数据安全治理是一套完整的可供组织进行数据安全建设的成熟体系,是以数据资产的正常使用为前提,保障数据在各使用场景下的安全,促进数据价值的释放与共享。该体系旨在帮助政府与企业进行数据安全建设的整体思考与规划,为数据安全建设的设计与实施者提供具有参考价值的数据安全治理整体方案及案例实践。
数据安全治理是一套以数据为中心的成熟方法论,但数据安全治理体系的落地却要坚持以人为中心,因为无论从安全角度还是从治理角度,都是以“人”为本,以“人”为尺度,以“人”组成的得组织为先行。
组织建设,需要解决谁负责落地和具体得责任划分和职责归属问题。因此,数据安全治理首先要成立专门的数据安全治理机构,以明确数据安全治理的政策、落实和监督由谁长期负责,以确保数据安全治理的有效落实。
成立的机构可以称为数据安全治理委员会或数据安全治理小组,机构的成员由数据的利益相关者和专家构成,这个机构通常是一个虚拟的机构,这里之所以称之为利益相关者,是因为这些人不仅仅是数据的使用者,可能是数据本身的代表者(比如用户),数据的所有者,数据的责任人。数据安全治理委员会或数据安全治理小组,这个机构本身既是安全策略、规范和流程的制定者,也是安全策略、规范和流程的受众。
DGPC框架中,该机构一般称之为DGPC团队,或者叫Data Stewards:
这个团队的职责是负责制定数据分类、保护、使用和管理的原则、策略和过程。这个团队的构成是IT、人资、法律、财务、业务和市场部门等所有参与人、知识产权、私密信息相关的部门。在一些大型的机构中甚至要包括主管的副总裁、董事会成员,因为数据安全问题,逐渐变成对企业生死相关的问题。
数据安全治理的人员中另一个关键角色就是数据安全的受众,这些受众是数据安全策略、规范和流程的执行者和被管理者;包括了数据的使用者、管理者、维护者、分发者;大多数数据利益相关者都属于数据安全治理的受众;将这些人员纳入到这个组织中,才能够使数据安全治理过程中制订的安全原则、安全措施和安全规范在具体执行中被有效地贯彻落地。
只有有效地构建一个涵盖业务、管理、安全、执行等部门的数据安全治理组织机构,才能做到业务和安全的有效平衡。
但数据安全治理的早期启动,可以由业务或安全部门来发起,逐渐完备整个组织的构成。
图3.1 某运营商的数据安全治理的相关组织和角色结构图
(注:其中深色是部门,浅色是角色,这个结构中可以看到覆盖了业务、安全、运维和企业的相关管理支撑部门。)
建立好职责井然的专项工作小组,才能高效地推动数据安全治理体系中所包含的规范制定、技术与产品选择等数据安全治理流程。