数据安全治理（3）：数据安全治理简介

以下内容摘自《数据安全架构设计与实战》一书：

数据安全治理是企业为达成数据安全目标而采取的战略、组织、政策的总和。数据安全治理的需求来自于企业的战略、所面临的法律法规或监管层面的合规要求、业务面临的风险等，目的是让企业在市场中保持竞争优势、法律合规以及数据的安全。

假设我们已经知道了如何打造安全的产品以及建立安全体系的知识（如果您还不知道，可参考《数据安全架构设计与实战》），但这些知识并不会自发的落地到产品或安全体系中。无为而治是行不通的，需要通过一些主动的治理，达成企业整体的数据安全目标。

数据安全的目标是保障数据的安全收集、安全使用、安全传输、安全存储、安全披露、安全流转与跟踪，防止敏感数据泄露，并满足合规要求（包括法律法规的要求、监管的要求、合同义务、认证/测评机构认可的行业最佳实践等）。这一目标状态是在我们的政策文件中所明确的，即我们期望或将要达到的状态。

数据安全治理确定了边界、改进方向，以及朝着目标方向前进所进行的战略决策、组织架构设计、政策制定、监督等活动。

提示：在实践中，数据安全治理的大部分工作通常是由第二道防线（也就是风险管理部门，比如数据安全管理部）规划方案，然后在董事会或风险管理委员会决策，形成决议后才生效的。

如果把目标比作“交通安全”，那么，治理就包括了：

• 交通安全战略目标，比如“零伤亡”。
• 交通管理参与各方的职责划分，监督与问责机制。
• 交通规则（合规要求）。

等等一系列管理和技术的活动。

以此类推，数据安全治理大致分为如下几个子领域：

• 确定数据安全战略。
• 数据安全组织的设计，确定权责边界，监督与问责机制。
• 制定数据安全政策文件体系（含政策总纲、管理规定、标准规范、流程等）。

本文地址： https://www.janusec.com/articles/data/1580733066.html （转载请注明出处）

评论区(共0条评论)