淺析資料治理與資料安全治理的概念差異
一、資料治理
資訊系統建設發展到一定階段,資料資源將成為戰略資產,而有效的資料治理才是資料資產形成的必要條件。以銀行業為例,過去的十年,銀行的IT系統經歷了資料量高速膨脹的時期,這些海量的、分散在不同角落的異構資料導致了資料資源的價值低、應用難度大等問題。同時,銀行內部的業務條線或行政分化也在不斷地製造著銀行資料互動的斷層,而銀行與外部業務互動所產生的“體外迴圈”資料與企業的核心資料體系並不能自然地融合,這個時候資料治理體系建設可能不是銀行的一個選擇,而是唯一的出路。
資料治理的概念:是指從使用零散資料變為使用統一資料、從具有很少或沒有組織和流程到企業範圍內的綜合資料治理、從嘗試處理資料混亂狀況到資料井井有條的一個過程。
2018年5月,銀保監會發布了《銀行業金融機構資料治理指引》,從資料治理架構、資料管理、資料質量控制、資料價值實現、監督管理等方面規範了銀行業金融機構的資料管理活動。資料治理的戰略組成部分主要包括:資料治理的願景、商業案例摘要(包括例子)、指導原則、長遠目標分解、管理措施、實施線路等。
資料治理是一種體系,是一個關注於資訊系統執行層面的體系,這一體系的目的是整合IT與業務部門的知識和意見,通過一個類似於監督委員會或專案小組的虛擬組織對企業的資訊化建設進行全方位的監管,這一組織的基礎是企業高層的授權和業務部門與IT部門的建設性合作。從範圍來講,資料治理涵蓋了從前端事務處理系統、後端業務資料庫到終端的資料分析,從源頭到終端再回到源頭形成一個閉環負反饋系統(控制理論中趨穩的系統)。
從目的來講,資料治理就是要對資料的獲取、處理、使用進行監管(監管就是我們在執行層面對資訊系統的負反饋),而監管的職能主要通過以下五個方面的執行力來保證——發現、監督、控制、溝通、整合。
二、資料安全治理
資料治理或者資料安全概念,對於大多數IT和安全從業者來說,認知度比較高,但資料安全治理,似乎是個新名詞。實際上,對於擁有重要資料資產的政府部門或企業,對於資料資產的保護,涉及到資料安全治理方面,或多或少都有實踐,只是尚未體系化、標準化。
比如,運營商行業的客戶資料安全管理規範及落地的配套管控措施,一些政府部門的資料分級分類管理規範。在國外由Microsoft推出的DGPC方案(Data Governance for Privacy Confidentiality and Compliance縮寫),就是專門強調隱私、保護與合規的資料治理技術框架;
Gartner認為資料安全治理不僅僅是一套用工具組合的產品級解決方案,而是從決策層到技術層,從管理制度到工具支撐,自上而下貫穿整個組織架構的完整鏈條。組織內的各個層級之間需要對資料安全治理的目標和宗旨取得共識,確保採取合理和適當的措施,以最有效的方式保護資訊資源,這也是Gartner對“安全和風險管理”的基本定義。
綜合了國際相關框架模型和我國一些具體的安全實踐後,國內對於資料安全治理也提出了適合中國國情的概念認知——作為一套在中國易於落地的資料安全建設的體系化方法論,資料安全治理是以“讓資料使用更安全”為目的的安全體系構建的方法論,是“圍繞資料安全使用”的願景,覆蓋了安全防護、敏感資訊管理、合規三大目標構建而成的技術體系,核心內容包括:
1)核心理念:分級分類(Classfiying)、角色授權(Privilege)、場景化安全(Scene);
2)建設步驟:組織構建、資產梳理、策略制定、過程控制、行為稽核和持續改善;
3)核心實現框架:資料安全人員組織(Person)、資料安全使用的策略和流程(Policy & Process)、資料安全技術支撐(Technology)三大部分。
三、兩者的差異表現
從嚴格意義上來看,資料安全治理是資料治理中的一個過程,在今天對資料資產高度重視和個人隱私資料高度監管的年代,資料安全治理更應該是資料治理的一個重要組成部門。但從實際操作上來看,兩者之間又有很大不同:
1) 從發起部門看:資料治理主要是由IT部門在驅動;資料安全治理主要是由安全合規部門在驅動。當然兩者的成功都要涉及到業務、運維和管理部門甚至公司最高管理決策層。
2) 從目標上看:資料治理的目標是資料驅動商業發展,提升企業資料資產價值。而資料安全治理的目標讓資料使用中更安全,保障資料的安全使用和共享,實質也是保障資料資產價值。
3) 從工作內容產出看:資料治理工作產出上,一個核心成果就是資料質量提升,通過資料的清洗和規範的過程,獲得有質量的資料。而資料安全治理的重要產出,就是完成對企業資料訪問的安全策略的分級分類,完成企業對資料的合規安全訪問政策和措施。
4) 從資料資產梳理看:資料治理的資產梳理的主要產出物,就是元資料。元資料管理,即賦予資料上下文和含義的參考框架。而資料安全治理中的資產梳理,要明確資料分級分類的標準,敏感資料資產的分佈,敏感資料資產的訪問狀況和授權報告。
當然,在當前的資料治理中也逐漸在加大對資料安全上的一些要求,但相對而言還屬於從屬角色,不那麼系統化;這就如同資訊保安在IT建設中的關係一樣。
大資料時代,往往只有那些建立了一定的資料治理體系的客戶,才能真正的將商業智慧用起來,使用者才能真正進入商業智慧時代。這個問題在銀行等金融機構內顯得尤為突出,在資料以量大質優而著稱的行業,缺乏資料治理的體系化建設,必然會導致商業智慧價值鏈受阻。因此,要想在數字化轉型中抓住機遇,資料治理體系建設勢在必行。而資料安全治理則是其中基礎而又關鍵的一環。