数据安全治理首先要成立专门的数据安全治理机构,以明确数据安全治理的政策、落实和监督由谁长期负责,以确保数据安全治理的有效落实。成立的机构可以称为数据安全治理委员会或数据安全治理小组,机构的成员由数据的利益相关者和专家构成,这个机构通常是一个虚拟的机构,这里之所以称之为利益相关者,是因为这些人不仅仅是数据的使用者,可能是数据本身的代表者(比如用户),数据的所有者,数据的责任人。数据安全治理委员会或数据安全治理小组,这个机构本身既是安全策略、规范和流程的制定者,也是安全策略、规范和流程的受众。
在微软的DGPC框架中(由微软开发的隐私,保密和合规性框架的数据治理计划),该机构一般称之为DGPC团队,或者叫Data Stewards:
这个团队的职责是负责制定数据分类、保护、使用和管理的原则、策略和过程;
这个团队的构成是IT、人资、法律、财务、业务和市场部门等所有参与人、知识产权、私密信息相关的部门;在一些大型的机构中甚至要包括主管的副总裁、董事会成员,因为数据安全问题,逐渐变成对企业生死相关的问题。
数据安全治理的人员中另一个关键角色就是数据安全的受众,这些受众是数据安全策略、规范和流程的执行者和被管理者;包括了数据的使用者、管理者、维护者、分发者;大多数数据利益相关者都属于数据安全治理的受众;将这些人员纳入到这个组织中,才能够使数据安全治理过程中制订的安全原则、安全措施和安全规范在具体执行中被有效地贯彻落地。
只有有效地构建一个涵盖业务、管理、安全、执行等部门的数据安全治理组织机构,才能做到业务和安全的有效平衡。
但数据安全治理的早期启动,可以由业务或安全部门来发起,逐渐完备整个组织的构成。
某运营商的数据安全治理的相关组织和角色结构图
(注:其中深色是部门,浅色是角色,这个结构中可以看到覆盖了业务、安全、运维和企业的相关管理支撑部门。)
产品咨询:4000 258 365 
