2010年，针对数据安全治理，微软提出了专门强调隐私、保密和合规的数据安全治理框架（DGPC），希望企业和组织能够以统一的跨学科的方式来实现目标，而非组织内不同部门独立实现。DGPC框架能够与企业现有的IT管理和控制框架（如COBIT），以及ISO/IEC27001/27002和支付卡行业数据安全标准（PCI DSS）等协同工作。DGPC框架围绕3个核心能力领域进行构建，涵盖了人员、流程和技术这三大部分。

DGPC框架提供了一种以隐私、保密和合规为目标的数据安全治理框架，以数据生命周期和核心技术领域为重点关注点，但主要是从方法论层面明确数据安全治理的目标，缺少对在数据生命周期各环节落实数据安全治理措施的详细说明。

到了2017年，在安全与风险管理峰会上，分析师Marc发表了题为“2017年数据安全态势”的演讲，并提及了“数据安全治理”(Data Security Governance)。Marc将其比喻为“风暴之眼”，以此来形容数据安全治理(DSG)在数据安全领域中的重要地位及作用。

Gartner对数据安全治理的基本定义是：“数据安全治理绝不仅是一套用工具组合而成的产品级解决方案，而是从决策层到技术层，从管理制度到工具支撑，自上而下、贯穿整个组织架构的完整链条。组织内的各个层级需要对数据安全治理的目标和宗旨达成共识，确保采取合理和适当的措施，以最有效的方式保护信息资源。”

那么，国内是怎么做的呢？

2019年8月30日，《信息安全技术-数据安全能力成熟度模型》（GB/T 37988-2019）简称DSMM（Data Security Maturity Model）正式成为国标对外发布，并已于2020年3月起正式实施。DSMM不仅是一套标准，也是一套方法论，借鉴能力成熟度模型（CMM）的思想，DSMM标准以数据为中心，围绕数据的整个生命周期及数据通用安全，从组织建设、制度流程、技术工具、人员能力四个方面对数据进行定级评估，从而提高自身数据安全水平。

如何开展数据安全治理

1）数据安全治理的原则

企业在开展数据安全治理工作之前，先明确下数据安全治理的原则，这些原则会贯穿我们后续所有的数据安全治理工作当中，有四大原则：

以合规为驱动，充分了解各项法律法规、行业监管、地方政策，满足合规性要求的同时，兼顾业务实际发展状况。

以数据为中心，是数据安全工作的核心技术思想；是将数据的防窃取、防滥用、防误用作为主线，在数据的生命周期内各个不同环节所涉及的信息系统、运行环境、业务场景和操作人员等作为围绕数据安全保护的支撑。

以组织为单位，是数据安全治理的核心管理思想；数据会在不同的服务器、产品、业务中流转，拥有或使用数据的组织是承担数据安全责任的主体，是数据安全治理的基本单位。

以能力成熟度为基本抓手，一个组织的数据安全能力成熟度等级，说明了这个组织在数据安全保护方面的综合能力水平。

2）数据安全治理的建设思路

下面来介绍下数据安全治理的建设思路，我们从组织、制度、技术、运营层面入手，围绕数据生命周期，建立完善的数据安全管理体系。组织和制度是企业开展数据治理工作的前提，技术和运营体系是落实数据安全治理的手段。

组织架构分成四层，包括决策层（数据安全领导小组）、管理层（数据安全管理团队）、执行层（数据安全执行团队）和监督层（数据安全监督小组）。

有了组织架构，还要制定完善的制度流程。制度流程是保障数据安全治理工作落地的重要前提。比如说管理制度、操作规范、工作流程、审计机制等。

有了组织和制度，接下来可以逐步落地相应的技术工具。比如说敏感数据识别、分类分级工具、加解密/脱敏、身份认证、权限控制、操作审计等。

在构建组织架构、制度流程、技术工具的过程中，逐渐形成完善的运营体系，全面提升数据安全的运营能力。同时整个建设思路需以合规为驱动，围绕数据生命周期有效进行。

3）数据安全治理的实施流程

有了建设思路，接下来就可以进行实施工作，我们通常把实施流程分成七步：

Step1企业现状调研。包括企业架构、网络拓扑、安全管理现状、业务流程、数据流程等。

Step2数据资产梳理。通过业务调研、自动扫描发现数据资产，制定数据分类分级标准，同时对数据资产进行梳理和打标。

Step3安全风险评估：围绕数据生命周期进行风险评估，根据各项法律法规对标分析。

Step4安全体系设计：基于风险评估、组织架构、业务流程、数据流程，设计数据安全管理及技术体系，并建立管理体系。

Step5技术工具实施：基于分类分级、风险评估结果，建设数据安全技术工具，敏感数据识别、脱敏加密工具、访问控制、日志审计等。

Step6快速试点验证：通过试点运行，及时发现可能存在的管理漏洞和技术缺陷，并通过定期审计发现可能存在的运营不足。

Step7持续优化改进：设立运营指标、定期审计、持续优化改进，反哺管理、技术、运营体系，不断螺旋式提升数据安全水位。

调研、梳理和评估都是自上而下进行，和我们前面介绍的Gartner “数据安全治理”(Data Security Governance)是契合的，也是完成企业数据安全实施的体系化设计。

4）数据安全治理的技术体系

整个数据安全实施流程的工作重点在于技术工具的落地，数据安全技术体系可以分成四个部分： 风险识别、安全防御、安全监测、安全处置，围绕整个数据生命周期开展的。

5）数据安全治理的技术实施路线

数据安全治理的技术体系相对比较复杂，所以数据安全治理的技术实施不是一蹴而就，可以分成三个阶段完成：

第一阶段主要为数据资产梳理与数据资产的风险识别，通过敏感数据识别实现数据资产的分类分级，再针对不同分级数据，进行安全风险核查。

第二阶段更加侧重数据应用的各个场景下安全能力的建设，初步实现重点场景下的数据安全全面可管、可控，并建立数据安全风险感知，完善内控安全保障。主要包括用户与实体行为分析、应用网关建设、api网关建设、数据脱敏、水印溯源。通过技术工具对重点安全场景实现全方位的保护。

第三阶段全面完成数据安全建设，覆盖制度落地到数据应用的各个场景。在数据安全使用环节中，都有相关的数据安全技术可以对数据的安全进行保障，所有操作都有审计和保护措施。通过数据安全风险感知的完善，实现数据安全风险全局可视，从全局视角大幅度提升对数据安全威胁的识别、理解、分析和响应的综合防护能力。

值得一提的是，在整个技术实施路线中，有两点是需要好好把握的，一个是数据安全治理切入点的选择，另一个是数据安全治理重点和难点的克服。

数据安全治理挑战及展望

鉴于目前整体的数据安全外部环境，以及发生的勒索、数据泄露等安全事件；当前和未来几年将面临更严峻的数据安全挑战，因数据安全问题和事件而导致的品牌名誉受损、直接和间接财务损失、对外业务中断、法律后果和监管机构通报惩罚、敏感数据信息外泄等情况都是无法接受的结果。

2022年，全球网络安全威胁态势进入高度不确定的“黑天鹅”时代，企业数据安全和风险管理面临前所未有的挑战，其原因主要有：

• 企业缺乏统一指引

数据安全技术相关的国家标准当前出台较少，还无法对企业形成有效的指引，例如数据加密、脱敏尚未形成统一标准，各企业理解存在偏差。

• 数据安全人才紧缺

数据安全井喷式需求爆发，各领域数据安全隐患亟待解决，行业内缺少业务领域的数据安全人才。

• 安全技术有待实践

传统的网络安全技术无法满足数据安全要求，数据本身具有可分享、可复制、流转快的特点，部分技术与解决方案处在研究发展阶段，缺乏应用实践。

• 业务场景复杂

业务先于安全，业务形态已固化，众多企业面临数据安全改造难题，改造难度大，且各企业场景差异大，数据安全治理存在多样化业务场景复杂数据安全治理挑战。

直面挑战，我们可以总结一些比较清晰的发展趋势：

1、国家法律法规和标准体系日趋完善

2、数据安全执法力度逐步增强

3、数据安全治理从合规驱动走向自驱动

4、建立持续迭代的数据安全治理体系

5、提升数据安全评估 / 审查自动化水平

6、新兴技术的逐步发展和应用，持续激发数据安全新需求