关于数据安全治理的组织建设的建议-k8凯发游戏

关于数据安全治理的组织建设的建议
作者:安华金和 发布时间:2018-11-23

数据安全治理首先要成立专门的数据安全治理机构,以明确数据安全治理的政策、落实和监督由谁长期负责,以确保数据安全治理的有效落实。成立的机构可以称为数据安全治理委员会或数据安全治理小组,机构的成员由数据的利益相关者和专家构成,这个机构通常是一个虚拟的机构,这里之所以称之为利益相关者,是因为这些人不仅仅是数据的使用者,可能是数据本身的代表者(比如用户),数据的所有者,数据的责任人。数据安全治理委员会或数据安全治理小组,这个机构本身既是安全策略、规范和流程的制定者,也是安全策略、规范和流程的受众。

在微软的dgpc框架中(由微软开发的隐私,保密和合规性框架的数据治理计划),该机构一般称之为dgpc团队,或者叫data stewards:

这个团队的职责是负责制定数据分类、保护、使用和管理的原则、策略和过程;

这个团队的构成是it、人资、法律、财务、业务和市场部门等所有参与人、知识产权、私密信息相关的部门;在一些大型的机构中甚至要包括主管的副总裁、董事会成员,因为数据安全问题,逐渐变成对企业生死相关的问题。

数据安全治理的人员中另一个关键角色就是数据安全的受众,这些受众是数据安全策略、规范和流程的执行者和被管理者;包括了数据的使用者、管理者、维护者、分发者;大多数数据利益相关者都属于数据安全治理的受众;将这些人员纳入到这个组织中,才能够使数据安全治理过程中制订的安全原则、安全措施和安全规范在具体执行中被有效地贯彻落地。

只有有效地构建一个涵盖业务、管理、安全、执行等部门的数据安全治理组织机构,才能做到业务和安全的有效平衡。

数据安全治理的早期启动,可以由业务或安全部门来发起,逐渐完备整个组织的构成。

 01.jpg

某运营商的数据安全治理的相关组织和角色结构图

(注:其中深色是部门,浅色是角色,这个结构中可以看到覆盖了业务、安全、运维和企业的相关管理支撑部门。)


网站地图