目前，各國相繼出臺(tái)法律法規(guī)，對個(gè)人、企業(yè)和國家重要數(shù)據(jù)進(jìn)行保護(hù)。國際社會(huì)進(jìn)入了數(shù)據(jù)安全立法的快速發(fā)展期，規(guī)則體系日趨復(fù)雜。

2018年，歐盟正式施行《通用數(shù)據(jù)保護(hù)條例》(General Data Protection Regulation，簡稱GDPR)，掀起了個(gè)人數(shù)據(jù)保護(hù)立法的改革浪潮。我國也在加緊推進(jìn)和完善相應(yīng)的制度建設(shè)，加強(qiáng)對數(shù)據(jù)生態(tài)的監(jiān)管和治理。

2017年正式生效《中華人民共和國網(wǎng)絡(luò)安全法》，確立了關(guān)鍵信息基礎(chǔ)設(shè)施中的個(gè)人數(shù)據(jù)和重要數(shù)據(jù)的本地化存儲(chǔ)和跨境傳輸原則，2018年正式生效《信息安全技術(shù)個(gè)人信息安全規(guī)范》。

2019年出臺(tái)《數(shù)據(jù)安全管理辦法》《個(gè)人信息出境安全評估辦法》等征求意見稿，進(jìn)一步明確敏感數(shù)據(jù)全生命周期的管理規(guī)范。

另外在金融行業(yè)，2018年5月銀保監(jiān)會(huì)發(fā)布了《銀行業(yè)金融機(jī)構(gòu)數(shù)據(jù)治理指引》，明確提出數(shù)據(jù)安全治理的要求。這些法規(guī)都把數(shù)據(jù)作為最為重要的保護(hù)對象，并提出了安全要求，對于這些法規(guī)的遵守將影響企業(yè)的聲譽(yù)、合規(guī)甚至存亡。

大數(shù)據(jù)體系下數(shù)據(jù)安全治理的重要概念

如何保障數(shù)據(jù)的安全，某種意義上講，將數(shù)據(jù)全部物理隔絕，變成“死”數(shù)據(jù)是最“安全”的，既拿不走，也破壞不了。

但是數(shù)據(jù)通過使用才能創(chuàng)造價(jià)值，對數(shù)據(jù)的使用讓數(shù)據(jù)變成“活”數(shù)據(jù)，數(shù)據(jù)安全治理的使命是對“活”數(shù)據(jù)開展一系列的有效管理，保障數(shù)據(jù)在安全可控的情況下使用并發(fā)揮價(jià)值。

國際咨詢機(jī)構(gòu)Gartner認(rèn)為數(shù)據(jù)安全治理不僅僅是一套工具組合的產(chǎn)品級解決方案，而是從決策層到技術(shù)層，從管理制度到工具支撐，自上而下貫穿整個(gè)組織架構(gòu)的完整鏈條。組織內(nèi)的各個(gè)層級之間需要對數(shù)據(jù)安全治理的目標(biāo)和宗旨取得共識，確保采取合理和適當(dāng)?shù)拇胧�，以最有效的方式保護(hù)信息資源。

在大數(shù)據(jù)背景下，要實(shí)現(xiàn)數(shù)據(jù)安全治理，要厘清兩個(gè)關(guān)系。1.大數(shù)據(jù)治理和數(shù)據(jù)安全治理的關(guān)系。DAMA(國際數(shù)據(jù)管理協(xié)會(huì))在其《DAMA數(shù)據(jù)管理知識體系指南》中提出數(shù)據(jù)治理是對數(shù)據(jù)資產(chǎn)管理行使權(quán)力和控制的活動(dòng)集合(規(guī)劃、監(jiān)控和執(zhí)行)，因此數(shù)據(jù)治理和數(shù)據(jù)安全治理密不可分。

首先，大數(shù)據(jù)治理框架中，數(shù)據(jù)安全與隱私管理是其中的一個(gè)領(lǐng)域，對數(shù)據(jù)治理的邊界要求也適用于數(shù)據(jù)安全治理。隨著對數(shù)據(jù)資產(chǎn)的高度重視和對個(gè)人隱私數(shù)據(jù)的強(qiáng)監(jiān)管要求，數(shù)據(jù)共享越來越頻繁，數(shù)據(jù)安全領(lǐng)域變得更加重要，成為數(shù)據(jù)治理領(lǐng)域里非常突出和核心的子領(lǐng)域。

其次，數(shù)據(jù)安全治理的框架、組織架構(gòu)、管理對象、管理目標(biāo)、管理視角，參與組織等多個(gè)維度與數(shù)據(jù)治理都是高度一致的。治理的框架一般都包括政策、流程制度、人才機(jī)制、技術(shù)工具等各方面，組織架構(gòu)都由決策層、組織協(xié)調(diào)層和執(zhí)行層組成，全組織單元參與。

數(shù)據(jù)治理和數(shù)據(jù)安全治理都是覆蓋行內(nèi)外所有類型的數(shù)據(jù)，實(shí)現(xiàn)數(shù)據(jù)全生命周期的管理，提升數(shù)據(jù)資產(chǎn)的質(zhì)量，讓數(shù)據(jù)資產(chǎn)在安全可控的范圍內(nèi)使用，并發(fā)揮數(shù)據(jù)的價(jià)值。

最后，數(shù)據(jù)安全治理工作要依托數(shù)據(jù)治理的成果同步開展。數(shù)據(jù)治理中的元數(shù)據(jù)是數(shù)據(jù)安全分級分類的核心對象和依據(jù)，依托數(shù)據(jù)資產(chǎn)開展數(shù)據(jù)分級分類，了解敏感數(shù)據(jù)資產(chǎn)的分布、訪問情況和授權(quán)情況。

數(shù)據(jù)安全管理要求的落地，與數(shù)據(jù)模型設(shè)計(jì)相結(jié)合，做到事前控制，并在數(shù)據(jù)的采集、存儲(chǔ)、加工和使用流程中實(shí)現(xiàn)數(shù)據(jù)安全管理要求，滿足合規(guī)要求。

2.大數(shù)據(jù)體系下的數(shù)據(jù)安全治理和傳統(tǒng)的數(shù)據(jù)安全治理的關(guān)系。大數(shù)據(jù)體系下，數(shù)據(jù)的種類、使用環(huán)境、使用場景都發(fā)生了變化，數(shù)據(jù)安全工作隨著大數(shù)據(jù)的發(fā)展需要與時(shí)俱進(jìn)，相比傳統(tǒng)的數(shù)據(jù)安全管理工作，大數(shù)據(jù)體系下的數(shù)據(jù)安全治理有以下幾個(gè)特點(diǎn)。

首先，數(shù)據(jù)安全治理對象全覆蓋。傳統(tǒng)的針對敏感數(shù)據(jù)、隱私數(shù)據(jù)的既定范圍內(nèi)的數(shù)據(jù)管理，大數(shù)據(jù)體系下的數(shù)據(jù)安全治理覆蓋敏感數(shù)據(jù)、隱私數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)等全視角的數(shù)據(jù)，行內(nèi)外結(jié)構(gòu)化、非結(jié)構(gòu)化的所有數(shù)據(jù)都是數(shù)據(jù)安全管理的范疇，并針對不同的數(shù)據(jù)對象進(jìn)行分級和分類管理，制訂不同的管理策略和要求。

其次，數(shù)據(jù)安全治理環(huán)境全覆蓋。傳統(tǒng)的數(shù)據(jù)安全管理為防止數(shù)據(jù)跨域的數(shù)據(jù)安全進(jìn)行強(qiáng)制的數(shù)據(jù)分區(qū)分域，限制數(shù)據(jù)的共享使用。大數(shù)據(jù)體系下的數(shù)據(jù)安全治理允許數(shù)據(jù)無界受控使用，覆蓋生產(chǎn)環(huán)境、開發(fā)環(huán)境、測試環(huán)境、辦公環(huán)境以及到行外環(huán)境的傳輸，通過明確全面的數(shù)據(jù)管理策略，讓數(shù)據(jù)流動(dòng)起來，為數(shù)據(jù)的應(yīng)用和發(fā)揮價(jià)值創(chuàng)造條件。

再次，數(shù)據(jù)安全治理人員全覆蓋。傳統(tǒng)的是以防范別人進(jìn)來竊取數(shù)據(jù)為主，通過事后檢查的機(jī)制防止發(fā)生數(shù)據(jù)安全事件。大數(shù)據(jù)體系下的數(shù)據(jù)安全治理，變被動(dòng)為主動(dòng)，防止接觸數(shù)據(jù)的人員有意無意地泄露數(shù)據(jù)，覆蓋所有能接觸數(shù)據(jù)的內(nèi)外部人員。

最后，數(shù)據(jù)安全治理流程全覆蓋。傳統(tǒng)的數(shù)據(jù)安全管理主要從制度上進(jìn)行要求，從管理上進(jìn)行限制和審批，偏事后檢查和審計(jì)。大數(shù)據(jù)體系下的數(shù)據(jù)安全治理是和數(shù)據(jù)日常工作深度結(jié)合，在數(shù)據(jù)的采集、加工、存儲(chǔ)、應(yīng)用、銷毀等數(shù)據(jù)流程中提出具體明確的要求，通過管理和日常工作流程的結(jié)合，從事前、事中、事后多個(gè)維度全面開展數(shù)據(jù)安全工作。

大數(shù)據(jù)體系下的數(shù)據(jù)安全治理框架

在厘清上述關(guān)系的基礎(chǔ)上，中國光大銀行(以下簡稱我行)結(jié)合自身大數(shù)據(jù)治理和數(shù)據(jù)安全管理的實(shí)踐經(jīng)驗(yàn)，規(guī)劃設(shè)計(jì)了大數(shù)據(jù)體系下的數(shù)據(jù)安全治理框架。

 

 

1.組織建設(shè)。從組織業(yè)務(wù)的適用性、承擔(dān)的工作職責(zé)的明確性及運(yùn)作、溝通協(xié)調(diào)的有效性三方面考慮，我行已建立以信息科技與數(shù)據(jù)管理委員會(huì)為決策層、數(shù)據(jù)管理工作小組為組織協(xié)調(diào)層、總分行各部門及其數(shù)據(jù)安全崗為執(zhí)行層的三層數(shù)據(jù)安全組織結(jié)構(gòu)，并在數(shù)據(jù)安全管理辦法中明確各層工作職責(zé)和協(xié)調(diào)機(jī)制。

2.制度流程。以明確數(shù)據(jù)安全方針和總綱、數(shù)據(jù)安全管理規(guī)范、數(shù)據(jù)安全操作指南和作業(yè)指導(dǎo)為主要內(nèi)容，確定相關(guān)相關(guān)模板和表單和工作流程等，我行制訂并發(fā)布了《數(shù)據(jù)安全管理辦法》《辦公環(huán)境數(shù)據(jù)安全管理細(xì)則》《個(gè)人敏感信息安全處理規(guī)范》等各項(xiàng)管理制度和技術(shù)規(guī)范，指導(dǎo)數(shù)據(jù)安全日常工作的開展。

3.技術(shù)工具。綜合所有安全域進(jìn)行整體規(guī)劃和實(shí)現(xiàn)，和業(yè)務(wù)系統(tǒng)進(jìn)行銜接，全方位立體地保障數(shù)據(jù)安全。通過打造五大名品工具，將數(shù)據(jù)安全管理要求落地：

一是數(shù)據(jù)保管箱和數(shù)據(jù)偵探名品，推進(jìn)業(yè)務(wù)系統(tǒng)數(shù)據(jù)下載對接數(shù)據(jù)保管箱，數(shù)據(jù)偵探監(jiān)控辦公環(huán)境敏感數(shù)據(jù)文件存放，實(shí)現(xiàn)辦公環(huán)境敏感數(shù)據(jù)“零存放”;

二是云桌面名品，實(shí)現(xiàn)開發(fā)、測試環(huán)境敏感數(shù)據(jù)“安全隔離”;

三是加密平臺(tái)和脫敏平臺(tái)名品，確保生產(chǎn)環(huán)境敏感數(shù)據(jù)“安全使用”。

4.基礎(chǔ)保障。以提升數(shù)據(jù)安全管理能力、數(shù)據(jù)安全運(yùn)營能力、數(shù)據(jù)安全技術(shù)能力和數(shù)據(jù)安全合規(guī)能力為目標(biāo)，全面開展數(shù)據(jù)安全文化和人員能力建設(shè)，通過多渠道多形式落實(shí)數(shù)據(jù)安全宣傳工作，培養(yǎng)員工數(shù)據(jù)安全意識和能力，為我行營造一個(gè)保障業(yè)務(wù)良好運(yùn)轉(zhuǎn)的數(shù)據(jù)安全環(huán)境。

在具體操作層面，我行已建立了從網(wǎng)絡(luò)宣傳、行內(nèi)集中培訓(xùn)考試到現(xiàn)場數(shù)據(jù)安全檢查和考評等三位一體的數(shù)據(jù)安全宣傳、人員培養(yǎng)、檢查及考評機(jī)制。

在大數(shù)據(jù)安全治理框架下，我行個(gè)人隱私保護(hù)、外部數(shù)據(jù)管理及數(shù)據(jù)合規(guī)共享等方面積累了一些切實(shí)的工作經(jīng)驗(yàn)。

一是加強(qiáng)個(gè)人隱私保護(hù)，防止個(gè)人敏感信息泄露。在信息科技與數(shù)據(jù)管理委員會(huì)的數(shù)據(jù)安全戰(zhàn)略指導(dǎo)下，我行成立了個(gè)人信息安全合規(guī)工作小組，推動(dòng)個(gè)人信息保護(hù)相關(guān)工作方案的實(shí)施。

在組織建設(shè)、制度流程、技術(shù)工具及基礎(chǔ)保障層面構(gòu)建個(gè)人信息保護(hù)的多重保障。通過制訂和落地全行的技術(shù)規(guī)范以保證我行個(gè)人敏感信息的加工和處理的數(shù)據(jù)安全，通過個(gè)人敏感信息采集的要求和明示，保障個(gè)人敏感信息的采集和使用安全。

二是數(shù)據(jù)合規(guī)共享，實(shí)現(xiàn)數(shù)據(jù)價(jià)值。數(shù)據(jù)共享無罪，有罪的是數(shù)據(jù)沒有被安全合規(guī)地共享使用。我行《數(shù)據(jù)安全管理辦法》明確了數(shù)據(jù)合規(guī)共享要求及相關(guān)審批流程，要求事前須獲取授權(quán)或去標(biāo)識化、并進(jìn)行安全評估，事中由專人負(fù)責(zé)、并進(jìn)行安全加密，事后由專人負(fù)責(zé)及時(shí)清理銷毀相關(guān)數(shù)據(jù)，共享雙方及相關(guān)參與人員須簽署保密協(xié)議。明確的數(shù)據(jù)共享機(jī)制，保障了我行數(shù)據(jù)共享行為合規(guī)有序。

數(shù)據(jù)安全治理面臨的挑戰(zhàn)與機(jī)遇

做到什么程度可以拍著胸脯說數(shù)據(jù)是絕對安全的?時(shí)代在發(fā)展，行業(yè)在發(fā)展，數(shù)據(jù)的環(huán)境和場景在發(fā)展，數(shù)據(jù)安全治理是一個(gè)有底線而無上限的工作，這個(gè)問題應(yīng)該是沒有答案。

大數(shù)據(jù)時(shí)代，每個(gè)人都是大數(shù)據(jù)的使用者和生產(chǎn)者，提倡數(shù)據(jù)開放共享，讓數(shù)據(jù)在流動(dòng)中創(chuàng)造價(jià)值。

大數(shù)據(jù)的這些特性，也對大數(shù)據(jù)安全提出了新的挑戰(zhàn)。

5G時(shí)代來臨，云計(jì)算、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)等新技術(shù)新應(yīng)用使得數(shù)據(jù)更加散落分布，數(shù)據(jù)類型復(fù)雜多樣，數(shù)據(jù)源眾多，流通性高，碎片化的數(shù)據(jù)對訪問控制、安全審計(jì)管理提出了更高要求。同時(shí)數(shù)據(jù)的頻繁共享共生，數(shù)據(jù)不斷的被加工、被分享和變換形態(tài)，數(shù)據(jù)安全的核心對象也以不同的形象出現(xiàn)，當(dāng)數(shù)據(jù)與第三方共享后，就脫離了企業(yè)掌控，存在被濫用和泄露的可能。

面對以上挑戰(zhàn)，未來企業(yè)應(yīng)轉(zhuǎn)變思路，開展系統(tǒng)的、動(dòng)態(tài)的、全面的、常態(tài)化的、前瞻性、持續(xù)性的數(shù)據(jù)安全治理工作，實(shí)現(xiàn)數(shù)據(jù)安全與業(yè)務(wù)發(fā)展的平衡，使數(shù)據(jù)在不同場景下有效合規(guī)地使用。

主要包括：以數(shù)據(jù)資產(chǎn)為核心，識別數(shù)據(jù)安全資產(chǎn)目錄和地圖，識別敏感數(shù)據(jù)資產(chǎn)的分布和流動(dòng)，建立企業(yè)統(tǒng)一的數(shù)據(jù)安全策略，實(shí)現(xiàn)對各類數(shù)據(jù)風(fēng)險(xiǎn)的實(shí)時(shí)監(jiān)測。

有效運(yùn)用云計(jì)算、區(qū)塊鏈、人工智能等熱點(diǎn)技術(shù)，構(gòu)建智能高效的數(shù)據(jù)安全防控網(wǎng)。以合規(guī)要求為前提，以數(shù)據(jù)應(yīng)用為基礎(chǔ)，以滿足業(yè)務(wù)用數(shù)需求為驅(qū)動(dòng)，從技術(shù)導(dǎo)向轉(zhuǎn)變?yōu)闃I(yè)務(wù)和管理導(dǎo)向，進(jìn)行統(tǒng)籌規(guī)劃。

如通過大數(shù)據(jù)挖掘技術(shù)，識別工作中存在的數(shù)據(jù)安全泄露風(fēng)險(xiǎn)，通過區(qū)塊鏈技術(shù)，本質(zhì)解決信任問題，推進(jìn)跨領(lǐng)域數(shù)據(jù)共享和內(nèi)部信任。將數(shù)據(jù)安全治理工作和實(shí)際的工作緊密結(jié)合，以潤物細(xì)無聲的理念，將數(shù)據(jù)安全無縫深入到工作中的細(xì)節(jié)，讓安全無處不在，無時(shí)不在。

實(shí)際工作中要時(shí)刻關(guān)注數(shù)據(jù)安全治理的目標(biāo)，既要全面數(shù)據(jù)安全治理，保障數(shù)據(jù)安全，又要適度數(shù)據(jù)安全治理，為數(shù)據(jù)發(fā)揮價(jià)值保駕護(hù)航。

數(shù)據(jù)安全無小事，從事數(shù)據(jù)安全工作要始終繃著一根弦，做一個(gè)幕后英雄，為數(shù)據(jù)使用創(chuàng)造一個(gè)安全好用的環(huán)境，讓數(shù)據(jù)使用者放心大膽的專心致力于數(shù)據(jù)價(jià)值的挖掘。

標(biāo)簽： 大數(shù)據(jù)體系 數(shù)據(jù)安全治理

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。