您是否存在以下困惑:数据安全治理这个词听过很多次了,但是依然不能很具象的理解数据安全治理是什么。所以,今天我们换个角度来理解数据安全治理。我们每个人多多少少都有过体检或者就医的体验吧,其实疾病治疗和数据治理在流程逻辑上有很多相通之处,那我们可以从体检就医的角度来讲述什么是数据安全治理。
第一步:体检-充分了解来访者身体状况
Tony近期经常头疼,不知道什么原因导致的,而且经常觉得疲惫不堪。于是来到了医院。
卫生所医生:不问原因直接开止痛药。
普通医生:根据经验和症状表象,判断好像是感冒,开一些感冒药。
专家医生:做一系列相关检查,根据检查结果各项指标判断症状产生的原因,排除存在其他未发现的病症。
同理到数据安全治理的第一步,用户想要做数据安全防护,不知道怎么做,于是找到了三个技术人员:
技术工程师:直接“堆”设备进客户业务内网。
技术专家:根据客户的叙述,判断用户的数据主要存在于终端,终端数据泄露的风险大,于是推荐终端数据安全设备。
资深安全顾问:帮用户做数据安全体检,摸清家底。首先了解清楚用户现场情况,包括业务情况、组织架构、安全制度等信息。
数据安全治理最重要的是要厘清治理的对象和内容。企业要进行数据安全治理,首先需要对企业数据进行统一的梳理和识别,将用户所有的数据尽可能的搜集上来,避免发生遗漏。通过技术手段全面识别敏感数据的分布,确定敏感数据的内容,敏感数据的类型,并生成报告。
第二步:分诊-确认不合格指标的种类和严重程度
经过各项体检报告,Tony血常规、血压都正常,脑电、心电波正常,综合检查没有其他明显病变,Tony说自己最近经常失眠。于是,医生建议去神经内科,找李医生。
就像医生要按症状给患者分科室一样,数据安全治理也需要对不同资产做分级分类。首先进行数据分类,将不同数据归类到不同的组织目录内,便于后期更好的实施安全防御策略。比如人事类、财务报表类、合同类。分级是在分类的基础上,按照数据的敏感程度进行划分,我们定义数据敏感程度的衡量标准一般是参考数据发生泄漏对企业产生的影响。最简单的数据定级为二级,如果高敏感数据、低敏感数据。也可以根据企业自身情况,划分更多的级别,针对不同数据制定相应的策略。
第三步:诊断-了解原因,给出康复方案
检查报告排除身体器官病变,经过医生和Tony聊天发现,Tony近期工作压力大,焦虑,烦躁,每天睡眠时间少于5个小时,且很难进入深度睡眠,长期睡眠不足和焦虑情况导致头疼和精神紧张。
数据治理的第三步,在分类分级过后,需要针对这些数据可能存在的威胁进行风险评估, 从数据采集、访问、传输、存储、分析、共享、销毁几个过程中,数据存在哪些风险。针对数据泄露的风险点提出数据安全治理方案,方案包括技术层面、管理层面和制度层面。
第四步:开处方-对症下药,解决问题
医生建议Tony药物治疗结合咨询治疗,同时注意饮食的营养搭配。同时了解Tony是否有过敏的药物、食物,能否每周来医院做咨询治疗。根据Tony的实际情况开处方。Tony按方抓药,每周一次咨询治疗。