信息系统建设发展到一定阶段,数据资源将成为战略资产,而有效的数据治理才是数据资产形成的必要条件。以银行业为例,过去的十年,银行的it系统经历了数据量高速膨胀的时期,这些海量的、分散在不同角落的异构数据导致了数据资源的价值低、应用难度大等问题。同时,银行内部的业务条线或行政分化也在不断地制造着银行数据交互的断层,而银行与外部业务交互所产生的“体外循环”数据与企业的核心数据体系并不能自然地融合,这个时候数据治理体系建设可能不是银行的一个选择,而是唯一的出路。
数据治理的概念:是指从使用零散数据变为使用统一数据、从具有很少或没有组织和流程到企业范围内的综合数据治理、从尝试处理数据混乱状况到数据井井有条的一个过程。数据治理可以确保企业的数据资产得到正确有效的管理,数据治理从组织架构、原则、过程和规则等方面确保数据管理的各项职能得到正确的履行。
2018年5月,银保监会发布了《银行业金融机构数据治理指引》,从数据治理架构、数据管理、数据质量控制、数据价值实现、监督管理等方面规范了银行业金融机构的数据管理活动。数据治理的战略组成部分主要包括:数据治理的愿景、商业案例摘要(包括例子)、指导原则、长远目标分解、管理措施、实施线路等。
数据治理是一种体系,是一个关注于信息系统执行层面的体系,这一体系的目的是整合it与业务部门的知识和意见,通过一个类似于监督委员会或项目小组的虚拟组织对企业的信息化建设进行全方位的监管,这一组织的基础是企业高层的授权和业务部门与it部门的建设性合作。从范围来讲,数据治理涵盖了从前端事务处理系统、后端业务数据库到终端的数据分析,从源头到终端再回到源头形成一个闭环负反馈系统(控制理论中趋稳的系统)。
从目的来讲,数据治理就是要对数据的获取、处理、使用进行监管(监管就是我们在执行层面对信息系统的负反馈),而监管的职能主要通过以下五个方面的执行力来保证——发现、监督、控制、沟通、整合。
数据治理或者数据安全概念,对于大多数it和安全从业者来说,认知度比较高,但数据安全治理,似乎是个新名词。实际上,对于拥有重要数据资产的政府部门或企业,对于数据资产的保护,涉及到数据安全治理方面,或多或少都有实践,只是尚未体系化、标准化。
比如,运营商行业的客户数据安全管理规范及落地的配套管控措施,一些政府部门的数据分级分类管理规范。在国外由microsoft推出的dgpc方案(data governance for privacy confidentiality and compliance缩写),就是专门强调隐私、保护与合规的数据治理技术框架;gartner研究中在2015年提出了数据安全治理这一概念和相应的原则与框架,2017年gartner全球安全大会中多位分析师在数据安全、信息安全治理、安全治理的相关研究报告中,多次提及并加以强调,并且认为数据安全治理已成为了数据安全中的 “风暴之眼”(the eye of storm),2018年,gartner首次在数据安全治理方向上专门推出研究报告《如何使用数据安全治理》,以此为组织中的cdo、cso、ciso提供数据安全价值。
gartner认为数据安全治理不仅仅是一套用工具组合的产品级凯发k8游戏的解决方案,而是从决策层到技术层,从管理制度到工具支撑,自上而下贯穿整个组织架构的完整链条。组织内的各个层级之间需要对数据安全治理的目标和宗旨取得共识,确保采取合理和适当的措施,以最有效的方式保护信息资源,这也是gartner对“安全和风险管理”的基本定义。
综合了国际相关框架模型和我国一些具体的安全实践后,国内对于数据安全治理也提出了适合中国国情的概念认知——作为一套在中国易于落地的数据安全建设的体系化方法论,数据安全治理是以“让数据使用更安全”为目的的安全体系构建的方法论,是“围绕数据安全使用”的愿景,覆盖了安全防护、敏感信息管理、合规三大目标构建而成的技术体系,核心内容包括:
1)核心理念:分级分类(classfiying)、角色授权(privilege)、场景化安全(scene);
2)建设步骤:组织构建、资产梳理、策略制定、过程控制、行为稽核和持续改善;
3)核心实现框架:数据安全人员组织(person)、数据安全使用的策略和流程(policy & process)、数据安全技术支撑(technology)三大部分。
从严格意义上来看,数据安全治理是数据治理中的一个过程,在今天对数据资产高度重视和个人隐私数据高度监管的年代,数据安全治理更应该是数据治理的一个重要组成部门。但从实际操作上来看,两者之间又有很大不同:
1) 从发起部门看:数据治理主要是由it部门在驱动;数据安全治理主要是由安全合规部门在驱动。当然两者的成功都要涉及到业务、运维和管理部门甚至公司最高管理决策层。
2) 从目标上看:数据治理的目标是数据驱动商业发展,提升企业数据资产价值。而数据安全治理的目标让数据使用中更安全,保障数据的安全使用和共享,实质也是保障数据资产价值。
3) 从工作内容产出看:数据治理工作产出上,一个核心成果就是数据质量提升,通过数据的清洗和规范的过程,获得有质量的数据。而数据安全治理的重要产出,就是完成对企业数据访问的安全策略的分级分类,完成企业对数据的合规安全访问政策和措施。
4) 从数据资产梳理看:数据治理的资产梳理的主要产出物,就是元数据。元数据管理,即赋予数据上下文和含义的参考框架。而数据安全治理中的资产梳理,要明确数据分级分类的标准,敏感数据资产的分布,敏感数据资产的访问状况和授权报告。
当然,在当前的数据治理中也逐渐在加大对数据安全上的一些要求,但相对而言还属于从属角色,不那么系统化;这就如同信息安全在it建设中的关系一样。
大数据时代,往往只有那些建立了一定的数据治理体系的客户,才能真正的将商业智能用起来,用户才能真正进入商业智能时代。这个问题在银行等金融机构内显得尤为突出,在数据以量大质优而著称的行业,缺乏数据治理的体系化建设,必然会导致商业智能价值链受阻。因此,要想在数字化转型中抓住机遇,数据治理体系建设势在必行。而数据安全治理则是其中基础而又关键的一环。
试用申请