以下内容摘自《数据安全架构设计与实战》一书:
数据安全治理是企业为达成数据安全目标而采取的战略、组织、政策的总和。数据安全治理的需求来自于企业的战略、所面临的法律法规或监管层面的合规要求、业务面临的风险等,目的是让企业在市场中保持竞争优势、法律合规以及数据的安全。
假设我们已经知道了如何打造安全的产品以及建立安全体系的知识(如果您还不知道,可参考《数据安全架构设计与实战》),但这些知识并不会自发的落地到产品或安全体系中。无为而治是行不通的,需要通过一些主动的治理,达成企业整体的数据安全目标。
数据安全的目标是保障数据的安全收集、安全使用、安全传输、安全存储、安全披露、安全流转与跟踪,防止敏感数据泄露,并满足合规要求(包括法律法规的要求、监管的要求、合同义务、认证/测评机构认可的行业最佳实践等)。这一目标状态是在我们的政策文件中所明确的,即我们期望或将要达到的状态。
数据安全治理确定了边界、改进方向,以及朝着目标方向前进所进行的战略决策、组织架构设计、政策制定、监督等活动。
提示:在实践中,数据安全治理的大部分工作通常是由第二道防线(也就是风险管理部门,比如数据安全管理部)规划方案,然后在董事会或风险管理委员会决策,形成决议后才生效的。
如果把目标比作“交通安全”,那么,治理就包括了:
等等一系列管理和技术的活动。
以此类推,数据安全治理大致分为如下几个子领域:
本文地址: https://www.janusec.com/articles/data/1580733066.html (转载请注明出处)