数据安全治理框架：概念、模型、平台总结

数据安全治理(DSG)、数据安全能力成熟度评估(DSMM评估)、数据安全治理管控平台(DSMP)三者关系

 

一、数据安全概念

1.1 数据管理(Data Management)与数据治理(Data Governance)的区别与联系

数据治理是一种机制，有一个说法很贴切，数据管理是CEO做具体执行，而数据治理是董事会，要做监管。
数据治理是要确保数据是被管理的。数据治理是确保数据有序管理和符合组织战略目标的高层次活动，而数据管理则是实现这些目标的具体操作和流程。两者相辅相成，共同确保组织的数据资产得到最有效的利用和保护。

《数据管理能力成熟度评估模型》（GB/T36073-2018），DCMM（Data management Capability Maturity Model）对数据治理的定义为：对数据进行处理、格式化和规范化的过程。数据治理作为数据管理能力成熟度评估的八大核心能力域之一，对数据治理的组织、制度和沟通这三个能力项进行评估。DCMM数据管理能力成熟度评估模型定义了数据战略、数据治理、数据架构、数据应用、数据安全、数据质量、数据标准和数据生存周期八个核心能力域及28个能力项445条标准进行评估。

定义和目标
数据治理‌：DG(Data Governance)是一个宏观且战略性的概念，聚焦于数据的政策制定、标准设定和决策管理。它的目标是确保数据遵循法规、内部策略和标准，提升数据质量和完整性，保护数据和隐私安全。数据治理通过定义明确的责任和角色来分配数据相关的任务和责任，并监控和审计数据使用，以确保合规性‌
‌数据管理‌：DM(Data Management)则更侧重于数据的具体操作与执行，涵盖数据的全生命周期，包括收集、存储、处理、分析和共享。其目标是确保数据资产能够被正确地存储、维护和访问，支持数据分析和决策过程。数据管理涉及技术细节，如数据架构、模型设计、数据存储、数据安全和信息生命周期管理等‌。

职责和功能

‌数据治理‌：主要负责制定和实施数据相关的规则和政策，确保数据遵循组织设置的标准和政策、符合合规要求。这包括定义数据权责关系、制定数据质量标准、确保数据的安全性和合规性等‌
‌数据管理‌：负责数据的日常操作和维护，确保数据的准确性、可用性和安全性。这包括数据的收集、存储、处理、分析和共享等具体操作任务，涉及技术细节的实现和维护‌。

 

1.2 数据安全治理与数据治理的区别与联系

数据安全治理不仅仅是一套用工具组合的产品级解决方案，而是从决策层到技术层，从管理制度到工具支撑，自上而下贯穿整个组织架构的完整链条。

《信息安全技术 数据安全能力成熟度模型》（GB/T 37988-2019），DSMM（Data Security Capability Maturity Mode），DSMM评估以组织为单位，以数据为中心，围绕数据的生命周期，对组织建设、制度流程、技术工具以及人员能力4个能力维度进行评估，涵盖5个成熟度级别、30个数据安全能力过程域和576个基本实践。

数据治理：DG(Data Governance)是指对数据的全生命周期进行管理和控制的一系列活动，包括数据的收集、存储、处理、分析、共享和销毁等过程。数据治理的目的是确保数据的质量和可靠性，提升数据的价值，以及合规性。它通常由IT部门驱动，涉及数据标准管理、数据模型管理、数据质量管理、数据生命周期管理等多个方面。

数据安全治理：DSG(Data Security Governance)专注于保护数据的安全性，防止数据泄露、篡改或丢失。它关注数据的全生命周期的安全，包括数据传输安全、存储安全、使用安全等。数据安全治理是安全领域的一部分，可以独立实施，也可以在数据治理框架下进行。数据安全治理的目标是为了保护组织的核心数据资产，维护企业的竞争力和持续发展力。

 1.3 数据管理与数据安全治理的 实践指导

中国信通院CAICT 《《数据安全治理实践指南（1.0）》（附专家解读）》https://www.secrss.com/articles/62100

中国信通院CAICT 《数据资产管理实践白皮书》https://www.secrss.com/articles/50685

 

二、数据安全治理 (DSG) 框架模型

 Refer：https://blog.csdn.net/Libra1313/article/details/144675749

 

 2.1 数据安全治理 (DSG) 框架

2018年4月，Gartner提出了数字安全治理框架（DSG），试图从组织的高层业务风险分析出发，对组织业务中的各个数据集进行识别、分类和管理，
并针对数据集的数据流和数据分析库的机密性、完整性、可用性创建8种安全策略。同时，数据管理与信息安全团队，
可以针对整合的业务数据生命周期过程进行业务影响分析(BIA), 发现的各种数据隐私和数据保护风险，以降低整体的业务风险。

  

2.2 数据安全管控（DSC）框架

Forrester提出数据安全管控（DSC）框架是一套旨在确保数据在整个生命周期内安全的体系和方法。

 

2.4 隐私、保密和合规性的数据治理框架（DGPC）

不同于Gartner的数据安全治理，微软提出 针对隐私、保密和合规性的数据治理框架（DGPC）主要从人员、流程，和技术这三个角度出发，将框架重点放在数据安全的“树状结构”上，以识别和管理与特定数据流相关的安全和隐私风险需要保护的信息。

在人员领域，DGPC框架把数据安全相关组织分为战略层、战术层和操作层三个层次，每一层次都要明确组织中的数据安全相关的角色职责、资源配置和操作指南；
在流程领域，DGPC认为，组织应首先检查数据安全相关的各种法规、标准、政策和程序，明确必须满足的要求，并使其制度化与流程化，以指导数据安全实践；
在技术领域，微软开发了一种工具（数据安全差距分析表），来分析与评估数据安全流程控制和技术控制存在的特定风险。

 

 

2.5 数据安全能力成熟度评估(DSMM评估)

Refer: https://www.dsmm.com.cn/dsmm/introduce/

DSMM评估以组织为单位，以数据为中心，围绕数据的生命周期，对组织建设、制度流程、技术工具以及人员能力4个能力维度进行评估，涵盖5个成熟度级别、30个数据安全能力过程域和576个基本实践。

1）维度一：安全能力（4个关键能力）安全能力维度明确了组织在数据安全领域应具备的能力，包括：组织建设、制度流程、技术工具和人员能力。
2）维度二：能力成熟度等级（5级）共分为5级，具体包括：1级是非正式执行级，2级是计划跟踪级，3级是充分定义级，4级是量化控制级，5级是持续优化级。
3）维度三：数据安全过程（6+1）具体包括：数据生存周期安全过程（数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全）和通用安全过程。

2019年发布国家标准GB/ T 37988 《DSMM 数据安全能力成熟度模型》，以数据为中心围绕数据生命生命周期，整体包括3个维度、5个级别、6个阶段、30个安全域，如下图：

 

 

2.6 以数据为中心的安全DCS(Data-centric Security)

Refer: https://www.secrss.com/articles/13551

以数据为中心的安全架构（DCS）是一种将数据安全作为核心组成部分融入到整个信息系统架构中的方法.

 

 

三、数据安全治理平台--技术实现

3.1 启明星辰数据安全治理管控平台(DSMP)

Refer:https://xueqiu.com/S/SZ002439/318346383?md5__1038=Yq%2Bx0DgDn7eCq0KYGNulxIxWqD5qWx%2BTMMbD

 

3.2 天空卫士数据安全治理自动化平台(DSAG)

 目前，该解决方案所采用的DLP-内容识别技术，已成为天空卫士的核心技术之一，内置于其所有产品中，实现数据内容安全防护。

以此为基础，天空卫士融合统一内容安全技术（UCS）和内部威胁管理技术（ITM），创立了内部威胁防护技术体系（ITP）