公司上网行为管理，就用域之盾软件

数据安全治理的本质

数据在流动时产生价值。企业内部的数据会在整个企业，甚至更大的范围内被共享，

如果你想确保数据被安全使用，那么你就不能让个人或部门独立处理他们的数据，数据活动需要在公司的监管约束框架内进行。

如果数据是敏感或关键的，那么这些数据的使用、传输或存储将需要特殊处理，

这不能留给个人或部门，而是需要在企业安全策略的框架内。

企业数据安全治理的本质是建立一套企业“数据规则”，对企业中所有人的所有数据活动进行治理。

数据安全治理的定义

Gartner认为，数据安全治理不仅仅是产品级的解决方案与工具的组合，而是一条从决策层面到技术层面、

从管理系统到工具支持的完整链条，贯穿于整个组织结构。

数据安全治理的目标和目标需要在组织的所有级别之间共享，以确保采取合理和适当的措施，以最有效的方式保护信息资源。

数据安全治理的关键方法

步骤1:平衡业务需求与风险/威胁/遵从性

在这里，我们需要考虑五个维度的平衡:业务策略、治理、遵从性、

IT策略和风险容忍度，这也是治理团队开始工作之前需要统一的五个元素。

业务策略:确定数据安全处理如何支持业务策略的开发和实现。

治理:数据安全需要深入的治理。

遵从性:企业和组织面临的遵从性需求，包括外部法律法规和内部遵从性需求。

•IT战略:企业的整体IT战略是同步的。

•风险容忍度:企业指定对安全风险的容忍度。

步骤2:优先处理数据

企业拥有庞大的数据资产。根据效率原则，Gartner建议应优先考虑重要的数据安全治理，

例如将“数据分类”作为整体计划的第一部分，这将大大提高治理的效率和投入产出比。

通过对所有数据资产进行梳理，明确数据的类型、属性、分布、访问对象、访问方式、使用频率等，绘制“数据图”

并据此对数据进行分类，对不同级别的数据实施合理的安全措施。这个基础还将为治理技术在每一步的实现提供战略支持。

步骤3:制定降低安全风险的策略

考虑如何从两个方向实现数据安全治理:访问关系和安全策略。

访问关系:定义数据的访问者(应用程序用户/数据管理器)、访问对象和访问行为。

安全策略:根据这些信息，制定不同的、有针对性的数据安全策略。

该步骤的实现需要数据资产排序结果作为支撑

提供满足业务需求的保护策略，确保数据在不同场景下的访问、存储、分发、共享等安全性。

步骤4:实现安全工具

数据是流动的，数据的结构和形式在整个生命周期中都在不断变化，因此需要采用各种安全工具来支持安全策略的实施。

Gartner提出了DSG架构中用于安全和风险控制的工具/技术:

密码学(Crypto):包括数据库中结构化数据的加密、数据存储加密、传输加密、应用加密、密钥管理、密文访问控制等技术。

DCAP(以数据为中心的审计和保护):您可以集中管理数据安全策略，并控制结构化、半结构化和非结构化数据库或数据集合。

这些产品可以通过遵从性、报告和取证分析来审计日志异常

同时使用访问控制、脱敏、加密、令牌化和其他技术来划分应用程序用户和管理员之间的责任。

DLP(数据泄露预防):DLP工具提供对敏感数据的可见性，监控使用中的、传输中的或静止的数据。

IAM (Identity and Access Management): IAM是一套全面的业务流程和管理手段，用于建立和维护数字身份

提供有效、安全的IT资源访问，从而实现统一的身份认证、授权和身份数据的集中管理

数据安全对企业生存发展举足轻重，数据资产的外泄、破坏都会导致无可挽回的经济损失和核心竞争力缺失。

所以通过数据安全治理来建立一组企业的“数据法规”，

由这些法规来规范企业所有人员的所有数据活动，这不但能有效保护数据，还能对业务起到促进作用。