引言:数据安全治理是由组织中分工明确的人来主导实施的一项系统性工程。该项工作得以良好运作有赖于三大要素:人员组织、策略流程和技术工具。
数据安全治理工作的展开首先要成立专门的数据安全治理机构,以明确数据安全治理的政策、落实和监督由谁长期负责,以确保数据安全治理的有效落实。
通常,我们可以将成立的机构称之为“数据安全治理委员会”或“数据安全治理小组”,该机构并非传统意义上的实体机构,属于一个虚拟的机构,机构成员由数据的利益相关者和专家构成,这里之所以称之为利益相关者,是因为这些人可能不仅仅是数据的使用者,也是数据本身的代表者( 比如用户),数据的所有者,数据的责任人。
数据安全治理委员会或数据安全治理小组这个机构本身既是安全策略、安全规范和安全流程的制定者,也是安全策略、规范和流程的受众。
在 DGPC 框架中这个机构一般称之为DGPC 团队, 或者叫 Data Stewards,这个团队的职责是 :This is a virtual organization whose members are collectively responsible for defining principles, policies and procedures that govern key aspects of data classification, protection, use and management.
① 制定数据分类、保护、使用、管理的原则
② 制定数据分类、保护、使用、管理的策略
③ 制定数据分类、保护、使用、管理的流程
这个团队的构成是:IT, human resources, legal and finance departments as well as business groups and the marketing department—in short, any group with a stake in collecting, processing, using and managing personally identifiable information (PII), intellectual property, trade secrets and other types of confidential information.(IT、人资、法务、财务、业务和市场部门等所有与人、知识产权、私密信息相关的部门)
数据安全治理的正式机构的成立,标志着一个组织在数据安全治理工作上的正式启动,使组织内数据安全规范制定、数据安全技术导入、数据安全体系建设得以不断完善。数据安全治理机构成立后,需要完成以下职责:
(1)数据的分级分类原则的制定
数据的分级分类原则,往往是数据安全治理机构成立后要解决的核心问题。只有先制定合理有效的分级分类原则,才能在纷杂广袤的数据中,明确出核心敏感数据、次要敏感数据、公开共享数据,从而基于此再设定数据的不同分享策略和原则。
(2)数据安全使用(管理)规范的制定
数据安全使用规范的制定,标志着数据安全治理进入到一个规范化的阶段,有了可靠的演进框架。
在这个阶段的初期,要完成敏感数据的分布梳理、内部角色的梳理、数据的使用状况梳理。基于此,了解清楚不同类别的敏感数据是如何被相关者使用的。
中期,要完成在现状基础上的安全分析,要明确常规合理、合法行为;要明确风险、非法的行为;要明确在特定情况下数据访问越级的审批结构。
最后,我们要清晰有序地将这些角色、访问过程的控制要求明确为受整个组织认可的文件,以官方的形式正式下发。
(3)数据安全治理技术的导入
数据已经成为人类历史上积累出来的最大资产和财富,数据安全规范的执行,不可能依托于人工的方式完成,任何依托于人工的方式,都是不可想象的。
必须要引入大量的现代化的技术和工具,帮助完成数据的梳理、控制、行为监控和风险预警。
(4)数据安全使用规范的监督执行
作为数据安全治理中的核心机构,信息部门在数据安全管理规范制定完成后,最重要的是职责是监督规范的执行,处理异常和风险行为。
而数据安全治理中的相关业务和使用部门,职责在于将安全管理规范在本部门内落地、执行。
(5)数据安全治理的持续演进
数据安全治理不是一蹴而就的事情,有了首期的框架后,我们要根据执行中所面临的风险状况、安全事件、组织架构调整、业务系统上线等,完成对安全治理中的安全管理规范、技术支撑平台的演进。
数据安全治理人员中的另一个关键角色就是数据安全的受众,这些受众涵盖了数据安全策略、规范和流程的执行者和被管理者;数据的使用者、管理者、维护者、分发者。实际上,大多数数据利益相关者都属于数据安全治理的受众。
常见的组织中与数据相关的部门包括:
安全管理部门:安全制度制定、安全检查、技术导入、事件监控与处理 业务部门:业务人员安全管理、业务人员行为审计、业务合作方管理 运维部门:运维人员行为规范与管理、运维行为审计、运维第三方管理 其它:第三方外包、人事、采购、审计等部门
部门内不同角色在数据安全治理中的职责,一般包括: 安全管理部门:政策制定者、检查与审计管理、技术导入者 业务部门:根据单位的业务职能划分 运维部门:运行维护、开发测试、生产支撑
以某政府部门的数据安全治理组织框架为例:
图1某政府部门的数据安全治理组织框架图
图2 某运营商的数据安全治理的相关组织和角色结构图
以某运营商搭建的数据安全治理组织框架为例:业务管理部门、信息安全部门、运维支撑部门,以及企业信息部、审计部组成的其他部门等都是直接接触数据的核心部门,无论是借助数据来开展正常的业务工作,还是对信息数据进行安全防护,亦或参与数据的测试、开发、共享和维护,都已经是肩负起了数据安全的保护义务和责任,这些受众的日常工作行为需要在既定的数据安全策略与规范下展开,遵从数据安全流程来共同参与数据安全的治理工作。
人或者团队是一切工作的核心,确定好数据安全治理的组织架构、角色分工,才能进一步明确权责,形成科学合理的管理秩序,继而保障数据安全治理工作可以井然有序的推进下去。
