风暴之眼——Gartner定义数据安全治理

摘要： “The Eye of the Storm –Data Scurity Governance” 在Gartner 2017安全与风险管理峰会上，分析师Marc-Antoine Meunier发表《2017年数据安全态势》演讲，提及“数据安全治理（Data Security Governance）”，Marc将其比喻为“风暴之眼”，以此来形容数据安全治理（DSG）在数据安全领域中的重要地位及作用。

“The Eye of the Storm –Data Scurity Governance”

6d756f8dc79eefda7ea0c745c24833acef418ea9



在Gartner 2017安全与风险管理峰会上，分析师Marc-Antoine Meunier发表《2017年数据安全态势》演讲，提及“数据安全治理（Data Security Governance）”，Marc将其比喻为“风暴之眼”，以此来形容数据安全治理（DSG）在数据安全领域中的重要地位及作用。

Gartner如何定义“数据安全治理”？
它在数据安全建设中发挥怎样的作用？
我们如何开展“数据安全治理”？
《State of Security Governance, 2017- Where Do We Go Next?》是Gartner对于数据安全治理的完整理念和方法论，安华金和提炼其中主要观点与技术体系，还原一个完整的Gartner数据安全治理概念和框架，它将告诉我们“下一步该去哪里”？



首先，我们需要了解的是，数据安全治理绝不仅仅是一套用工具组合的产品级解决方案，而是从决策层到技术层，从管理制度到工具支撑，自上而下贯穿整个组织架构的完整链条。组织内的各个层级之间需要对数据安全治理的目标和宗旨取得共识，确保采取合理和适当的措施，以最有效的方式保护信息资源，这也是Gartner对“安全和风险管理”的基本定义。

数据安全治理流程

建立管理问责制和决策权：其中包含了企业安全宪章建立、政策框架与组织保障，这决定了数据安全治理对于企业的重要性和地位，将此作为后续数据安全治理；
决定可接受的安全风险：组织架构建立后，评估企业自身面临的安全风险，对不同等级的风险设定不同的管理政策，如有疑义，则启动内部仲裁；
安全风险控制：针对安全风险控制，制定相应策略，内部进行资源匹配，这里面将涉及具体的技术工具；
风险控制有效性：数据安全治理必须是一个完整的闭环，通过安全评估及具体指标衡量，以确保风险得到了有效管理，否则，需要回到第一个步骤重新纠偏。


608f87543070a8eed9dee6a846985097b037bcad



良好的治理&不好的治理，如何判断？

确立数据安全治理流程目标后，决策者需要关注几个关键性指标，以作为评判数据安全治理工作是否是良性的，减轻企业负担，Gartner也为我们提供了几个评判标准。


15465159ade2234ce0cd2ed10cf1bb265558f5c1
数据安全治理的现状

数据安全治理是一个多层框架，有完整的自上而下的逻辑，数据的价值和其安全保障对于企业和组织的重要性已不必强调。因此，数据安全治理不是一个单纯的IT项目，而是与其他经营行为同等重要，会共同为组织良性发展提供有力保障的战略行为，或者说，如果这件事情没有做好，也很有可能让企业多年积累的经营成果付之一炬，然而从Gartner调研到的数据来看，大多数的企业和组织可能还没意识到这一点：

30％的受访者拥有专门的安全管理职能，包括业务代表；42%没有特设该职能

我们认为数据安全治理的开展目的，应当与经营目标保持趋向性，这就要求企业成立专门的数据安全治理小组，并且在人员队伍搭建中包括业务代表。



13%的受访者表示参与治理的比例最大的是业务线；87％的治理委员会严重偏向技术性

上面提到数据安全治理的开展是从决策层贯穿至技术层的整体动作，这要求治理小组的成员比例，应当合理包括决策层、业务线、技术线等。



34％的受访者表示最高级的安全执行官向高级业务管理者报告；56％的安全领导人最终向IT部门报告。

数据安全治理小组的工作汇报对象决定其在企业思考中能够够开展的深度和力度，如果汇报对象只能到IT部门，基本上决定这只能是一个技术项目，无关经营和战略。



数据安全治理的整体框架


Gartner对数据库安全治理形成一个从上而下的整体框架，包括从治理前提、具体目标到技术支撑的完整体系，是一个“骨骼”，在开展实施时，企业和组织再填充“肉”。

7024617d214dc72662d5a13195efe77ac274b8a0



Step1：业务需求与风险/威胁/合规性之间的平衡

这里需要考虑5个维度的平衡：经营策略、治理、合规、IT策略和风险容忍度，这也是治理队伍开展工作前需要达成统一的5个要素。

经营战略：确立数据安全的处理如何支撑经营策略的制定和实施

治理：对数据安全需要开展深度的治理工作

合规：企业和组织面临的合规要求

IT策略：企业的整体IT策略同步

风险容忍度：企业对安全风险的容忍度在哪里



Step2：数据优先级

进行数据安全治理前，需要先明确治理的对象，企业拥有庞大的数据资产，本着高效原则，Gartner建议，应当优先对重要数据进行安全治理工作，安华金和的治理思路同样将“数据分级分类”作为整体计划的第一环，这将大大提高治理的效率和投入产出比。通过对全部数据资产进行梳理，明确数据类型、属性、分布、访问对象、访问方式、使用频率等，绘制“数据地图”，以此为依据进行数据分级分类，以此对不同级别数据实行合理的安全手段。这个基础也会为每一步治理技术的实施提供策略支撑。



Step3：制定策略，降低安全风险

从两个方向考虑如何实施数据安全治理，一是明确数据的访问者（应用用户/数据管理人员）、访问对象、访问行为；二是基于这些信息制定不同的、有针对性的数据安全策略。这一步的实施更加需要数据资产梳理的结果作为支撑，以提供数据在访问、存储、分发、共享等不同场景下，即满足业务需求，又保障数据安全的保护策略。



Step4：实行安全工具

数据是流动的，数据结构和形态会在整个生命周期中不断变化，需要采用多种安全工具支撑安全策略的实施。Gartner在DSG体系中提出了实现安全和风险控制的5个工具，实际上这5个工具是指5个安全领域，其中可能包含多个具体的技术手段：

Crypto（加密）：这其中应该包括数据库中的结构化数据的加密，以及数据落地存储之前传输层或应用端的加密，以及加密相关的密钥管理、密文访问权控等多种技术。



DCAP（以数据为中心的审计和保护）：可以集中管理数据安全策略，统一控制结构化、半结构化和非结构化的数据库或数据竖井。这些产品可以通过合规、报告和取证分析来审计日志记录的异常行为，同时使用访问控制、脱敏、加密、令牌化等技术划分应用用户和管理员间的职责。



DLP（数据防泄漏）：DLP工具提供对敏感数据的可见性，无论是在端点上使用，在网络上运动还是静止在文件共享上。使用DLP，组织可以实时保护从端点或电子邮件中提取的非结构化数据。DCAP和DLP之间的根本区别在于DCAP工具更多地侧重于组织内用户访问的数据，而DLP更侧重于将离开组织的数据。



IAM（身份识别与访问管理）：IAM是一套全面的建立和维护数字身份，并提供有效地、安全地IT资源访问的业务流程和管理手段，从而实现组织信息资产统一的身份认证、授权和身份数据集中管理与审计。身份和访问管理是一套业务处理流程，也是一个用于创建、维护和使用数字身份的支持基础结构。



Step5：策略配置同步

策略配置同步主要针对DCAP的实施而言，集中管理数据安全策略是DCAP的核心功能，而无论访问控制、脱敏、加密、令牌化那种手段都必须注意对数据访问和使用的安全策略保持同步下发，策略执行对象应包括关系型数据库、大数据类型、文档文件、云端数据等数据类型。


“数据安全治理”区别以往的任何一种安全解决方案，它会是一个更大的工程，技术和产品不再是数据安全治理框架中的主体，连同组织决策、制度、评估、稽核是这个框架的灵魂和指导思想。



后记

2016年，安华金和在中国首家提出数据安全治理理念，2017年具体通过产线的搭建完成对数据安全治理理念的技术支撑，交付完整解决方案。2017年，Garnter开始在信息安全治理原则下关注数据安全治理，双方针对数据安全治理展开沟通探讨，无独有偶，两者在数据安全治理的认知上存在高度一致性，且各有补足。安华金和将继续专注数据安全治理工作的研究和落地，借鉴国际主流思想和经验，实现数据安全治理最佳实践。



阿里云市场官方店铺：https://shop14d60793.market.aliyun.com/


云安全产品限时体验：http://www.dbscloud.cn/dbscloud1111.html




本文为云栖社区原创内容，未经允许不得转载，如需转载请发送邮件至yqeditor@list.alibaba-inc.com；如果您发现本社区中有涉嫌抄袭的内容，欢迎发送邮件至：yqgroup@service.aliyun.com 进行举报，并提供相关证据，一经查实，本社区将立刻删除涉嫌侵权内容。

用云栖社区APP，舒服~