数字安全 | 数据安全治理与数据治理

数据治理是指从使用零散数据变为使用统一数据、从具有很少或没有组织和流程到企业范围内的综合数据流转、从尝试处理数据混乱状况到数据井井有条的一个过程；同时又作为组织中涉及数据使用的一整套管理行为，包括数据治理计划、监控、实施，通过对数据的梳理整合，利用数据驱动业务，实现企业增值。

数据安全治理则强调从战略层面形成由上而下贯穿组织总体架构的对数据安全治理目标的共识，关注数据处理全生命周期安全，重视管理与技术措施并举，并能够根据安全形势、技术发展和演进趋势等的动态变化，对数据安全治理体系进行持续优化。

GB/T 34960.5-2018《信息技术服务 治理 第5部分：数据治理规范》数据治理被明确定义为：“数据资源及其应用过程中相关管控活动、绩效和风险管理的集合。”这项标准还进一步给出了数据治理的目标、任务和框架等：数据治理是“源于组织的外部监管、内部数据管理及应用的需求”；数据治理的目标是“保障数据及其应用过程中的运营合规、风险可控和价值实现”，“组织应通过评估、指导和监督的方法，按照统筹和规划、构建和运行、监控和评价以及改进和优化的过程，实施数据治理的任务”。

在数据治理的三点目标中，运营合规和风险可控是约束条件，价值实现是追求的结果，合规和风控既是使数据能最终实现价值的前提，同时又是必要的保障。为此，数据治理框架包含了数据管理和数据价值两套体系，前者统摄合规与风控，后者则支撑价值实现。在数据治理的框架下，数据安全是数据管理体系的重要组成部分，组织在实施数据治理的过程中，应“制定数据安全的管理目标、方针和策略，建立数据安全体系，实施数据安全管控，持续改进数据安全管理能力”。此处的数据安全概念相对狭义，基本仅限于为数据及其价值实现过程提供安全保障机制的范畴。

数据治理主要是由IT部门在驱动，而数据安全治理主要是由安全合规部门在驱动。当然两者的成功都要涉及到业务、运维和管理部门甚至公司最高管理决策层。

数据治理的目标是数据驱动商业发展，管理企业的数据资产，提升企业数据资产价值。数据安全治理的目标是让数据的使用更安全，保障数据的安全使用和共享，实质也是保障数据资产价值和促进数据要素价值释放。

数据治理关注于数据本身的组织以及数据使用传输、业务支撑等场景下的质量、规范、流程与制度等，数据安全治理则关注于数据在整个生命周期可用性、完整性与机密性的安全保护。

数据治理工作产出的一个核心成果就是数据质量提升，通过对数据进行清洗和规范的过程，获得高质量的数据。数据安全治理的重要产出包括完成对企业数据资产的分类分级，制定合规的安全访问策略并规划适宜的管控措施。

数据治理中的主要产出物是元数据，即赋予数据上下文和含义的参考框架。数据安全治理中的资产梳理，则要明确数据分类分级的标准，弄清敏感数据资产的分布、授权和访问状况。

数据治理是数据质量的提升，通过数据的清洗、规范，获得有价值的数据，而数据安全治理是基于数据分类分级实现数据的动态防护，保障数据有序流动。

尽管当前在数据治理中也在不断加强对数据安全方面的要求，但相对数据安全治理而言，数据治理中的安全实践还是常被置于从属角色，如同信息安全在信息化建设中的角色一样，不够系统和深入。近年来，随着包括大数据在内的数据在数字化社会中的重要性不断提升，国家已将数据上升到新型生产资料和创新要素的高度，数据对安全形成影响的广度和深度已超越单纯为数据掌握者保护数据自身价值的范畴，例如对个人（数据主体）隐私保护的问题就牵涉到了社会伦理以及关于数据权益的法律认定，而数据出境等问题更是需要在国家安全层面全盘统筹考虑。

扫码进星球下载公众号文件