資料安全治理需要組織先行
資料安全治理是一套完整的可供組織進行資料安全建設的成熟體系,是以資料資產的正常使用為前提,保障資料在各使用場景下的安全,促進資料價值的釋放與共享。該體系旨在幫助政府與企業進行資料安全建設的整體思考與規劃,為資料安全建設的設計與實施者提供具有參考價值的資料安全治理整體方案及案例實踐。
資料安全治理是一套以資料為中心的成熟方法論,但資料安全治理體系的落地卻要堅持以人為中心,因為無論從安全形度還是從治理角度,都是以“人”為本,以“人”為尺度,以“人”組成的得組織為先行。
組織建設,需要解決誰負責落地和具體得責任劃分和職責歸屬問題。因此,資料安全治理首先要成立專門的資料安全治理機構,以明確資料安全治理的政策、落實和監督由誰長期負責,以確保資料安全治理的有效落實。
成立的機構可以稱為資料安全治理委員會或資料安全治理小組,機構的成員由資料的利益相關者和專家構成,這個機構通常是一個虛擬的機構,這裡之所以稱之為利益相關者,是因為這些人不僅僅是資料的使用者,可能是資料本身的代表者(比如使用者),資料的所有者,資料的責任人。資料安全治理委員會或資料安全治理小組,這個機構本身既是安全策略、規範和流程的制定者,也是安全策略、規範和流程的受眾。
DGPC框架中,該機構一般稱之為DGPC團隊,或者叫Data Stewards:
這個團隊的職責是負責制定資料分類、保護、使用和管理的原則、策略和過程。這個團隊的構成是IT、人資、法律、財務、業務和市場部門等所有參與人、智慧財產權、私密資訊相關的部門。在一些大型的機構中甚至要包括主管的副總裁、董事會成員,因為資料安全問題,逐漸變成對企業生死相關的問題。
資料安全治理的人員中另一個關鍵角色就是資料安全的受眾,這些受眾是資料安全策略、規範和流程的執行者和被管理者;包括了資料的使用者、管理者、維護者、分發者;大多數資料利益相關者都屬於資料安全治理的受眾;將這些人員納入到這個組織中,才能夠使資料安全治理過程中制訂的安全原則、安全措施和安全規範在具體執行中被有效地貫徹落地。
只有有效地構建一個涵蓋業務、管理、安全、執行等部門的資料安全治理組織機構,才能做到業務和安全的有效平衡。
但資料安全治理的早期啟動,可以由業務或安全部門來發起,逐漸完備整個組織的構成。
圖3.1 某運營商的資料安全治理的相關組織和角色結構圖
(注:其中深色是部門,淺色是角色,這個結構中可以看到覆蓋了業務、安全、運維和企業的相關管理支撐部門。)
建立好職責井然的專項工作小組,才能高效地推動資料安全治理體系中所包含的規範制定、技術與產品選擇等資料安全治理流程。