4.1 数据安全治理（DSG）框架

Gartner公司将数据安全治理（Data Security Governance，DSG）定义为：“信息治理的一个子集，专门通过定义的数据策略和流程来保护组织数据（包含结构化数据和非结构化文件的形式）。”在数字化转型浪潮中，数据量的激增为业务创造价值的同时，也伴随着数据风险的增加。为此，安全与风险管理领导者需构建数据安全治理框架，以有效应对数据安全和隐私保护方面的潜在威胁。随着数据的广泛共享，数据安全、隐私及信任等问题愈发凸显，DSG框架在降低相关风险、增强安全防御方面发挥着关键作用。

企业在数字化转型过程中面临双重挑战：既要强化数据和分析治理以提升竞争优势，又要加强安全和风险治理以确保业务稳健。数据安全治理在此情境下显得尤为关键，它有助于在两者之间实现最佳平衡。数据安全治理融合示意如图4-1所示。数据安全治理（DSG）既可辅助首席数据官（CDO）开展数据和分析治理，又可支持首席安全官（CSO）开展安全和风险治理，制定恰当的安全策略与管理规则，进而实现这些规则的协调与高效管理。

在数据安全建设初期，很多人倾向于首选热门技术或认为重要的产品。但从数据安全治理框架来看，这并不是一个最佳或最有效的开始位置。该框架明确指出“不要从这里开始”。因具体的产品或者技术是被孤立在其提供的安全控制和其操作的数据流中的，单一产品很难从全局或者全生命周期的视角降低业务风险。数据安全治理（DSG）框架如图4-2所示。

数据安全管理者需要了解机会成本对业务的影响，数据安全治理应该从解决业务风险开始，评估在安全和隐私方面的投资是否会降低业务风险，这对数据安全管理者来说挑战更大。数据安全治理流程示意如图4-3所示。

不同的数据或隐私风险对业务风险和财务风险的影响不同，其处理优先级也不同，即按照不同的优先级进行考虑和解决。数据集会发生变化，并在本地数据库和云服务之间流动。此外，部署多个应用和安全产品将产生多个管理控制台。管理者独立于安全管理团队和隐私管理团队之外，每个团队都有单独的预算；每个管理控制台具有不同的数据安全控制和管理权限，甚至对相同用户的不同账户也会有不同的控制策略；这些控制策略在不同的存储位置、终端或数据传输路径上以不同的方式执行。这些因素会导致不一致，增加了数据和隐私风险，从而可能产生业务风险。从统一的业务视角甄别和梳理数据安全风险，并与业务相关人建立紧密的支持或合作关系，对于确定如何缓解这些业务风险至关重要。

大多数企业的安全投资和策略都对应着一系列不同的产品，并对一些数据库和数据流通道进行了不同程度的控制。因此，开展全面的数据普查和地图创建工作，并确定现有数据安全和访问控制的状态是非常重要的。作为初始步骤，可以为某个垂直的数据流路径或者特定的数据集创建数据地图。

接下来需要使用数据发现产品，对存储在不同数据库的数据进行发现、梳理和关联。通常需要使用多种类型的产品和技术来覆盖存储、流通、分析和终端等不同的场景。因此，需要跨多个管理控制台进行手动编排，以确保数据发现、梳理、关联的一致性。随后，根据核心数据发布情况，从业务风险较高的数据开始，创建与之相关的业务流程和应用程序清单。核心数据分布情况如图4-4所示。

当完成了DSG框架所建议的工作之后，就可以进入数据安全产品和技术的预研、部署、上线和调整优化等环节。选择合适的工具，参照最佳实践，常态化地实现数据安全运营，往往比通过DSG框架从业务风险找突破口、制定项目目标更加有挑战性，也更加关键。在当前大部分政企快速数字化转型的进程中，安全管理部门与业务部门找到明显的薄弱环节和数据安全的风险点并达成共识是相对容易的。 pfRNEf1yaoN5wDMWDOQagl+pARA7DuVoauhIrHzizUSplUW7aQIA6WGoR/DSKibX