数据安全治理是数据治理的重要内容，横跨IT治理架构中数据管理和风险管理两个重要闭环。为了减轻安全威胁、数据驻留和隐私问题带来的风险，安全和风险管理领导者应当引入适用企业的数据安全治理框架，避免内外安全风险带来的信誉损失和经济损失。

上周二（5月22日），由安华金和承办的第二届中国数据安全治理高峰论坛——“共享数据价值·共担安全责任”在京举行。该看论坛是数据安全领域最具价值的峰会之一。

内容上，论坛围绕数据安全治理框架的整体解决方案、技术支撑以及用户实践初见规模，开始真正为组织与企业交付使用，发挥价值。

一、议题干货精选

在上午的专家分享环节，谷安天下CTO陈伟和安环金和创始人兼CEO刘晓韬，分别从国际视角和国内完整的落地支撑方案这两个角度，探讨了对数据安全治理的理解。

1. 《2018国际研究机构数据安全治理框架解读》
谷安天下CTO陈伟

从IT治理到数据安全治理

传统的IT治理是指，组织在信息化过程中需要建立的一种宏观的决策、协调及控制机制。其作用是明确IT决策责任、建立协调沟通机制，有效利用各种资源，控制信息化风险，促进IT与业务的融合，使IT为企业创造价值。建立自适应的信息安全能力，是新型IT治理的重要目标之一。

在整个IT治理架构中，数据治理较为特殊，有首席数据官直接负责，横跨数据管理和风险管理两个闭环，从数据的生产、使用、挖掘和管理四个角度，为组织决策提供重要信息。而数据安全治理，便是数据治理的重要内容。

Gartner数据安全治理框架（DSG）

Gartner认为, 当前数字业务正在为企业创造价值，但不能忽视不断增长的业务风险和责任。安全和风险管理领导者应该制定适当的数据安全治理框架，以减轻数据安全隐患所带来的风险。这些安全挑战包括：隐私保护的合规要求、数据泄露对组织声誉和客户信任度的影响、混合IT环境下通用数据安全策略的制定，以及和身份访问管理等安全产品通用安全策略的共享等。

今年4月，Gartner提出了数字安全治理框架（DSG），试图从组织的高层业务风险分析出发，对组织业务中的各个数据集进行识别、分类和管理，并针对数据集的数据流和数据分析库的机密性、完整性、可用性创建8种安全策略。同时，数据管理与信息安全团队，可以针对整合的业务数据生命周期过程进行业务影响分析(BIA), 发现的各种数据隐私和数据保护风险，以降低整体的业务风险。

DSG框架

微软针对隐私、保密和合规性的数据治理框架（DGPC）

不同于Gartner的数据安全治理，微软的数据治理框架（DGPC）主要从人员、流程，和技术这三个角度出发，将框架重点放在数据安全的“树状结构”上，以识别和管理与特定数据流相关的安全和隐私风险需要保护的信息。

• 在人员领域，DGPC框架把数据安全相关组织分为战略层、战术层和操作层三个层次，每一层次都要明确组织中的数据安全相关的角色职责、资源配置和操作指南；
• 在流程领域，DGPC认为，组织应首先检查数据安全相关的各种法规、标准、政策和程序，明确必须满足的要求，并使其制度化与流程化，以指导数据安全实践；
• 在技术领域，微软开发了一种工具（数据安全差距分析表），来分析与评估数据安全流程控制和技术控制存在的特定风险。

数据安全差距分析表

数据安全治理通用框架

会上，陈伟表示，通过对Gartner、微软等企业数据安全治理方法的解读与分析，并结合国内外其他数据安全标准及行业最佳实践，谷安天下认为，数据安全治理通用框架一般要包括三个要素: 数据安全治理机制、数据安全生命周期管理、数据安全技术部署。各类组织可以根据业务特征和数据安全要求，对通用数据安全治理框架进行补充或剪裁，以形成有自身特点的数据安全治理框架，以指导企业的数据安全工作。

通用数据安全治理框架

2. 《数据安全治理技术支撑体系》
安华金和创始人＆CEO刘晓韬

刘晓韬认为，数据安全治理不应再是空中楼阁，要实现从理念到技术的体系构建，还需要真正具有从流程方法到技术支撑的完整方案。

数据安全治理的首要原则是保障数据价值释放，不能影响业务流转。

首先，是做好数据的分级分类：

• 数据分级分类制订安全策略
• 明确数据资产的分布和使用状况

其次，要保障数据的使用安全：

• 影响数据使用的安全技术和策略是伪安全
• 基于数据使用角色和场景选定安全技术

再者，数据要管理整合：

• 数据安全产品要与安全管理工作深度整合
• 数据安全产品要满足国家和行业规范要求

通过整合一系列的安全管控技术应用，最终通过数据安全态势感知实现数据统计信息、数据流向、数据告警信息的可视化呈现。

二、全国首个数据安全治理委员会成立

除了与会嘉宾的精彩分享，还特别值得一提的是，在此次会议上数据安全治理委员会的成立。

数据安全治理体系是一个很大的体系框架，非一家之力可塑。因此，构建生态是本次峰会的另一个重要目标。

中国网络安全与信息化产业联盟数据安全治理委员会成立

作为全国首家聚焦数据安全领域的专项委员会，该组织将汇聚国内数据安全企业力量，打造集技术研究、学术探讨、行业实践分享的交流平台，发挥各自资源与价值，共同打造数据安全生态，探索和推动政府、企业、行业在数据安全治理工作上的思路、规范和技术实践。

三、数据安全治理白皮书发布

由安华金和发起、编纂并出品的《数据安全治理白皮书》，是数据安全治理委员会的重要成果之一，通过对国内外数据安全情势与市场趋势进行解读与前瞻，结合国际相关标准与框架，针对数据安全治理的概念、规范、技术与实践进行总结，提出一套真正在中国易于落地的数据安全建设方法论。

安华金和CMO付蓉洁在白皮书发布环节表示，据Gartner预测，到2021年，超过30％的企业将实施数据安全治理框架（该比例目前不足5％）。数据安全治理委员的成立，白皮书等最佳实践工具的发布，希望可以真正系统化地解决组织遇到的数据安全治理问题，也希望业界伙伴一同参与、推广和应用普及。