Gartner数据安全治理的整体框架

概述

Gartner对数据库安全治理形成了一个从上而下的整体框架(实施步骤)，包括从治理前提、具体目标到技术支撑的完整体系。

Gartner提醒各位数据安全治理专家，从上到下，从需求调研开始实施数据安全治理。千万不要跨过数据摸底、治理优先级分析、制定治理整体策略，而直接从技术工具开始对数据安全进行治理。

数据安全治理实施步骤：
平衡业务与风险威胁合规的关系 → 治理优先级 → 制定安全策略 → 实施安全工具 → 测试编排同步

实施步骤

第一步：业务需求与风险/威胁/合规性之间的平衡
这里需要考虑5个维度的平衡：经营策略、治理、合规、IT策略和风险容忍度，这也是治理队伍开展工作前需要达成统一的5个要素。
• 经营战略：确立数据安全的处理如何支撑经营策略的制定和实施。
• 治理：对数据安全需要开展深度的治理工作。
• 合规：企业和组织面临的合规要求。
• IT策略：企业的整体IT策略同步。
• 风险容忍度：企业对安全风险的容忍度在哪里。

第二步：数据优先级
进行数据安全治理前，需要先明确治理的对象，企业拥有庞大的数据资产，本着高效原则，Gartner建议，应当优先对重要数据进行安全治理工作，比如将 “数据分级分类”作为整体计划的第一环，将大大提高治理的效率和投入产出比。通过对全部数据资产进行梳理，明确数据类型、属性、分布、访问对象、访问方式、使用频率等，绘制“数据地图”，以此为依据进行数据分级分类，以此对不同级别数据实行合理的安全手段。这个基础也会为每一步治理技术的实施提供策略支撑。

第三部：制定策略，降低安全风险
从两个方向考虑如何实施数据安全治理：访问关系、安全策略。
访问关系：明确数据的访问者（应用用户/数据管理人员）、访问对象、访问行为。安全策略：基于这些信息制定不同的、有针对性的数据安全策略。这一步的实施更加需要数据资产梳理的结果作为支撑，以提供数据在访问、存储、分发、共享等不同场景下，即满足业务需求，又保障数据安全的保护策略。

第四步：实施安全工具
数据是流动的，数据结构和形态会在整个生命周期中不断变化，需要采用多种安全工具支撑安全策略的实施。
Gartner在DSG体系中提出了实现安全和风险控制的5个工具/技术手段：
Crypto（加密）：包括数据库中的结构化数据的加密、数据存储加密、传输加密、应用端加密、密钥管理、密文访问权控等多种技术。
DCAP（以数据为中心的审计和保护）：可以集中管理数据安全策略，统一控制结构化、半结构化和非结构化的数据库或数据集合。这些产品可以通过合规、报告和取证分析来审计日志记录的异常行为，同时使用访问控制、脱敏、加密、令牌化等技术划分应用用户和管理员间的职责。
DLP（数据防泄漏）：DLP工具提供对敏感数据的可见性，无论是在端点上使用，在网络上运动还是静止在文件共享上。使用DLP，组织可以实时保护从端点或电子邮件中提取数据。DCAP和DLP之间的根本区别在于DCAP工具更多地侧重于组织内用户访问的数据，而DLP更侧重于将离开组织的数据。
IAM（身份识别与访问管理）：IAM是一套全面的建立和维护数字身份，并提供有效地、安全地IT资源访问的业务流程和管理手段，从而实现组织信息资产统一的身份认证、授权和身份数据集中管理与审计。身份和访问管理是一套业务处理流程，也是一个用于创建、维护和使用数字身份的支持基础结构。

第五步：策略配置同步
策略配置同步主要针对DCAP的实施而言，集中管理数据安全策略是DCAP的核心功能，而无论访问控制、脱敏、加密、令牌化那种手段都必须注意对数据访问和使用的安全策略保持同步下发，策略执行对象应包括关系型数据库、大数据类型、文档文件、云端数据等数据类型。
“数据安全治理”区别以往的任何一种安全解决方案，它会是一个更大的工程，技术和产品不再是数据安全治理框架中的主体，结合组织决策、制度、评估、核查是这个框架的指导思想。

Gartner数据治理观点