数据安全治理系列文章第二篇——组织和受众发挥主导作用长效监督谁负责,确保数据安全治理有效实施。通常,我们可以将成立的组织称为“数据安全治理委员会”或“数据安全治理组”。这个组织不是传统意义上的物理组织,而是一个虚拟组织。专家的构成,这里称为利益相关者,是因为这些人可能不仅是数据的使用者,还可能是数据本身的代表(比如用户)、数据的拥有者、数据的负责人。数据安全治理委员会或数据安全治理组本身既是安全策略、安全规范和安全流程的制定者,又是安全策略、规范和流程的受众。在DGPC框架中,这个组织一般被称为DGPC团队,或者DataStewards。该团队的职责是:这是一个虚拟组织,其成员共同负责定义管理数据分类、保护、使用和管理关键方面的原则、政策和程序。①制定数据分类、保护、使用、②制定数据分类、保护、使用和管理策略③制定数据分类、保护、使用和管理流程收集、处理、使用和管理个人身份信息(PII)、知识产权、商业秘密和其他类型的机密信息。(IT、人力资源、法律事务、财务、业务和营销部门以及所有与人、知识产权相关的部门产权和私人信息)2.建立正式的组织机构r具有组织五大职责的数据安全治理标志着一个组织的数据安全治理工作的正式启动,使得组织内部数据安全规范的制定、数据安全技术的引入、数据安全体系的构建成为可能不断改进。数据安全治理组织成立后,需要完成以下职责:(1)制定数据的分级分类原则。数据的分类和分类原则往往是数据安全治理组织成立后要解决的核心问题。只有制定合理有效的分级分类原则,才能在海量多样的数据中清晰识别核心敏感数据、次级敏感数据和公开共享数据,并据此制定不同的数据共享策略和原则。(二)数据安全使用(管理)规范的制定数据安全使用规范的制定,标志着数据安全治理进入规范化阶段,有了可靠的演进框架。在这个阶段的前期,需要完成敏感数据的分发、内部角色、数据的使用状态。以此为基础,了解相关方如何使用不同类别的敏感数据。中期,要完成基于现状的安全分析,厘清常规的合理合法行为;澄清危险和非法行为;明确特定情况下数据访问越级的审批架构。***,我们需要将这些角色和访问过程的控制要求明确、有序地定义为整个组织都认可的文件,并以正式的形式正式发布。(3)数据安全治理技术导入的数据成为人类历史上积累的最大资产和财富。数据安全规范的执行是人工无法完成的,任何人工方式都是不可能的。想像力。必须引入大量现代技术和工具,帮助完成数据的梳理、管控、行为监控和风险预警。(4)数据安全使用规范的监督和执行作为数据安全治理的核心机构,信息部门在数据安全管理规范制定后最重要的职责就是监督规范的执行和异常风险行为的处理.数据安全治理相关业务和使用部门负责本部门安全管理规范的贯彻落实。(5)数据安全治理不断演进。数据安全治理不是一蹴而就的。第一阶段框架搭建完成后,我们需要完成风险状态、安全事件、组织架构调整、业务系统上线等方面的实施工作。安全治理中安全管理规范和技术支撑平台的演进。3.数据安全治理受众数据安全治理人员的另一个关键角色是数据安全的受众。这些受众包括数据安全政策、规范和流程的执行者和被管理者;数据使用者、管理者、维护者、分发者。事实上,大多数数据利益相关者都是数据安全治理的受众。组织中常见的数据相关部门包括:安全管理部门:安全制度制定、安全检查、技术引入、事件监控处理业务部门:业务人员安全管理、业务人员行为审计、业务伙伴管理运维部门:运营和维护人员行为规范与管理、运维行为审计、运维第三方管理等:第三方外包、人事、采购、审计等部门不同角色在数据安全治理中的职责一般包括:安全管理部门:政策制定者、检查审计管理者、技术引进者业务部门:按照本单位业务职能划分运维部门:运维、开发测试、生产支撑4.组织架构架构示例以某政府部门数据安全治理组织架构为例:图1某政府部门数据安全治理组织架构图2某运营商数据安全治理相关组织架构及角色以某运营商建设的数据安全治理为例:业务管理部门、信息安全部门、运维支撑部门以及企业信息部门和审计部门组成的其他部门是直接接触数据的核心部门,是否是利用数据开展正常的业务工作,或保护信息数据安全,或参与数据分析。平台的测试、开发、共享和维护,已经肩负起数据安全的保护义务和责任。这些受众的日常工作行为需要在既定的数据安全政策和规范下进行,并遵循数据安全流程,共同参与数据安全。治理工作。五、结论人或团队是一切工作的核心。只有确定数据安全治理的组织架构和角色分工,才能进一步明晰权责,形成科学合理的管理秩序,进而确保数据安全治理工作能够有序推进。【本文为专栏作家《暗花金禾》原创稿件,转载请联系原作者】点此阅读更多该作者好文
