目录
背景:
架构图:
解释:
英文解释:(自上而下)
平衡业务与风险、威胁、合规之间的关系(5个维度之间的平衡)
优先处理数据集
制定安全策略
实施安全工具
策略配置同步
背景:
- 在Gartner2017 安全与风险管理峰会上,分析师Marc-Antoine Meunier发表《2017年数据安全态势》演讲,提及“数据安全治理(Data Security Governance)”
- Marc将其比喻为“风暴之眼”,以此来形容数据安全治理(DSG)在数据安全领域中的重要地位及作用。
- 《State of Security Governance, 2017-Where Do We Go Next?》是Gartner对于数据安全治理的完整理念和方法论
架构图:
解释:
从上到下,从需求调研开始实施数据安全治理。千万不要跨过数据摸底、治理优先级分析、制定治理整体策略,而直接从技术工具开始对数据安全进行治理。
英文解释:(自上而下)
- 平衡业务与风险、威胁、合规的关系
- 治理优先级
- 制定安全策略
- 实施安全工具
- 策略配置同步
平衡业务与风险、威胁、合规之间的关系(5个维度之间的平衡)
- 企业战略:数据安全治理应保持与企业战略的制定和实施的统一
- 治理:数据安全需要开展深度的治理工作(另一种解读:管理:与现有管理手段结合)
- 合规:考虑企业需要面临的合规要求
- IT策略:与企业整体IT策略同步
- 风险容忍度:企业对安全风险的容忍度是多少
优先处理数据集
先明确选择需要治理的对象,优先选择重要数据进行数据安全治理工作。可以通过数据梳理、分类分级等手段,完成数据资产盘点和筛选,在纷杂的数据中理清头绪。
制定安全策略
- 访问关系:数据访问者、访问对象、访问行为。(对应人、数据、分析)
- 安全策略:根据场景制定针对性安全策略
实施安全工具
根据数据不同生命周期,采取不同的数据安全技术/工具
策略配置同步
数据安全策略集中管理、同步下发。策略执行对象应包括关系型数据库、大数据类型、文档文件、云端数据等数据类型。