数据安全治理

一、数据治理

   1.简介:数据治理是对数据进行处置、格式化和规范化的过程，涉及数据全生命周期的管理

   2.目的:确保数据准确可靠

   3.过程:从数据本身——信息——知识——智慧

   4.数据管理的简史:人工-文件-数据库(层次、网状、关系、树形)-云存储

   5.数据治理的框架:

    DAMA(国际数据管理协会):DAMA 框架以数据管理为主导，数据管理的核心是数据治理。

   2、DGI(数据治理研究所):5W1H原则

WHY，为什么需要数据治理？

  DGI框架中的第1-2组件，数据治理愿景使命、数据治理目标。用这两个组件来定义企业为什么需要数据治理。

WHAT，数据治理治什么？

   DGI框架中的3-6个组件，数据规则与定义、数据的决策权、数据问责制、数据管控，DGI框架这4个组件定义出了数据治理到底治什么。

   数据规则与定义，侧重业务规则的定义，例如：相关的策略、数据标准、合规性要求等；

   数据的决策权，侧重数据的确权，明确数据归口和产权为数据标准的定义、数据管理制度、数据管理流程的制度奠定基础。

   数据问责制，侧重数据治理职责和分工的定义，明确谁应该在什么时候做什么。

   数据管控，侧重采用什么样的措施来保障数据的质量和安全，以及数据的合规使用。

WHO，谁参与数据治理？

   DGI框架中的7-9组件，定义数据治理的利益干系人，主要包括：数据利益相关者、数据治理办公室和数据专员。DGI框架对数据治理的主导、参与的职责分工定义给出了相关参考。

WHEN，什么时候开展数据治理？

HOW，如何开展数据治理？

DGI框架中的第10组件，数据治理流程，描述了数据管理的重要活动和方法。

WHERE，数据治理位于何处？

二、数据安全治理

1.目的:确保数据保密完整(防勒索、防篡改、防泄露、合规)

2.视角:攻击者(动机,手段,机会,对象)、组织(愿景,资产,价值,合规)、用户(影响)

3.数据安全治理障碍:

1. 安全意识不足(管理层,用户层)
2. 合规性问题(法律法规,行业规范)
3. 沟通协作问题(业务人员对安全不理解的抵制)
4. 安全基础问题(安全体系建设不健全)

4.架构：资产保护、身份认证、授权、访问控制、数据可审计

5.数据分类分级:

1、分级依据(敏感性、司法管理、关键性)

2、分类依据(按关系、按特性)

6.数据分类分级架构图：

1. 木桶原理：所有系统的安全性取决于最薄弱的环节
2. 等保标准：

9.零信任原理：

1、从不信任、永远验证

2、传统安全验证方法：先连接应用系统、再认证

3、零信任安全验证方法：先连接到零信任认证系统，认证通过后再连接应用系