网络安全中的治理与管理

, ,
阅读: 1,188

儒家传统讲究修齐治平。《大学》开篇,“古之欲明明德于天下者,先治其国;欲治其国者,先齐其家;欲齐其家者,先修其身”,鼓励读书人内圣外王,参与国家治理。

国家国家,有国也有家,家庭里面也有“治理工作”。小时候听到“治”这个字眼,都是疼痛的感觉。大人生气了,一句“看我不治你!”,小孩马上就变乖。

上面两个例子,依据对象的不同,治理有大有小。

网络安全领也常听到一些有关治理的概念。比如安全治理、数据治理、数据安全治理、安全管理、数据管理等。我们今天就来聊聊这些概念是怎么定义的,他们之间有什么区别和联系。

、安全治理与安全管理

NIST在SP 800-100《信息安全手册:管理者指南》中定义了信息安全治理。

信息安全治理(Information Security Governance)是这样一个过程:为了管理风险,建立和维护一个框架,支持管理架构和流程,以确保信息安全战略与业务目标保持一致并支持业务目标,通过遵守政策和内部控制与适用的法律法规保持一致,并分配相关职责。

信息安全管理体系ISO 27000,是安全管理的国际标准,对安全管理如下定义。

信息安全管理(Information Security Management):通过保护组织的信息资产来监督和制定实现业务目标所必需的决策。信息安全管理通过制定和使用信息安全政策、程序和指南来表现,然后由组织相关的所有人员在整个组织中应用。

图1 信息安全体系要素

上图显示了安全治理、安全管理和安全运营的层次关系。安全治理将任务优先级、可用资源和风险承受能力,传达给安全管理级别。

二、数据治理与数据管理

数字化转型的实质,就是数据来驱动业务,使组织的决策有数据支撑,运转流畅高效。数据作为生产要素和土地资本等相提并论,其生产价值将会逐步释放。2021年,有关数据和个人信息的两部法律相继颁布执行,数据安全越来越重要。

先谈一谈数据治理和数据管理。这两个名词,在概念和具体的活动上,有重叠的地方。不同的文献有不同的解读。

数据治理有多种定义。国际数据管理协会DMBOK2 ,数据治理是指对数据资产管理行使权力和控制(规划、监控和实施)。维基百科定义,数据治理是指在整个商业企业中形成一致的、正确的机构数据,处理所涉及的人、流程和技术。

我国发布的信息化标准GB/T34960《信息技术服务治理》第5部分,数据治理规范,给出了数据治理的架构图。《数据治理规范》包括顶层设计、数据治理环境、数据治理域和数据治理过程四大部分。这个标准里面,也给出了数据治理和数据管理的简短定义。

图2 数据治理的架构图

国际数据管理联合会DAMA的DMBOK2,认为数据管理包含数据治理。在DAMA车轮图中,数据治理在数据管理框架中的中心位置。

图3 DAMA-DMBOK2数据管理框架(DAMA车轮图)

2018年,银保监会发布银行业金融机构数据治理指引文件,明显看出数据治理高于数据管理,是企业的顶层策略。这个指引文件和DAMA对数据治理和数据管理有出入,这里数据管理属于数据治理。

图4 银行业金融机构数据治理指引内容

笔者认可金融行业的数据治理和数据管理的关系,数据治理在顶层,数据管理在下一层。数据治理最终目标,是要提升数据利用和数据价值,所有为提高数据质量而展开的技术、业务和管理活动都属于数据治理范畴,这其中就包括数据管理、数据安全等。

图5 数据治理、数据管理、数据管控架构

三、数据治理和数据安全治理

绿盟科技数据安全解决方案,帮助用户建立数据安全治理体系。参考国家规范和标准和最佳实践,贯穿数据生命周期,从组织架构、流程制度、技术工具、人员能力等角度,总结“知识控察行”的数据安全建设方法论。

不管是数据治理,还是数据管理,数据安全占有重要的地位。数据治理和数据安全治理之间有密切关联。

一是从数据分类分级上,二者都需要,但目的有区别。数据治理的分类分级,是为了数据质量,主数据和原数据管理打基础。安全角度的分类分级,不仅是满足合规,还是为后面的管控提供基础,根据数据类别/级别设置相应的访问权限,设置访问策略和审计规则等。

二是数据治理和数据安全治理,都是贯穿数据整个生命周期。数据架构和数据质量,从计划和设计阶段就开始了。数据安全治理,我们有了DSMM国家标准,每个阶段都有相应的安全要求。金融行业走在前面,针对数据生命周期的安全,出台了行业标准,JR/T 0223-202,数据生命周期安全规范。

图6 金融行业数据安全生命周期安全框架

、总结和体会

提到治理,在层次上更高一级,对于企业而言,需要包括董事会在内的领导层来规划和决策,不限于公司治理、IT治理、安全治理、数据治理等。决策会议讨论的内容,包括不限于战略、组织、预算等。到了管理,是在治理层面做分解和承接,管理策略,建设和运营的规划等。

根据IDC的统计,我国政企在安全上的支出占比,远低于全球平均水平。国家有三同步的政策指导,但在实际的项目中,客户大多是先有基础设施,业务系统,再来采购和部署安全产品。数据安全在可以预见的未来几年,会持续成为网络安全热点。俗语说,拿着锤子,看什么都是钉子。身处网络安全行业,我们可以暂时跳出来,以更广阔的视角,以客户的视角,来看网络安全和数据安全建设。

参考材料

1.NIST SP 800-100《信息安全手册:管理者指南》

https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-100.pdf

2.银行业金融机构数据治理指引

http://www.gov.cn/zhengce/zhengceku/2018-12/31/content_5450808.htm

3.国家标准数据治理规范

http://www.gb688.cn/bzgk/gb/newGbInfo?hcno=F3B2108863A2292F5AF0FA645CEE047F

  1. 金融行业数据生命周期安全规范

https://www.cfstc.org/bzgk/gk?action=bzlb

版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。

Spread the word. Share this post!

Meet The Author