2.1　數(shù)據(jù)安全治理（DSG）框架

Gartner將數(shù)據(jù)安全治理（Data Security Governance，簡(jiǎn)稱DSG）定義為：“信息治理的一個(gè)子集，專門通過定義的數(shù)據(jù)策略和流程來保護(hù)組織數(shù)據(jù)（包含結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化文件的形式）。”數(shù)字化企業(yè)從不斷增長(zhǎng)的數(shù)據(jù)量中創(chuàng)造價(jià)值，但不能忽視與之同時(shí)增長(zhǎng)的風(fēng)險(xiǎn)。安全和風(fēng)險(xiǎn)管理負(fù)責(zé)人應(yīng)制定一個(gè)數(shù)據(jù)安全治理框架，以減少數(shù)據(jù)安全和隱私保護(hù)可能出現(xiàn)的風(fēng)險(xiǎn)。隨著數(shù)據(jù)被共享給業(yè)務(wù)合作伙伴和其他數(shù)據(jù)生態(tài)系統(tǒng)，數(shù)據(jù)安全、隱私保護(hù)、信任等問題將會(huì)增加。DSG框架可以幫助減少相關(guān)風(fēng)險(xiǎn)，從而實(shí)現(xiàn)有效的安全防御。

企業(yè)在數(shù)字化轉(zhuǎn)型中面臨著兩個(gè)大的挑戰(zhàn)：一是加強(qiáng)數(shù)據(jù)和分析治理，提高競(jìng)爭(zhēng)優(yōu)勢(shì)的業(yè)務(wù)需求；一是加強(qiáng)安全和風(fēng)險(xiǎn)治理，制定適當(dāng)?shù)陌踩呗砸越档蜆I(yè)務(wù)風(fēng)險(xiǎn)。數(shù)據(jù)安全治理（圖2-1）有助于在兩者之間取得一個(gè)最佳的平衡。DSG框架可以幫助制定合適的安全策略和管理規(guī)則，這些管理規(guī)則可以進(jìn)行協(xié)調(diào)和管理。

在進(jìn)行數(shù)據(jù)安全建設(shè)準(zhǔn)備的時(shí)候，大多數(shù)人會(huì)直接從最流行或者自己認(rèn)為最重要的某個(gè)技術(shù)或者產(chǎn)品開始。但是在DSG框架（圖2-2）中，這并不是一個(gè)最佳、最有效的開始位置，因此該框架明確指出“不要從這里開始”。因?yàn)榫唧w的產(chǎn)品或者技術(shù)是被孤立在其提供的安全控制和其操作的數(shù)據(jù)流中的，單一產(chǎn)品很難從全局或者全生命周期的視角降低業(yè)務(wù)風(fēng)險(xiǎn)。

安全體系的決策者需要了解機(jī)會(huì)成本對(duì)業(yè)務(wù)的影響，評(píng)估在安全和隱私方面的投資是否會(huì)降低業(yè)務(wù)風(fēng)險(xiǎn)。所以數(shù)據(jù)安全治理應(yīng)該從解決業(yè)務(wù)風(fēng)險(xiǎn)開始（圖2-3）。這對(duì)數(shù)據(jù)安全管理者來說是一個(gè)巨大的挑戰(zhàn)。

不同的數(shù)據(jù)或隱私風(fēng)險(xiǎn)對(duì)業(yè)務(wù)風(fēng)險(xiǎn)和財(cái)務(wù)風(fēng)險(xiǎn)的影響不同，其處理優(yōu)先級(jí)也不同，即按照不同的優(yōu)先級(jí)進(jìn)行考慮和解決。數(shù)據(jù)集會(huì)發(fā)生變化，并在本地?cái)?shù)據(jù)庫和云服務(wù)之間流動(dòng)。此外，部署多個(gè)應(yīng)用和安全產(chǎn)品將產(chǎn)生多個(gè)管理控制臺(tái)。管理者獨(dú)立于安全管理團(tuán)隊(duì)和隱私管理團(tuán)隊(duì)之外，每個(gè)團(tuán)隊(duì)都有單獨(dú)的預(yù)算；每個(gè)管理控制臺(tái)具有不同的數(shù)據(jù)安全控制和管理權(quán)限，甚至對(duì)相同用戶的不同賬戶也會(huì)有不同的控制策略；這些控件策略在不同的存儲(chǔ)位置、終端或數(shù)據(jù)傳輸路徑上以不同的方式執(zhí)行。這些因素會(huì)導(dǎo)致不一致，增加了數(shù)據(jù)和隱私風(fēng)險(xiǎn)，從而可能產(chǎn)生業(yè)務(wù)風(fēng)險(xiǎn)。從統(tǒng)一的業(yè)務(wù)視角甄別和梳理數(shù)據(jù)安全風(fēng)險(xiǎn)，并與業(yè)務(wù)相關(guān)人建立緊密的支持或合作關(guān)系，對(duì)于確定如何緩解這些業(yè)務(wù)風(fēng)險(xiǎn)至關(guān)重要。

大多數(shù)企業(yè)的安全投資和策略都對(duì)應(yīng)著一系列不同的產(chǎn)品，并對(duì)一些數(shù)據(jù)庫和數(shù)據(jù)流通道進(jìn)行了不同程度的控制。因此，開展全面的數(shù)據(jù)普查和地圖創(chuàng)建工作，并確定現(xiàn)有數(shù)據(jù)安全和訪問控制的狀態(tài)是非常重要的。作為初始步驟，可以為某個(gè)垂直的數(shù)據(jù)流路徑或者特定的數(shù)據(jù)集創(chuàng)建數(shù)據(jù)地圖。

接下來需要使用數(shù)據(jù)發(fā)現(xiàn)產(chǎn)品，對(duì)存儲(chǔ)在不同數(shù)據(jù)庫的數(shù)據(jù)進(jìn)行發(fā)現(xiàn)、梳理和關(guān)聯(lián)。通常需要使用多種類型的產(chǎn)品和技術(shù)來覆蓋存儲(chǔ)、流通、分析和終端等不同的場(chǎng)景。因此，需要跨多個(gè)管理控制臺(tái)進(jìn)行手動(dòng)編排，以確保數(shù)據(jù)發(fā)現(xiàn)、梳理、關(guān)聯(lián)的一致性。然后，根據(jù)核心數(shù)據(jù)發(fā)布情況（圖2-4），從業(yè)務(wù)風(fēng)險(xiǎn)較高的數(shù)據(jù)開始，創(chuàng)建與之相關(guān)的業(yè)務(wù)流程和應(yīng)用程序清單。

當(dāng)完成了DSG框架所建議的工作之后，就可以進(jìn)入數(shù)據(jù)安全產(chǎn)品和技術(shù)的預(yù)研、部署、上線和調(diào)整優(yōu)化等環(huán)節(jié)。選擇合適的工具，參照最佳實(shí)踐，常態(tài)化地實(shí)現(xiàn)數(shù)據(jù)安全運(yùn)營(yíng)，往往比通過DSG框架從業(yè)務(wù)風(fēng)險(xiǎn)找突破口、制定項(xiàng)目目標(biāo)更加有挑戰(zhàn)性，也更加關(guān)鍵。在當(dāng)前大部分政企快速數(shù)字化轉(zhuǎn)型的進(jìn)程中，安全管理部門與業(yè)務(wù)部門找到明顯的薄弱環(huán)節(jié)和數(shù)據(jù)安全的風(fēng)險(xiǎn)點(diǎn)并達(dá)成共識(shí)是相對(duì)容易的。