风暴之眼——Gartner定义数据安全治理（一）

“The Eye of the Storm –Data Scurity Governance”

在Gartner 2017安全与风险管理峰会上，分析师Marc-Antoine Meunier发表《2017年数据安全态势》演讲，提及“数据安全治理（Data Scurity Governance）”，Marc将其比喻为“风暴之眼”，以此来形容数据安全治理（DSG）在数据安全领域中的重要地位及作用。

Gartner如何定义“数据安全治理”？

它在数据安全建设中发挥怎样的作用？

我们如何开展“数据安全治理”？

《State of Security Governance, 2017- Where Do We Go Next?》是Gartner对于数据安全治理的完整理念和方法论，安华金和提炼其中主要观点与技术体系，还原一个完整的Gartner数据安全治理概念和框架，它将告诉我们“下一步该去哪里”？

首先，我们需要了解的是，数据安全治理绝不仅仅是一套用工具组合的产品级解决方案，而是从决策层到技术层，从管理制度到工具支撑，自上而下贯穿整个组织架构的完整链条。组织内的各个层级之间需要对数据安全治理的目标和宗旨取得共识，确保采取合理和适当的措施，以最有效的方式保护信息资源，这也是Gartner对“安全和风险管理”的基本定义。

数据安全治理流程

1.建立管理问责制和决策权：其中包含了企业安全宪章建立、政策框架与组织保障，这决定了数据安全治理对于企业的重要性和地位，将此作为后续数据安全治理；

2.决定可接受的安全风险：组织架构建立后，评估企业自身面临的安全风险，对不同等级的风险设定不同的管理政策，如有疑义，则启动内部仲裁；

3.安全风险控制：针对安全风险控制，制定相应策略，内部进行资源匹配，这里面将涉及具体的技术工具；

4.风险控制有效性：数据安全治理必须是一个完整的闭环，通过安全评估及具体指标衡量，以确保风险得到了有效管理，否则，需要回到第一个步骤重新纠偏。

良好的治理&不好的治理，如何判断？

确立数据安全治理流程目标后，决策者需要关注几个关键性指标，以作为评判数据安全治理工作是否是良性的，减轻企业负担，Gartner也为我们提供了几个评判标准。