ISO38505-1數據治理國際標準暨數據治理實踐研討會內容分享
責編:gltian |2019-08-06 11:15:24數據治理是保證數據質量的必需手段,加強數據治理提升數據質量已成為企業提升管理能力的重要任務。8月1日,ISO38505-1 數據治理國際標準暨數據治理實踐研討會在京舉辦。本次研討會旨在推動數據治理在國內的應用,主辦方上海觀安信息首席標準專家謝江在開始前介紹了會議概況,并表示觀安信息希望會議能夠帶給行業內有關數據治理和數據安全治理領域相關方新的啟示和幫助。會議還邀請了國內諸多知名企業來參會,包括中國石油、國家電網、中國銀行、國家開發銀行、民生銀行、中信銀行、恒豐銀行、騰訊、安全廠商、研究院所、數據治理咨詢公司如北京思泰正德科技等咨詢服務企業。
安全牛記者將本次數據治理研討會的精彩內容整理如下:
全聯科技裝備業商會網絡空間專委會執行主任委員卜海兵先生作為會議指導單位代表在致辭中講到:
網絡空間產業是一個迅猛發展的新興產業,全國工商聯順應時代的發展,專門委托科裝商會成立網絡空間委員會,旨在加強同網絡空間領域優秀企業的聯系,發揮政府與企業之間的橋梁作用,參與國家大眾方針和重要策略的協商。用無網不安全的大安全觀來審視數據治理,數據治理就是不可或缺的重要組成。專委會致力于數據治理產業的生態建設,推動有關法規落實,助力相關企業健康發展。
專委會還特別設立了數據治理工作組,由上海觀安信息擔任數據治理工作組組長單位。卜海兵也歡迎社會各界積極加入專委會的建設和活動組織和活動參與的行列中。
全聯科技裝備業商會網絡空間專委會 執行主任委員 卜海兵
數據治理研討會主辦方上海觀安戰略發展部總經理蔣韜先生作為主辦方領導致辭,他表示:
當今國際數據治理領域是一個各行業廣泛關注的話題,自從 2017 年 ISO38505 標準問世以來,國際上都很關注該標準的走向、落地實施,以及具體的數據治理和安全治理工作的方法與經驗。ISO38505-1 標準是我國專家參與編制的具有里程碑意義的國際標準,目前已全面啟動。本次研討會意在介紹數據治理國際標準體系和認證過程,以及數據治理、數據安全治理等國內一些咨詢公司、廠商的技術和落地實踐經驗。
蔣韜希望能夠通過此次研討會讓國內用戶了解數據治理的國際標準和經驗,推動數據治理向更優的方向發展。
一、從ISO38505-1標準看數據治理
數據治理安全是全球新興的安全理念,包括企業數據資產的安全管理、數據使用的安全管控、數據治理的安全稽核等。針對數據治理出臺的 ISO38505-1 的治理框架可以幫助企業,體系化地進行數據安全治理,實現對數據的全面、細顆粒的安全管控。權威認證機構英國 BSI 協會亞太區首席標準專家潘蓉分別從 ISO38505-1 標準建立目的、解決數據治理相關問題、適用面、核心模型,以及應用該模型如何達到數據安全治理的目標等方面展開了介紹。
如何看待數據治理
傳統的數據治理指的是監管報送的數據質量管理,而現在的數據治理則是不僅從技術層面看待數據治理,而是融合數據治理和公司管理。從大數據角度下看待數據的價值,而非數據質量本身。從該角度考慮如何運用數據對象,融入數據安全。數據作為國家級的戰略需要得到高度重視,各行各業對數據的需求又相差甚遠,因此對于數據治理的需求也不盡相同。綜上,數據治理的實施取決于企業核心業務和資源。數據治理安全體系是一種動態安全體系,面向的是支持業務系統的數據。數據是可以流轉、使用和共享,并從治理和技術兩個視角看數據服務及技術生命周期,進行安全等級的劃分,并持續關注成本效益,潘蓉認為優化結構節省業務成本是數據治理的重要原因之一。
BSI亞太區首席標準專家 潘蓉
大數據環境下數據治理包括以下兩點:
1)數據資產的管理(面向數據的)
2)數據資產的運營(面向數據驅動的)
ISO38505-1 標準 EDM 模型:
該模型用于評估、決定和監管的模型,具體是指評估數據的公司戰略與商業模式、數據負責人、技術工具的使用和流程改變以及數據共享需求等內容;決定是針對最優化的數據投資、面向風險偏好的管理數據風險、各層級的數據保管人委派機制;監管是采用 ISO27100 和 ISO27017(云安全)等標準,并最后根據數據治理情況出具成本報告和質量報告。
二、大數據安全脫敏工具落地實踐
上海觀安高級安全技術專家于韋龍針對數據隱私安全現狀進行介紹,并介紹了隱私數據安全管理系統的具體落地實踐經驗。他說,經調查過去一年中 45% 的企業發生了數據泄密事件,68% 的企業不確定是否能夠保護企業信息安全,近一年的時間內,約有 190 億條數據記錄丟失或者被盜。每條包含敏感信息的記錄平均成本約為 141 美元。由此可見大數據時代的數據安全問題凸顯,由此隱私數據管理系統顯得尤為必要,他還介紹了該系統具備的數據治理能力。
隱私數據管理系統具備的能力:
1)敏感數據管理能力:通過對隱私及敏感數據的定義、分類、探測、梳理,有效識的對數據庫中的數據,對隱私及敏感數據的分布和類型進行分類分級管理。
2)數據審計追溯能力:全面的支持各種 SQL 語句類型及數據庫類型,對數據訪問行為和內容進行審計記錄,提供事后分析和追溯能力,提供高附加功能,低成本滿足合規要求。
3)數據安全防護能力:通過對數據庫中的隱私及敏感數據的脫敏處理,在不影響數據訪問習慣、不改變數據庫結構和整體網絡架構的情況下,在數據訪問和共享環節進行安全防護。
兩類脫敏工具介紹:
1)在線隱私數據防護模塊(動態):針對生產環境中不同權限角色的用戶,根據權限顯示對應敏感信息內容。數據在線隱私數據防護模塊系統智能識別敏感數據,將脫敏后的數據供開發和測試人員使用。
2)離線隱私數據防護模塊(靜態):主要對生產庫進行批量數據抽取和變形,并將脫敏處理結果進行存儲,適用于用于業務系統的開發、測試、數據共享及數據分析等場景。
三、數據治理優秀經驗分享
1. 歐盟 GDPR 合規的實踐與探討
? ?演講者:普華永道高級安全咨詢專家 陸輝
陸輝在演講中列舉了一些數據安全和隱私事件的背景和影響;接著介紹 GDPR 整體架構和關鍵合規要點,從數據發現、數據處理知情權、數據被遺忘權、供應商管理等維度分析了關聯法案條款,并講解實踐場景案例;最后介紹 GDPR 整體實施方法、關鍵步驟和交付件。該演講不但指出了 GDPR 合規的緊迫性和必要性,還進一步給出可操作落地的示例,可做為國內企業 GDPR 合規管理方面有效參考。
2. 數據安全風險持續治理
? ?演講者:全知科技 CEO兼首席安全專家 方興
數據安全的外延擴大
相較傳統時代的數據安全,大數據時代的數據安全是面向海量數據的生產、業務數據和企業內部數據,在企業內部和生態廣泛、高頻、開放的流動,在創造數據價值的同時產生了數據泄露風險和數據合規風險。正是如此,也會產生很多新的問題和需求,因而需要對數據的認知重新定位。
融合DSG和DCAP形成數據安全持續治理
基于安全風險度量的動態治理是對實時風險的動態度量作為標尺,來平衡業務需求與安全沖突。由此打通 DCAP,成為提供動態風險度量的采集點,也是執行數據安全策略調整的基石。其次,是以數據識別為核心的數據流動感知和響應,很多產品沒有完成數據中心化的部署,存在數據存儲碎片化、單點化等問題。所以需要 DCAP 以數據為中心進行審計和保護,其核心在于如何實現數據安全面臨的碎片化、流動性和業務效率的平衡。
數據安全持續治理關鍵過程:
1)數據分級和統一安全策略
2)敏感數據暴露面識別和安全管理
3)數據流動和數據行為監測
4)數據安全風險度量和基于安全策略的管控
5)數據安全事件溯源
3. 數據治理制度設計、執行和審計
? ?演講者:SOFTTECH北京思泰正德科技 副總裁 咨詢總監 陳志勤
數據治理是由治理主體制定組織戰略來指導管理層,管理層通過管理活動實現戰略目標。根據 ISO38505-1 標準以及企業數據戰略規劃具體數據策略,便于落地實施詳盡的數據管理(詳細標準見ISO38505-2)。
陳志勤認為,數據治理制度設計、執行與審計重要的是在于劃分數據治理責任域。他將數據治理責任域劃分為 6 個子域:采集域、儲存域、決策域、報告域、分派域、棄置域。通過數據治理責任域結合數據價值、風險和約束進行評估,最終形成數據治理報告。其中,數據價值包括數據質量、時效性、體量和語境;數據風險包括風險管理、數據分類和安全性;約束主要是法律法規、組織策略等內容。他還介紹了審計底稿生成器,它可根據責任域、控制點需求、計算機等數據項,生成審計工作底稿和可執行碼,完成數據治理制度從設計、執行到最終審計結果輸出的全過程。