jí)的風(fēng)險(xiǎn)設(shè)定不同的管理政策,如有疑義,則啟動(dòng)內(nèi)部仲裁;
3.安全風(fēng)險(xiǎn)控制:針對(duì)安全風(fēng)險(xiǎn)控制,制定相應(yīng)策略,內(nèi)部進(jìn)行資源匹配,這里面將涉及具體的技術(shù)工具;
4.風(fēng)險(xiǎn)控制有效性:數(shù)據(jù)安全治理必須是一個(gè)完整的閉環(huán),通過安全評(píng)估及具體指標(biāo)衡量,以確保風(fēng)險(xiǎn)得到了有效管理,否則,需要回到第一個(gè)步驟重新糾偏。
良好的治理&不好的治理,如何判斷?
確立數(shù)據(jù)安全治理流程目標(biāo)后,決策者需要關(guān)注幾個(gè)關(guān)鍵性指標(biāo),以作為評(píng)判數(shù)據(jù)安全治理工作是否是良性的,減輕企業(yè)負(fù)擔(dān),Gartner也為我們提供了幾個(gè)評(píng)判標(biāo)準(zhǔn)。
數(shù)據(jù)安全治理的現(xiàn)狀
數(shù)據(jù)安全治理是一個(gè)多層框架,有完整的自上而下的邏輯,數(shù)據(jù)的價(jià)值和其安全保障對(duì)于企業(yè)和組織的重要性已不必強(qiáng)調(diào)。因此,數(shù)據(jù)安全治理不是一個(gè)單純的IT項(xiàng)目,而是與其他經(jīng)營行為同等重要,會(huì)共同為組織良性發(fā)展提供有力保障的戰(zhàn)略行為,或者說,如果這件事情沒有做好,也很有可能讓企業(yè)多年積累的經(jīng)營成果付之一炬,然而從Gartner調(diào)研到的數(shù)據(jù)來看,大多數(shù)的企業(yè)和組織可能還沒意識(shí)到這一點(diǎn):
30%的受訪者擁有專門的安全管理職能,包括業(yè)務(wù)代表;42%沒有特設(shè)該職能
我們認(rèn)為數(shù)據(jù)安全治理的開展目的,應(yīng)當(dāng)與經(jīng)營目標(biāo)保持趨向性,這就要求企業(yè)成立專門的數(shù)據(jù)安全治理小組,并且在人員隊(duì)伍搭建中包括業(yè)務(wù)代表。
13%的受訪者表示參與治理的比例最大的是業(yè)務(wù)線;87%的治理委員會(huì)嚴(yán)重偏向技術(shù)性
上面提到數(shù)據(jù)安全治理的開展是從決策層貫穿至技術(shù)層的整體動(dòng)作,這要求治理小組的成員比例,應(yīng)當(dāng)合理包括決策層、業(yè)務(wù)線、技術(shù)線等。
34%的受訪者表示最高級(jí)的安全執(zhí)行官向高級(jí)業(yè)務(wù)管理者報(bào)告;56%的安全領(lǐng)導(dǎo)人最終向IT部門報(bào)告。
數(shù)據(jù)安全治理小組的工作匯報(bào)對(duì)象決定其在企業(yè)思考中能夠夠開展的深度和力度,如果匯報(bào)對(duì)象只能到IT部門,基本上決定這只能是一個(gè)技術(shù)項(xiàng)目,無關(guān)經(jīng)營和戰(zhàn)略。
數(shù)據(jù)安全治理的整體框架
Gartner對(duì)數(shù)據(jù)庫安全治理形成一個(gè)從上而下的整體框架,包括從治理前提、具體目標(biāo)到技術(shù)支撐的完整體系,是一個(gè)“骨骼”,在開展實(shí)施時(shí),企業(yè)和組織再填充“肉”。
Step1:業(yè)務(wù)需求與風(fēng)險(xiǎn)/威脅/合規(guī)性之間的平衡
這里需要考慮5個(gè)維度的平衡:經(jīng)營策略、治理、合規(guī)、IT策略和風(fēng)險(xiǎn)容忍度,這也是治理隊(duì)伍開展工作前需要達(dá)成統(tǒng)一的5個(gè)要素。
經(jīng)營戰(zhàn)略:確立數(shù)據(jù)安全的處理如何支撐經(jīng)營策略的制定和實(shí)施
治理:對(duì)數(shù)據(jù)安全需要開展深度的治理工作
合規(guī):企業(yè)和組織面臨的合規(guī)要求
IT策略:企業(yè)的整體IT策略同步
風(fēng)險(xiǎn)容忍度:企業(yè)對(duì)安全風(fēng)險(xiǎn)的容忍度在哪里
Step2:數(shù)據(jù)優(yōu)先級(jí)
進(jìn)行數(shù)據(jù)安全治理前,需要先明確治理的對(duì)象,企業(yè)擁有龐大的數(shù)據(jù)資產(chǎn),本著高效原則,Gartner建議,應(yīng)當(dāng)優(yōu)先對(duì)重要數(shù)據(jù)進(jìn)行安全治理工作,安華金和的治理思路同樣將“數(shù)據(jù)分級(jí)分類”作為整體計(jì)劃的第一環(huán),這將大大提高治理的效率和投入產(chǎn)出比。通過對(duì)全部數(shù)據(jù)資產(chǎn)進(jìn)行梳理,明確數(shù)據(jù)類型、屬性、分布、訪問對(duì)象、訪問方式、使用頻率等,繪制“數(shù)據(jù)地圖”,以此為依據(jù)進(jìn)行數(shù)據(jù)分級(jí)分類,以此對(duì)不同級(jí)別數(shù)據(jù)實(shí)行合理的安全手段。這個(gè)基礎(chǔ)也會(huì)為每一步治理技術(shù)的實(shí)施提供策略支撐。
Step3:制定策略,降低安全風(fēng)險(xiǎn)
從兩個(gè)方向考慮如何實(shí)施數(shù)據(jù)安全治理,一是明確數(shù)據(jù)的訪問者(應(yīng)用用戶/數(shù)據(jù)管理人員)、訪問對(duì)象、訪問行為;二是根據(jù)基于這些信息制定不同的、有針對(duì)性的數(shù)據(jù)安全策略。這一步的實(shí)施更加需要數(shù)據(jù)資產(chǎn)梳理的結(jié)果作為支撐,以提供數(shù)據(jù)在訪問、存儲(chǔ)、分發(fā)、共享等不同場(chǎng)景下,即滿足業(yè)務(wù)需求,又保障數(shù)據(jù)安全的保護(hù)策略。
Step4:實(shí)行安全工具
數(shù)據(jù)是流動(dòng)的,數(shù)據(jù)結(jié)構(gòu)和形態(tài)會(huì)在整個(gè)生命周期中不斷變化,需要采用多種安全工具支撐安全策略的實(shí)施。Gartner在DSG體系中提出了實(shí)現(xiàn)安全和風(fēng)險(xiǎn)控制的5個(gè)工具,實(shí)際上這5各工具是指5個(gè)安全領(lǐng)域,其中可能包含多個(gè)具體的技術(shù)手段:
Crypto(加密):這其中應(yīng)該包括數(shù)據(jù)庫中的結(jié)構(gòu)化數(shù)據(jù)的加密,以及數(shù)據(jù)落地存儲(chǔ)之前傳輸層或應(yīng)用端的加密,以及加密相關(guān)的密鑰管理、密文訪問權(quán)控等多種技術(shù)。
DCAP(以數(shù)據(jù)為中心的審計(jì)和保護(hù)):可以集中管理數(shù)據(jù)安全策略,統(tǒng)一控制結(jié)構(gòu)化、半結(jié)構(gòu)化和非結(jié)構(gòu)化的數(shù)據(jù)庫或數(shù)據(jù)豎井。這些產(chǎn)品可以通過合規(guī)、報(bào)告和取證分析來審計(jì)日志記錄的異常行為,同時(shí)使用訪問控制、脫敏、加密、令牌化等技術(shù)劃分應(yīng)用用戶和管理員間的職責(zé)。
DLP(數(shù)據(jù)防泄漏):
DLP工具提供對(duì)敏感數(shù)據(jù)的可見性,無論是在端點(diǎn)上使用,在網(wǎng)絡(luò)上運(yùn)動(dòng)還是靜止在文件共享上。使用DLP,組織可以實(shí)時(shí)保護(hù)從端點(diǎn)或電子郵件中提取的非結(jié)構(gòu)化數(shù)據(jù)。DCAP和DLP之間的根本區(qū)別在于DCAP工具更多地側(cè)重于組織內(nèi)用戶訪問的數(shù)據(jù),而DLP更側(cè)重于將離開組織的數(shù)據(jù)。
IAM(身份識(shí)別與訪問管理)
IAM是一套全面的建立和維護(hù)數(shù)字身份,并提供有效地、安全地IT資源訪問的業(yè)務(wù)流程和管理手段,從而實(shí)現(xiàn)組織信息資產(chǎn)統(tǒng)一的身份認(rèn)證、授權(quán)和身份數(shù)據(jù)集中管理與審計(jì)。身份和訪問管理是一套業(yè)務(wù)處理流程,也是一個(gè)用于創(chuàng)建和維護(hù)和使用數(shù)字身份的支持基礎(chǔ)結(jié)構(gòu)。
Step5:策略配置同步
策略配置同步主要針對(duì)DCAP的實(shí)施而言,集中管理數(shù)據(jù)安全策略是DCAP的核心功能,而無論訪問控制、脫敏、加密、令牌化那種手段都必須注意對(duì)數(shù)據(jù)訪問和使用的安全策略保持同步下發(fā),策略執(zhí)行對(duì)象應(yīng)包括關(guān)系型數(shù)據(jù)庫、大數(shù)據(jù)類型、文檔文件、云端數(shù)據(jù)等數(shù)據(jù)類型。
“數(shù)據(jù)安全治理”區(qū)別以往的任何一種安全解決方案,它會(huì)是一個(gè)更大的工程,技術(shù)和產(chǎn)品不再是數(shù)據(jù)安全治理框架中的主體,連同組織決策、制度、評(píng)估、稽核是這個(gè)框架的靈魂和指導(dǎo)思想。
后記
2016年,安華金和在中國首家提出數(shù)據(jù)安全治理理念,2017年具體通過產(chǎn)線的搭建完成對(duì)數(shù)據(jù)安全治理理念的技術(shù)支撐,交付完整解決方案。2017年,Garnter開始在信息安全治理原則下關(guān)注數(shù)據(jù)安全治理,雙方針對(duì)數(shù)據(jù)安全治理展開溝通探討,無獨(dú)有偶,兩者在數(shù)據(jù)安全治理的認(rèn)知上存高度一致性,且各有補(bǔ)足,安華金和將繼續(xù)專注數(shù)據(jù)安全治理工作的研究和落地,借鑒國際主流思想和經(jīng)驗(yàn),實(shí)現(xiàn)數(shù)據(jù)安全治理最佳實(shí)踐。
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長(zhǎng)
- 美媒聚焦比亞迪“副業(yè)”:電子代工助力蘋果,下個(gè)大計(jì)劃瞄準(zhǔn)AI機(jī)器人
- 微信零錢通新政策:銀行卡轉(zhuǎn)入資金提現(xiàn)免手續(xù)費(fèi)引熱議
- 消息稱塔塔集團(tuán)將收購和碩印度iPhone代工廠60%股份 并接管日常運(yùn)營
- 蘋果揭秘自研芯片成功之道:領(lǐng)先技術(shù)與深度整合是關(guān)鍵
- 英偉達(dá)新一代Blackwell GPU面臨過熱挑戰(zhàn),交付延期引發(fā)市場(chǎng)關(guān)注
- 馬斯克能否成為 AI 部部長(zhǎng)?硅谷與白宮的聯(lián)系日益緊密
- 余承東:Mate70將在26號(hào)發(fā)布,意外泄露引發(fā)關(guān)注
- 無人機(jī)“黑科技”亮相航展:全球首臺(tái)低空重力測(cè)量系統(tǒng)引關(guān)注
- 賽力斯發(fā)布聲明:未與任何伙伴聯(lián)合開展人形機(jī)器人合作
- 賽力斯觸及漲停,汽車整車股盤初強(qiáng)勢(shì)拉升
免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。