当前,我国数字经济规模已达50.2万亿元,占国内生产总值的41.5%(来源:国家网信办发布的《数字中国发展报告(2022年)》)。数字经济的规模形成,离不开对 “数据”进行价值化的数据治理过程。同时数字经济的发展也带来了相应的安全问题,国家也出台了《网络安全法》、《数据安全法》等一系列法律法规来规范数据在价值化过程中的数据安全治理。
数据治理和数据安全治理已经成为各行各业数字化转型必须面对的重要问题。然而,许多人对于这两个概念的界限和区别并不清晰,以下将从概念、异同、关联等多个维度对“数据治理”与“数据安全治理”进行剖析,方便大家更好地理解这两个概念。
数据治理
国际上数据治理概念最早由国际数据治理研究所(DGI)提出,给出的定义为:数据治理是一个通过一系列信息相关的过程来实现决策权和职责分工的系统,是一种综合性的数据治理框架,旨在通过规范数据管理、提高数据质量和保护数据安全,实现数据的高效利用和价值最大化。
国际数据管理协会(DAMA)是数据管理领域的重要组织和权威机构之一,其对数据治理给出的定义:数据治理是对数据资产管理行使权力和控制的活动集合,是各类数据管理的核心,指导所有数据管理功能的执行。
国内《信息技术服务治理》中对数据治理概念进行明确:数据治理是数据资源及其应用过程中相关管控活动、绩效和风险管理的集合。
《数据管理能力成熟度评估模型》(DCMM)对数据治理的定义为:对数据进行处理、格式化和规范化的过程。数据治理作为数据管理能力成熟度评估的八大核心能力域之一,对数据治理的组织、制度和沟通这三个能力项进行评估。
综合国际、国内多个机构理念及标准中对数据治理的解释与定义,我们可以归纳为:数据治理的目标是提升数据价值,是组织推动数字化转型战略落实的基础,它由管理体系和技术体系共同组成,包括组织、制度、流程、技术及支撑工具等。
数据安全治理
自“数据安全治理”概念被提出以来,诸多机构更多地是提出数据安全治理的理念、方法论,没有进行明确的定义。如:
●Gartner提出的数据安全治理框架认为数据安全治理不能仅是一套集成了各类数据安全工具的产品解决方案,而需从上而下贯穿整个组织架构,覆盖组织的全体人员,形成组织全员对数据安全治理目标的一致共识,并采取适当的管理和技术措施,有效地保护组织数据的全生命周期安全。
●微软的DGPC数据安全治理框架认为数据安全治理需围绕人员、流程和技术三个核心领域展开,与现有安全框架(通常意义上现有的安全管理体系的融合)协同合作以实现隐私、保密和合规的安全治理目标。
●2021年7月,中国信息通信研究院云计算与大数据研究所发布的《数据安全治理实践指南(1.0)》中,结合中国的国情,对数据安全治理从广义和狭义进行了解释:
广义上:
数据安全治理是在国家数据安全战略的指导下,为形成全社会共同维护数据安全和促进发展的良好环境,国家有关部门、行业组织、科研机构、企业、个人共同参与和实施的一系列活动集合。
狭义上:
数据安全治理是指在组织数据安全战略的指导下,为确保数据处于有效保护和合法利用的状态,多个部门协作实施的一系列活动集合。
结合各方对数据安全治理理念、方法论和概念解释,从目标维度对数据安全治理进行理解:数据安全治理是以数据为核心,以保护其机密性、完整性、可用性为目标进行的一系列活动集合。
虽然“数据治理”和“数据安全治理”这两个领域都涉及到数据的管理和保护,但是它们在目标、方法和职责等方面存在着一些差异。
目标差异
数据治理的主要目标是确保组织数据的质量、准确性、完整性和可靠性,以满足组织决策和业务需求。数据治理涉及到数据的收集、存储、处理、分析和共享等方面,旨在实现数据的价值最大化;而数据安全治理的主要目标是保护组织数据的机密性、完整性和可用性,以防止数据被非法获取、篡改或破坏。数据安全治理涉及到安全策略的制定、安全控制的实施和安全事件的响应等方面,旨在保障组织数据的安全。
数据治理的方法主要包括数据标准化、元数据管理、数据质量管理、数据架构管理等。通过这些方法,组织可以对数据进行规范化管理,确保数据的准确性和一致性。而数据安全治理的方法主要包括身份认证、访问控制、加密技术等。通过这些方法,组织可以对数据进行加密和权限控制,防止非法访问和篡改。
在组织中,数据治理通常由数据管理员或数据质量专家负责,他们负责收集、分析和管理组织数据,并确保数据符合标准和规范;而数据安全治理通常由专职数据安全专家负责,他们负责制定安全策略、实施安全措施和监控安全事件,以保障组织数据的安全。
数据治理是为了保障数据的准确性、完整性和可靠性,而数据安全治理则是为了保护这些数据不受到破坏或泄露。因此,在实施数据治理的过程中,必须考虑到数据安全的因素,以确保数据不受到非法访问或恶意攻击。反之亦然,在实施数据安全治理的过程中,也必须考虑到数据治理的因素,以确保数据能够正确地被管理和使用。
此外,数据治理和数据安全治理还有着相互促进的作用。在实施数据治理的过程中,需要对数据进行分类和整合,从而提高数据的价值和利用效率;而在实施数据安全治理的过程中,需要对不同类型的数据进行不同的安全措施,从而保护组织核心资产不受到威胁。因此,数据治理和数据安全治理可以相互促进,提高组织对数据的管理和保护能力。
数据治理和数据安全治理是组织中不可或缺的两个方面,它们之间有着千丝万缕的联系,组织在数字化转型过程中对数据治理与数据安全治理的优先级选择,从二者所产生的价值来看,也就是组织对数据价值与数据安全的优先级选择,然而,保障数据的安全性是实现数据价值最大化的必要条件之一,对数据进行安全性保障产生的价值又建立在数据自身价值之上,价值与安全应该是平衡和统一的,因此,数据治理与数据安全治理也需做到平衡与统一。