數據治理簡單來講是通過對數據的梳理整合,利用數據驅動業務,實現企業增值。 數據安全治理是安全領域的框架集合,該集合包括數據、業務、安全、技術、管理等多個方面。數據安全治理屬于數據治理體系中的一個過程(一部分),從業務層到安全層,從管理層到技術層,從左到右,自上而下全方位與體系融合,貫穿始終。 安全治理即可在數據治理框架下進行,也可獨立實施。
治理域中的主數據、業務數據、分析數據任務有所不同,但包含基本組件:數據標準管理、數據模型管理、數據質量管理、數據安全治理、數據生命周期管理等。 過程域中的管控平臺分為業務運維保障平臺和安全管控保障平臺。 下圖為參照ITSS提出的數據治理規范形成治理目標。
數據治理框架
業界數據治理框架:
1.國際標準化組織 (ISO/IEC)38505數據治理框架。
2.國際數據管理協會(DAMA)DAMA-DMBOK框架。
3.國際數據治理研究所(DGI)DGI數據治理框架。
4.IBM數據治理委員會(IBMDGC)數據治理成熟度模型。
5.中國電子工業標準化技術協會信息技術服務分會(ITSS) 數據治理規范
數據安全治理的體系規劃可分4個過程即:現狀調研、評估與分析、體系規劃與架構設計、實施規劃。
現狀調研: 通過問卷調查、現場訪談、業務現狀、信息化現狀(管理分析、防護能力分析、數據分析)等多種方式進行安全調研,為分析與評估夯下堅實基礎。
評估與分析:通過調研內容,結合成熟度模型、行業最佳實踐及發展趨勢進行評估和差距分析,同時根據信息化現狀對數據進行識別(安全威脅性、脆弱性等)及實施單位(安全建設廠商)。 戰略規劃與架構設計:完善戰略規劃及體系架構設計。體系架構設計從組織體系、管控體系、標準體系、安全體系系等多個維度進行規劃。