我们需要了解的是,数据安全治理绝不仅仅是一套用工具组合的产品级解决方案,而是从决策层到技术层,从管理制度到工具支撑,自上而下贯穿整个组织架构的完整链条。组织内的各个层级之间需要对数据安全治理的目标和宗旨取得共识,确保采取合理和适当的措施,以最有效的方式保护信息资源,这也是Gartner对“安全和风险管理”的基本定义。
所以,我们要明确:
l 如何建立管理问责制和决策权。其中包含了企业安全宪章建立、政策框架与组织保障,这决定了数据安全治理对于企业的重要性和地位,将此作为后续数据安全治理;
l 如何决定可接受的安全风险。组织架构建立后,评估企业自身面临的安全风险,对不同等级的风险设定不同的管理政策,如有疑义,则启动内部仲裁;
l 如何进行安全风险控制。针对安全风险控制,制定相应策略,内部进行资源匹配,这里面将涉及具体的技术工具;
l 如何确定风险控制有效性。数据安全治理必须是一个完整的闭环,通过安全评估及具体指标衡量,以确保风险得到了有效管理,否则,需要回到第一个步骤重新纠偏。
l 如何明确治理的对象和内容。对企业数据进行统一梳理和识别,确定出哪些是保密数据,哪些是敏感数据,哪些是边缘数据,哪些是非密数据,明确数据安全治理的对象。
l 如何明确数据战略要达成的目标。首先要做的就是数据治理战略的宣贯,让企业全员都能清楚和理解企业的数据战略,从而建立全员的数据质量意识、数据安全意识,并将这种意识转化为行动力,在潜移默化中提升企业数据的质量和安全防护。
l 如何建立数据安全治理流程。包括数据梳理与识别。、数据安全认责、数据分类和分级、数据的访问授权、数据安全的全生命周期管理。
l 如何运用数据安全治理的技术手段。包括身份认证与访问控制、数据申请及审核、数据的分级与授权、数据脱敏技术、数据加密技术、数据安全审计等。
l 如何在数据安全和工作效率之间寻找到平衡。安全与效率始终不是一个非黑即白的问题,企业应当在安全、效率之间找到平衡点。做好数据安全治理,就是要建立数据安全标准,释放数据应用空间,提升数据的应用效率。而基于此角度考虑问题,我们再去对哪些影响效率的安全措施进行重新审视,从而帮助找到更高效的解决方案,让数据安全和工作效率协同发展。
相关资讯
版权声明
北宙咨询网站内的ITIL®属于Alexlos所有,并得到PeopleCert的授权,以及各客户单位对网站内案例有最终解释权,其余文档除注明出处与所有方外,版权均为北宙所有,一切图片中的设计内容均通过自绘或商业机构购买,特此说明。