数据安全治理(2):治理的三要素

U2      2020-02-03 20:21      113     

以下内容摘自《数据安全架构设计与实战》一书:

治理需要至少包含三个要素:

  • 战略
  • 组织
  • 政策总纲/框架
治理的三要素

按照这三个要素,我们可以将治理的主要内容加以展开。

首先,需要建立战略,解决“大家朝哪个方向努力”的问题。

战略(Strategy),原指军队将领指挥作战的谋略,现在主要用来指为了实现长期目标而采取的全局性规划。

其次,组织架构设计与权责分配,解决“谁做什么”、“如何制衡”、“如何监督”以及问责的问题。通过不同的组织划分,确定其权力和责任范围,并建立相应的监督与问责机制。

比如数据安全领域的最高权力决策机构是哪个组织、产品部门负责将安全要素融入产品设计开发过程、业务部门对风险负主要责任,以及法务、监管接口、公关、人力资源、审计等部门的责任。在设定权力和责任的时候,需要权力与责任对等,谁决策谁担责。但这样会带来一个明显的问题,就是无人决策、不敢决策,或者将决策权力下放到基层员工,出了事情就是基层员工担责的情况。为了避免此问题,需要通过正式的政策文件确定风险Owner(即风险的责任人)并明确指定对应层级的主管来担任这一角色,在遇到需要决策的时候,大家都知道找谁。监督机制,解决“做得好不好”的问题,以及政策是否有效,哪些人员或团队需要被问责等等。

第三,政策、规范、流程、框架以及合规边界,解决“怎么做才能控制风险”以及“需要遵循的底线”等问题。在总体政策中,要将上述组织架构中的各部门在该风险领域(如数据安全)的职责明确下来,比如谁负责全员的安全意识能力提升、培训。政策中也应包含风险管理与合规的整体要求、安全意识教育要求。

这三个要素的关系,可以用下面这张图来加强理解。

通过治理,达成目标

中间的箭头代表战略,表示前进的方向。战略的执行方(各级组织、权力制衡和责任),以及监督,代表组织。上下两条边界,代表政策、流程、框架与合规的限制或要求。

本文地址: https://www.janusec.com/articles/data/1580732519.html (转载请注明出处)


评论区(共0条评论)
Copyright ©2020 金汤智库(JANUSEC) All rights reserved.