风暴之眼——Gartner定义数据安全治理（二）

数据安全治理的现状

数据安全治理是一个多层框架，有完整的自上而下的逻辑，数据的价值和其安全保障对于企业和组织的重要性已不必强调。因此，数据安全治理不是一个单纯的IT项目，而是与其他经营行为同等重要，会共同为组织良性发展提供有力保障的战略行为，或者说，如果这件事情没有做好，也很有可能让企业多年积累的经营成果付之一炬，然而从Gartner调研到的数据来看，大多数的企业和组织可能还没意识到这一点：

30％的受访者拥有专门的安全管理职能，包括业务代表；42%没有特设该职能

我们认为数据安全治理的开展目的，应当与经营目标保持趋向性，这就要求企业成立专门的数据安全治理小组，并且在人员队伍搭建中包括业务代表。

13%的受访者表示参与治理的比例最大的是业务线；87％的治理委员会严重偏向技术性

上面提到数据安全治理的开展是从决策层贯穿至技术层的整体动作，这要求治理小组的成员比例，应当合理包括决策层、业务线、技术线等。

34％的受访者表示最高级的安全执行官向高级业务管理者报告；56％的安全领导人最终向IT部门报告。

数据安全治理小组的工作汇报对象决定其在企业思考中能够够开展的深度和力度，如果汇报对象只能到IT部门，基本上决定这只能是一个技术项目，无关经营和战略。

数据安全治理的整体框架

Gartner对数据库安全治理形成一个从上而下的整体框架，包括从治理前提、具体目标到技术支撑的完整体系，是一个“骨骼”，在开展实施时，企业和组织再填充“肉”。

Step1：业务需求与风险/威胁/合规性之间的平衡

这里需要考虑5个维度的平衡：经营策略、治理、合规、IT策略和风险容忍度，这也是治理队伍开展工作前需要达成统一的5个要素。

经营战略：确立数据安全的处理如何支撑经营策略的制定和实施

治理：对数据安全需要开展深度的治理工作

合规：企业和组织面临的合规要求

IT策略：企业的整体IT策略同步

风险容忍度：企业对安全风险的容忍度在哪里