ISO38505-1数据治理国际标准暨数据治理实践研讨会内容分享

数据治理是保证数据质量的必需手段,加强数据治理提升数据质量已成为企业提升管理能力的重要任务。8月1日,ISO38505-1 数据治理国际标准暨数据治理实践研讨会在京举办。本次研讨会旨在推动数据治理在国内的应用,主办方上海观安信息首席标准专家谢江在开始前介绍了会议概况,并表示观安信息希望会议能够带给行业内有关数据治理和数据安全治理领域相关方新的启示和帮助。会议还邀请了国内诸多知名企业来参会,包括中国石油、国家电网、中国银行、国家开发银行、民生银行、中信银行、恒丰银行、腾讯、安全厂商、研究院所、数据治理咨询公司如北京思泰正德科技等咨询服务企业。

安全牛记者将本次数据治理研讨会的精彩内容整理如下:

全联科技装备业商会网络空间专委会执行主任委员卜海兵先生作为会议指导单位代表在致辞中讲到:

网络空间产业是一个迅猛发展的新兴产业,全国工商联顺应时代的发展,专门委托科装商会成立网络空间委员会,旨在加强同网络空间领域优秀企业的联系,发挥政府与企业之间的桥梁作用,参与国家大众方针和重要策略的协商。用无网不安全的大安全观来审视数据治理,数据治理就是不可或缺的重要组成。专委会致力于数据治理产业的生态建设,推动有关法规落实,助力相关企业健康发展。

专委会还特别设立了数据治理工作组,由上海观安信息担任数据治理工作组组长单位。卜海兵也欢迎社会各界积极加入专委会的建设和活动组织和活动参与的行列中。

全联科技装备业商会网络空间专委会 执行主任委员 卜海兵

数据治理研讨会主办方上海观安战略发展部总经理蒋韬先生作为主办方领导致辞,他表示:

当今国际数据治理领域是一个各行业广泛关注的话题,自从 2017 年 ISO38505 标准问世以来,国际上都很关注该标准的走向、落地实施,以及具体的数据治理和安全治理工作的方法与经验。ISO38505-1 标准是我国专家参与编制的具有里程碑意义的国际标准,目前已全面启动。本次研讨会意在介绍数据治理国际标准体系和认证过程,以及数据治理、数据安全治理等国内一些咨询公司、厂商的技术和落地实践经验。

蒋韬希望能够通过此次研讨会让国内用户了解数据治理的国际标准和经验,推动数据治理向更优的方向发展。

一、从ISO38505-1标准看数据治理

数据治理安全是全球新兴的安全理念,包括企业数据资产的安全管理、数据使用的安全管控、数据治理的安全稽核等。针对数据治理出台的 ISO38505-1 的治理框架可以帮助企业,体系化地进行数据安全治理,实现对数据的全面、细颗粒的安全管控。权威认证机构英国 BSI 协会亚太区首席标准专家潘蓉分别从 ISO38505-1 标准建立目的、解决数据治理相关问题、适用面、核心模型,以及应用该模型如何达到数据安全治理的目标等方面展开了介绍。

如何看待数据治理

传统的数据治理指的是监管报送的数据质量管理,而现在的数据治理则是不仅从技术层面看待数据治理,而是融合数据治理和公司管理。从大数据角度下看待数据的价值,而非数据质量本身。从该角度考虑如何运用数据对象,融入数据安全。数据作为国家级的战略需要得到高度重视,各行各业对数据的需求又相差甚远,因此对于数据治理的需求也不尽相同。综上,数据治理的实施取决于企业核心业务和资源。数据治理安全体系是一种动态安全体系,面向的是支持业务系统的数据。数据是可以流转、使用和共享,并从治理和技术两个视角看数据服务及技术生命周期,进行安全等级的划分,并持续关注成本效益,潘蓉认为优化结构节省业务成本是数据治理的重要原因之一。

BSI亚太区首席标准专家 潘蓉

大数据环境下数据治理包括以下两点:

1)数据资产的管理(面向数据的)

2)数据资产的运营(面向数据驱动的)

ISO38505-1 标准 EDM 模型:

该模型用于评估、决定和监管的模型,具体是指评估数据的公司战略与商业模式、数据负责人、技术工具的使用和流程改变以及数据共享需求等内容;决定是针对最优化的数据投资、面向风险偏好的管理数据风险、各层级的数据保管人委派机制;监管是采用 ISO27100 和 ISO27017(云安全)等标准,并最后根据数据治理情况出具成本报告和质量报告。

二、大数据安全脱敏工具落地实践

上海观安高级安全技术专家于韦龙针对数据隐私安全现状进行介绍,并介绍了隐私数据安全管理系统的具体落地实践经验。他说,经调查过去一年中 45% 的企业发生了数据泄密事件,68% 的企业不确定是否能够保护企业信息安全,近一年的时间内,约有 190 亿条数据记录丢失或者被盗。每条包含敏感信息的记录平均成本约为 141 美元。由此可见大数据时代的数据安全问题凸显,由此隐私数据管理系统显得尤为必要,他还介绍了该系统具备的数据治理能力。

隐私数据管理系统具备的能力:

1)敏感数据管理能力:通过对隐私及敏感数据的定义、分类、探测、梳理,有效识的对数据库中的数据,对隐私及敏感数据的分布和类型进行分类分级管理。

2)数据审计追溯能力:全面的支持各种 SQL 语句类型及数据库类型,对数据访问行为和内容进行审计记录,提供事后分析和追溯能力,提供高附加功能,低成本满足合规要求。

3)数据安全防护能力:通过对数据库中的隐私及敏感数据的脱敏处理,在不影响数据访问习惯、不改变数据库结构和整体网络架构的情况下,在数据访问和共享环节进行安全防护。

两类脱敏工具介绍:

1)在线隐私数据防护模块(动态):针对生产环境中不同权限角色的用户,根据权限显示对应敏感信息内容。数据在线隐私数据防护模块系统智能识别敏感数据,将脱敏后的数据供开发和测试人员使用。

2)离线隐私数据防护模块(静态):主要对生产库进行批量数据抽取和变形,并将脱敏处理结果进行存储,适用于用于业务系统的开发、测试、数据共享及数据分析等场景。

三、数据治理优秀经验分享

1. 欧盟 GDPR 合规的实践与探讨

   演讲者:普华永道高级安全咨询专家 陆辉

陆辉在演讲中列举了一些数据安全和隐私事件的背景和影响;接着介绍 GDPR 整体架构和关键合规要点,从数据发现、数据处理知情权、数据被遗忘权、供应商管理等维度分析了关联法案条款,并讲解实践场景案例;最后介绍 GDPR 整体实施方法、关键步骤和交付件。该演讲不但指出了 GDPR 合规的紧迫性和必要性,还进一步给出可操作落地的示例,可做为国内企业 GDPR 合规管理方面有效参考。

2. 数据安全风险持续治理

   演讲者:全知科技 CEO兼首席安全专家 方兴

数据安全的外延扩大

相较传统时代的数据安全,大数据时代的数据安全是面向海量数据的生产、业务数据和企业内部数据,在企业内部和生态广泛、高频、开放的流动,在创造数据价值的同时产生了数据泄露风险和数据合规风险。正是如此,也会产生很多新的问题和需求,因而需要对数据的认知重新定位。

融合DSG和DCAP形成数据安全持续治理

基于安全风险度量的动态治理是对实时风险的动态度量作为标尺,来平衡业务需求与安全冲突。由此打通 DCAP,成为提供动态风险度量的采集点,也是执行数据安全策略调整的基石。其次,是以数据识别为核心的数据流动感知和响应,很多产品没有完成数据中心化的部署,存在数据存储碎片化、单点化等问题。所以需要 DCAP 以数据为中心进行审计和保护,其核心在于如何实现数据安全面临的碎片化、流动性和业务效率的平衡。

数据安全持续治理关键过程:

1)数据分级和统一安全策略

2)敏感数据暴露面识别和安全管理

3)数据流动和数据行为监测

4)数据安全风险度量和基于安全策略的管控

5)数据安全事件溯源

3. 数据治理制度设计、执行和审计

   演讲者:SOFTTECH北京思泰正德科技 副总裁 咨询总监 陈志勤

数据治理是由治理主体制定组织战略来指导管理层,管理层通过管理活动实现战略目标。根据 ISO38505-1 标准以及企业数据战略规划具体数据策略,便于落地实施详尽的数据管理(详细标准见ISO38505-2)。

陈志勤认为,数据治理制度设计、执行与审计重要的是在于划分数据治理责任域。他将数据治理责任域划分为 6 个子域:采集域、储存域、决策域、报告域、分派域、弃置域。通过数据治理责任域结合数据价值、风险和约束进行评估,最终形成数据治理报告。其中,数据价值包括数据质量、时效性、体量和语境;数据风险包括风险管理、数据分类和安全性;约束主要是法律法规、组织策略等内容。他还介绍了审计底稿生成器,它可根据责任域、控制点需求、计算机等数据项,生成审计工作底稿和可执行码,完成数据治理制度从设计、执行到最终审计结果输出的全过程。

上一篇:免费IT资产清单工具发布:首日即获700家公司注册

下一篇:未经授权可任意复制文件? FTP服务器proftpd被曝存严重漏洞