當前,我國數字經(jīng)濟規模已達50.2萬(wàn)億元,占國內生產(chǎn)總值的41.5%(來(lái)源:國家網(wǎng)信辦發(fā)布的《數字中國發(fā)展報告(2022年)》)。數字經(jīng)濟的規模形成,離不開(kāi)對 “數據”進(jìn)行價(jià)值化的數據治理過(guò)程。同時(shí)數字經(jīng)濟的發(fā)展也帶來(lái)了相應的安全問(wèn)題,國家也出臺了《網(wǎng)絡(luò )安全法》、《數據安全法》等一系列法律法規來(lái)規范數據在價(jià)值化過(guò)程中的數據安全治理。
數據治理和數據安全治理已經(jīng)成為各行各業(yè)數字化轉型必須面對的重要問(wèn)題。然而,許多人對于這兩個(gè)概念的界限和區別并不清晰,以下將從概念、異同、關(guān)聯(lián)等多個(gè)維度對“數據治理”與“數據安全治理”進(jìn)行剖析,方便大家更好地理解這兩個(gè)概念。
數據治理
國際上數據治理概念最早由國際數據治理研究所(DGI)提出,給出的定義為:數據治理是一個(gè)通過(guò)一系列信息相關(guān)的過(guò)程來(lái)實(shí)現決策權和職責分工的系統,是一種綜合性的數據治理框架,旨在通過(guò)規范數據管理、提高數據質(zhì)量和保護數據安全,實(shí)現數據的高效利用和價(jià)值最大化。
國際數據管理協(xié)會(huì )(DAMA)是數據管理領(lǐng)域的重要組織和權威機構之一,其對數據治理給出的定義:數據治理是對數據資產(chǎn)管理行使權力和控制的活動(dòng)集合,是各類(lèi)數據管理的核心,指導所有數據管理功能的執行。
國內《信息技術(shù)服務(wù)治理》中對數據治理概念進(jìn)行明確:數據治理是數據資源及其應用過(guò)程中相關(guān)管控活動(dòng)、績(jì)效和風(fēng)險管理的集合。
《數據管理能力成熟度評估模型》(DCMM)對數據治理的定義為:對數據進(jìn)行處理、格式化和規范化的過(guò)程。數據治理作為數據管理能力成熟度評估的八大核心能力域之一,對數據治理的組織、制度和溝通這三個(gè)能力項進(jìn)行評估。
綜合國際、國內多個(gè)機構理念及標準中對數據治理的解釋與定義,我們可以歸納為:數據治理的目標是提升數據價(jià)值,是組織推動(dòng)數字化轉型戰略落實(shí)的基礎,它由管理體系和技術(shù)體系共同組成,包括組織、制度、流程、技術(shù)及支撐工具等。
數據安全治理
自“數據安全治理”概念被提出以來(lái),諸多機構更多地是提出數據安全治理的理念、方法論,沒(méi)有進(jìn)行明確的定義。如:
●Gartner提出的數據安全治理框架認為數據安全治理不能僅是一套集成了各類(lèi)數據安全工具的產(chǎn)品解決方案,而需從上而下貫穿整個(gè)組織架構,覆蓋組織的全體人員,形成組織全員對數據安全治理目標的一致共識,并采取適當的管理和技術(shù)措施,有效地保護組織數據的全生命周期安全。
●微軟的DGPC數據安全治理框架認為數據安全治理需圍繞人員、流程和技術(shù)三個(gè)核心領(lǐng)域展開(kāi),與現有安全框架(通常意義上現有的安全管理體系的融合)協(xié)同合作以實(shí)現隱私、保密和合規的安全治理目標。
●2021年7月,中國信息通信研究院云計算與大數據研究所發(fā)布的《數據安全治理實(shí)踐指南(1.0)》中,結合中國的國情,對數據安全治理從廣義和狹義進(jìn)行了解釋?zhuān)?/span>
廣義上:
數據安全治理是在國家數據安全戰略的指導下,為形成全社會(huì )共同維護數據安全和促進(jìn)發(fā)展的良好環(huán)境,國家有關(guān)部門(mén)、行業(yè)組織、科研機構、企業(yè)、個(gè)人共同參與和實(shí)施的一系列活動(dòng)集合。
狹義上:
數據安全治理是指在組織數據安全戰略的指導下,為確保數據處于有效保護和合法利用的狀態(tài),多個(gè)部門(mén)協(xié)作實(shí)施的一系列活動(dòng)集合。
結合各方對數據安全治理理念、方法論和概念解釋?zhuān)瑥哪繕司S度對數據安全治理進(jìn)行理解:數據安全治理是以數據為核心,以保護其機密性、完整性、可用性為目標進(jìn)行的一系列活動(dòng)集合。
雖然“數據治理”和“數據安全治理”這兩個(gè)領(lǐng)域都涉及到數據的管理和保護,但是它們在目標、方法和職責等方面存在著(zhù)一些差異。
目標差異
數據治理的主要目標是確保組織數據的質(zhì)量、準確性、完整性和可靠性,以滿(mǎn)足組織決策和業(yè)務(wù)需求。數據治理涉及到數據的收集、存儲、處理、分析和共享等方面,旨在實(shí)現數據的價(jià)值最大化;而數據安全治理的主要目標是保護組織數據的機密性、完整性和可用性,以防止數據被非法獲取、篡改或破壞。數據安全治理涉及到安全策略的制定、安全控制的實(shí)施和安全事件的響應等方面,旨在保障組織數據的安全。
數據治理的方法主要包括數據標準化、元數據管理、數據質(zhì)量管理、數據架構管理等。通過(guò)這些方法,組織可以對數據進(jìn)行規范化管理,確保數據的準確性和一致性。而數據安全治理的方法主要包括身份認證、訪(fǎng)問(wèn)控制、加密技術(shù)等。通過(guò)這些方法,組織可以對數據進(jìn)行加密和權限控制,防止非法訪(fǎng)問(wèn)和篡改。
在組織中,數據治理通常由數據管理員或數據質(zhì)量專(zhuān)家負責,他們負責收集、分析和管理組織數據,并確保數據符合標準和規范;而數據安全治理通常由專(zhuān)職數據安全專(zhuān)家負責,他們負責制定安全策略、實(shí)施安全措施和監控安全事件,以保障組織數據的安全。
數據治理是為了保障數據的準確性、完整性和可靠性,而數據安全治理則是為了保護這些數據不受到破壞或泄露。因此,在實(shí)施數據治理的過(guò)程中,必須考慮到數據安全的因素,以確保數據不受到非法訪(fǎng)問(wèn)或惡意攻擊。反之亦然,在實(shí)施數據安全治理的過(guò)程中,也必須考慮到數據治理的因素,以確保數據能夠正確地被管理和使用。
此外,數據治理和數據安全治理還有著(zhù)相互促進(jìn)的作用。在實(shí)施數據治理的過(guò)程中,需要對數據進(jìn)行分類(lèi)和整合,從而提高數據的價(jià)值和利用效率;而在實(shí)施數據安全治理的過(guò)程中,需要對不同類(lèi)型的數據進(jìn)行不同的安全措施,從而保護組織核心資產(chǎn)不受到威脅。因此,數據治理和數據安全治理可以相互促進(jìn),提高組織對數據的管理和保護能力。
數據治理和數據安全治理是組織中不可或缺的兩個(gè)方面,它們之間有著(zhù)千絲萬(wàn)縷的聯(lián)系,組織在數字化轉型過(guò)程中對數據治理與數據安全治理的優(yōu)先級選擇,從二者所產(chǎn)生的價(jià)值來(lái)看,也就是組織對數據價(jià)值與數據安全的優(yōu)先級選擇,然而,保障數據的安全性是實(shí)現數據價(jià)值最大化的必要條件之一,對數據進(jìn)行安全性保障產(chǎn)生的價(jià)值又建立在數據自身價(jià)值之上,價(jià)值與安全應該是平衡和統一的,因此,數據治理與數據安全治理也需做到平衡與統一。