数据安全治理所遵循的三大原则

发布时间:2019.05.23来源:知乎浏览量:61次标签:数据治理

搞清楚数据安全要解决哪些问题、大数据时代下解决这些问题所面临的主要挑战,就可以梳理数据安全治理的核心思路了。简单说,数据安全治理可以遵循“以数据为中心、以组织为单位、以能力成熟度为基本抓手”的原则。

数据安全治理所遵循的三大原则

1、以数据为中心
以数据为中心,是数据安全工作的核心技术思想。人们比较习惯的是以系统为中心的思想,即围绕着一个数据库、一个产品、一个网站、一个服务器等评价其安全性。
这种思路主要适用于保护一个特定系统的正常工作状态。但是在今天,数据在多个系统、产品、业务环节中频繁快速流转,这种以系统为中心的思想已经不能满足数据安全的需求了。
以数据为中心的安全,是将数据的防窃取防滥用防误用作为主线,在数据的生命周期内各不同环节所涉及的信息系统、运行环境、业务场景和操作人员等作为围绕数据安全保护的支撑。
这时候,某个系统被入侵,并不等于数据安全的目标就遭到最终的破坏,反之某个单一环节的安全能力再强,也不代表整体数据安全保护的能力就够好。
在数据生命周期的不同阶段,数据面临的安全威胁、可以采用的安全手段有可能很不一样。
例如,在数据采集阶段,可能存在采集数据被攻击者直接窃取,或者个人生物特征数据不必要的存储面临泄露危险等;在数据存储阶段,可能存在存储系统被入侵进而导致数据被窃取,或者授权用户无应用场景支持访问用户敏感数据,或者存储设备丢失导致数据泄露等;在数据处理阶段,可能存在算法不当导致用户个人信息泄露等。
把不同阶段从不同角度面临的风险放到一起进行综合考虑,建立强调整体而不是某个环节安全能力,是以数据为中心的安全的核心思想。

2、以组织为单位
以组织为单位,是数据安全治理的核心管理思想。
读完前面的内容后应该容易理解,一个服务器很安全、一个手机应用产品很安全都不代表着要保护的数据安全。数据会在不同的服务器、产品、业务中流转。
而且从法律的角度来说,拥有或使用数据的组织才是承担数据安全责任的主体。因此,虽然在大数据时代还有数据共享、数据转移、数据交易等各种复杂的情况,但拥有或者处理数据的组织是所有这些活动的基本单元,因此也是数据安全治理的基本单位。
以组织为单位的数据安全治理,具体指的是数据在特定组织内全生命周期的安全,这个组织要对其负责。
不论数据在这个组织中的生命周期涉及多少产品业务或人员,那些单个系统单个业务的安全都不说明问题,说明问题的应该被最终衡量的这个组织的数据安全。
一个组织的数据安全水平,可以作为其是否符合法律要求、特定事件中具备怎样的责任、面向用户赢取信任、面向行业适合处理的数据类型和规模等的参考依据。
换句话说,政府或者行业可以以组织为单位进行数据安全管理,而不是某个产品的安全,一个组织要证明的是自己整个组织的数据安全水平,而不是自己的某个应用的安全。

3、以能力成熟度为基本抓手
用什么来衡量组织的数据安全呢?数据安全的能力成熟度可以作为基本抓手。
能力成熟度是一种经过考验的方法,目前在越来越多的领域被应用,美国甚至制定了网络空间安全能力成熟度战略。数据安全能力成熟度模型,是借鉴能力成熟度的核心思想,结合数据在组织内的生命周期以及构成安全能力的关键要素而构建的。
一个组织的数据安全能力成熟度等级,说明了这个组织在数据安全保护方面的综合能力水平。而这个水平的高低,则可以用于数据安全治理的各种相关工作。
例如,相关政府部门或行业主管部门,可以根据本行业的数据敏感度特点决定哪些数据类型或者多大的数据规模需要多高的数据安全能力成熟度水平,进而让数据安全能力成熟度足够的组织才能够处理特定数据,从而实现本行业安全与发展的平衡;
在数据共享、转移、交易等过程中,法律可以规定数据拥有者有义务要求数据接受者提供自己足够的数据安全能力成熟度水平,从而避免数据在流动过程中进入安全更差的组织,从而减少数据流动导致的安全失控;
根据特定行业、特定数据类型以及特定时段数据安全威胁的具体情况,国家主管部门可以设定和调整特定领域数据安全能力成熟度的衡量标准和等级要求,从而实现整体数据安全状态的可控;组织可以通过自己的数据安全能力成熟度水平,让消费者用更加客观量化的方法衡量自己是否值得信任;等等。
(部分内容来源网络,如有侵权请联系删除)
立即免费申请产品试用 免费试用
相关文章推荐
  • 数据治理—这些你应该清楚

    数据治理—这些你应该清楚

    我看到组织在开始他们的数据治理之旅时犯的一个重大错误就是忘记了数据背后的基本原理。因此,不要仅仅治理治理。无论您是需要减少风险或最大限度……查看详情

    发布时间:2019.03.14来源:亿信华辰浏览量:100次

  • 企业的主数据管理——亿信华辰

    企业的主数据管理——亿信华辰

    企业主数据指企业内一致并共享的业务主体。主数据管理,包括不仅仅是硬件和软件,还是将数据作为重要资产管理的思想和办法,是指一整套的用于生成……查看详情

    发布时间:2019.03.05来源:数据管理浏览量:101次

  • 数字化时代的大数据治理应该怎么做呢?

    数字化时代的大数据治理应该怎么做呢?

    随着时代的发展,各个企业收集数据的渠道越来越多样化,也有越来越多的企业开始应用大数据来创造价值,为了合理有效的挖掘数据资源来源的价值,首……查看详情

    发布时间:2019.07.18来源:知乎浏览量:116次

  • 大数据资产管理平台建设方案

    大数据资产管理平台建设方案

    数据资产管理服务工作,涵盖企业IT系统生命周期的不同阶段,协助企业建立适合自身特点的数据资产管理制度,提升企业对自身数据资产管理的能力,……查看详情

    发布时间:2020.08.28来源:知乎浏览量:129次

  • 数据治理对医疗保健未来的重要性

    数据治理对医疗保健未来的重要性

    在过去的一年里,我已经广泛报道了基因组数据在医疗保健领域日益增长的重要性。其中一个最好的例子是英国生物银行与欧洲基因组 - 表型库(EG……查看详情

    发布时间:2019.03.08来源:亿信华辰浏览量:107次

  • 在信息治理中处于领先地位

    在信息治理中处于领先地位

    随着这一关键战略的出现,应对最新的信息治理,以应对医疗保健领域的众多信息管理挑战。本博客将重点介绍IG为确保将信息视为组织资产而提出的趋……查看详情

    发布时间:2018.11.21来源:信息治理浏览量:99次

  • 企业的元数据和元数据管理平台介绍

    企业的元数据和元数据管理平台介绍

    元数据管理是做什么?元数据在数据平台对原信息的收集、汇总和传递将数据平台各个模块整合起来。元数据管理系统是收集线上db、solor集群、……查看详情

    发布时间:2020.08.31来源:CSDN浏览量:113次

  • 如何选择正确的数据治理工具

    如何选择正确的数据治理工具

    通过选择和利用具有嵌入式质量控制的智能和工作流驱动的自助数据治理工具,您可以实施可扩展的信任系统。让我们探索一些方法来为您的团队找到合适……查看详情

    发布时间:2021.06.16来源:亿信数据治理知识库浏览量:83次

  • 2021公安数据治理的目标

    2021公安数据治理的目标

    公安数据治理的目标是实现全局数据资源的有效整合,有效解决公安力量分散、资源分割、信息孤岛、运行封闭等问题,最终打破部门壁垒和警种壁垒。……查看详情

    发布时间:2021.04.29来源:亿信数据治理知识库浏览量:233次

  • 金融服务的数据治理2.0

    金融服务的数据治理2.0

    随着金融服务业面临特别的压力,数据驱动型业务的变化速度正在增加。对于银行,信用卡,保险,抵押贷款公司等,必须正确地进行数据治理。……查看详情

    发布时间:2019.01.25来源:亿信华辰浏览量:93次

相关主题
您点击 “提交”,表明您已理解并同意接受本网站隐私政策和用户协议