数据安全治理.docx

数据安全治理——发挥主导作用的组
织与受众
引言:数据安全治理是由组织中分工明确的人来主导实施的一项系统性工程。该项工作得以良好运作有赖于三大要素:人员组织、策略流程和技术工具。
一
数据安全治理机构
数据安全治理工作的展开首先要数据安全治理——发挥主导作用的组
织与受众
引言:数据安全治理是由组织中分工明确的人来主导实施的一项系统性工程。该项工作得以良好运作有赖于三大要素:人员组织、策略流程和技术工具。
一
数据安全治理机构
数据安全治理工作的展开首先要成立专门的数据安全治理机构,以明确数据安全治理的政策、落实和监督由谁长期负责,以确保数据安全治理的有效落实。
通常,我们可以将成立的机构称之为“数据安全治理委员会”或“数据安全治理小组”,该机构并非传统意义上的实体机构,属于一个虚拟的机构,机构成员由数据的利益相关者和专家构成,这里之所以称之为利益相关者,是因为这些人可能不仅仅是数据的使用者,也是数据本身的代表者(比如用户),数据的所有者,数据的责任人。
数据安全治理委员会或数据安全治理小组这个机构本身既是安全策略、安全规范和安全流程的制定者,也是安全策略、规范和流程的受众。
在DGPC框架中这个机构一般称之为DGPC团队,或者叫DataStewards,这个团队的职责是:Thisisavirtualorganizationwhosemembersarecollectivelyresponsiblefordefiningprinciples,policiesandproceduresthatgovernkeyaspectsofdataclassification,protection,useandmanagement.
制定数据分类、保护、使用、管理的原则
制定数据分类、保护、使用、管理的策略
制定数据分类、保护、使用、管理的流程
这个团队的构成是:IT,humanresources,legalandfinancedepartmentsaswellasbusinessgroupsandthemarketingdepartment—inshort,anygroupwithastakeincollecting,processing,usingandmanagingpersonallyidentifiableinformation(PII),intellectualproperty,tradesecretsandothertypesofconfidentialinformation.(IT、人资、法务、财务、业务和市场部门等所有与人、知识产权、私密信息相关的部门)
机构五大责任
数据安全治理的正式机构的成立,标志着一个组织在数据安全治理工作上的正式启动,使组织内数据安全规范制定、数据安全技术导入、数据安全体系建设得以不断完善。数据安全治理机构成立后,需要完成以下职责:
(1)数据的分级分类原则的制定数据的分级分类原则,往往是数据安全治理机构成立后要解决的核心问题。只有先制定合理有效的分级分类原则,才能在纷杂广袤的数据中,明确出核心敏感数据、次要敏感数据、公开共享数据,从而基于此再设定数据的不同分享策略和原则。
(2)数据安全使用(管理)规范的制定数据安全使用规范的制定,标志着数据安全治理进入到一个规范化的阶段,有了