數(shù)據(jù)安全治理是近兩年頻繁被安全廠商提起的話題，很多企業(yè)也對數(shù)據(jù)安全治理非常感興趣，但是部分朋友還是分不清數(shù)據(jù)治理和數(shù)據(jù)安全治理，所以今天，我來給大家好好說說數(shù)據(jù)治理與數(shù)據(jù)安全治理的區(qū)別。

關(guān)注點不同

數(shù)據(jù)治理

關(guān)注于數(shù)據(jù)本身的組織，使用和傳輸、業(yè)務(wù)支撐等場景下的質(zhì)量、規(guī)范、流程與制度等。

數(shù)據(jù)安全治理

關(guān)注于數(shù)據(jù)在整個生命周期可用性、完整性與機(jī)密性的安全保護(hù)，以數(shù)據(jù)業(yè)務(wù)屬性為始，數(shù)據(jù)的分級分類為核心，從數(shù)據(jù)存放位置為核心，建立以數(shù)據(jù)為中心的安全架構(gòu)體系。

輸出不同

數(shù)據(jù)治理的主要輸出是制度、管理規(guī)章、規(guī)范等。

數(shù)據(jù)安全治理的輸出包括數(shù)據(jù)的分級分類，安全使用規(guī)范，數(shù)據(jù)的可視化、監(jiān)控和發(fā)現(xiàn)要求等，以及最終如何采用技術(shù)手段推動人員組織與流程的落地。

參考標(biāo)準(zhǔn)/依據(jù)不同

數(shù)據(jù)安全參考標(biāo)準(zhǔn)

• 國際標(biāo)準(zhǔn)化組織 (ISO/IEC) 38505數(shù)據(jù)治理框架

• 國際數(shù)據(jù)管理協(xié)會（CDMA）DAMA-DMBOK框架

• 國際數(shù)據(jù)治理研究所（DGI）DGI數(shù)據(jù)治理框架

• IBM數(shù)據(jù)治理委員會（IBMDGA）數(shù)據(jù)治理成熟度模型

• 中國電子工業(yè)標(biāo)準(zhǔn)化技術(shù)協(xié)會信息技術(shù)服務(wù)分會（ITSS）數(shù)據(jù)治理規(guī)范

數(shù)據(jù)安全治理參考標(biāo)準(zhǔn)

目前已成型的參考標(biāo)準(zhǔn)分別有以下兩套標(biāo)準(zhǔn)，分別是：

• Gartner DSG : 數(shù)據(jù)安全治理的理念最早由Gartner正式提出，分析師將其與“風(fēng)暴之眼”進(jìn)行比較來形容數(shù)據(jù)安全治理（DSG）在數(shù)據(jù)安全領(lǐng)域中的重要性和作用。

• DGPC：微軟的專門強(qiáng)調(diào)隱私、保密和合規(guī)的數(shù)據(jù)安全治理框架，主要圍繞“人員、流程、技術(shù)”三個核心能力領(lǐng)域的具體控制要求展開，與現(xiàn)有安全框架體系或標(biāo)準(zhǔn)協(xié)調(diào)合作以實現(xiàn)治理目標(biāo)。

結(jié)果不同

數(shù)據(jù)治理完成后的結(jié)果通常是業(yè)務(wù)系統(tǒng)的改造工作。

數(shù)據(jù)安全治理完成后的結(jié)果通常是在同一數(shù)據(jù)安全策略下選擇不同的技術(shù)產(chǎn)品來實現(xiàn)數(shù)據(jù)安全保護(hù)。

視角不同

數(shù)據(jù)治理的視角

數(shù)據(jù)治理指利用數(shù)據(jù)驅(qū)動業(yè)務(wù)，實現(xiàn)企業(yè)增值。數(shù)據(jù)治理的智能化程度，決定了企業(yè)數(shù)字化轉(zhuǎn)型的加速度。數(shù)據(jù)資產(chǎn)依賴于數(shù)據(jù)治理，而企業(yè)數(shù)據(jù)資產(chǎn)問題歸根結(jié)底是由于企業(yè)中對外數(shù)據(jù)缺少統(tǒng)一而為的組織、制度、流程的管控、引起的“數(shù)據(jù)孤島”問題。

數(shù)據(jù)治理的范疇更為全面，比如有哪些數(shù)據(jù)，分布在哪里，能不能取到，被誰使用，如何理解，數(shù)據(jù)治理如何，是否安全，價值/成本/收益如何。

數(shù)據(jù)治理本質(zhì)是數(shù)字化業(yè)務(wù)的需求。

數(shù)據(jù)安全治理的視角

Gartner提出，數(shù)據(jù)安全治理不僅僅是一套用工具組合的產(chǎn)品級解決方案，是從決策層到技術(shù)層，從管理制度到工具支撐，自上而下貫穿整個組織架構(gòu)的完整鏈條。組織內(nèi)的各個層級之間需要對數(shù)據(jù)安全治理的目標(biāo)和宗旨取得共識，確保采取合理和適當(dāng)?shù)拇胧?，以最有效的方式保護(hù)信息資源。

特征不同

數(shù)據(jù)治理的特征

數(shù)據(jù)治理并非適用于任何企業(yè)。任何企業(yè)都在使用、產(chǎn)生數(shù)據(jù)。如果數(shù)據(jù)是一次性使用的、數(shù)據(jù)的產(chǎn)生僅僅是副產(chǎn)品，那么數(shù)據(jù)治理就無太大意義，應(yīng)用本身對相關(guān)數(shù)據(jù)進(jìn)行控制就足夠。

數(shù)據(jù)共享體現(xiàn)價值需要規(guī)范框架約束。如果數(shù)據(jù)不僅僅與特定的應(yīng)用相關(guān)，還會在更大的范圍內(nèi)共享，特別是整個企業(yè)范圍內(nèi)共享，如企業(yè)的數(shù)字化轉(zhuǎn)型，那么就不能任由個人或部門各行其是地處置他們的數(shù)據(jù)，數(shù)據(jù)活動需要在一個企業(yè)的規(guī)范框架約束下進(jìn)行。

數(shù)據(jù)資產(chǎn)的安全性需要企業(yè)安全策略框架。如果數(shù)據(jù)是敏感或關(guān)鍵性的，那么使用、傳輸或存儲這類的數(shù)據(jù)，會需要特別的處置，這種情況下也不能任由個人或部門各行其是，而是需要在一個企業(yè)的安全策略框架約束下進(jìn)行。

企業(yè)數(shù)據(jù)治理的本質(zhì)是建立/維護(hù)一組企業(yè)的“數(shù)據(jù)法規(guī)”，由這些法規(guī)來規(guī)范企業(yè)所有人員的數(shù)據(jù)活動。

因此，數(shù)據(jù)治理是一個“制度化”過程，所謂制度化是執(zhí)行一個“正式批準(zhǔn)”的體系，該體系包括明確的價值目的、必須遵從的規(guī)范和落實各治理責(zé)任的組織機(jī)構(gòu)。

數(shù)據(jù)安全治理的特征

• 以人和數(shù)據(jù)為中心，專注于數(shù)據(jù)安全的生命周期安全；

• 首先通過風(fēng)險與業(yè)務(wù)平衡識別，對數(shù)據(jù)進(jìn)行分級分類，組織數(shù)據(jù)安全及策略體系化落地；

• 將管理、技術(shù)與流程融合，建立自動化，持續(xù)性，自適應(yīng)安全體系；

• 數(shù)據(jù)安全技術(shù)與平臺保障能力也非單一能力，而是體系化、協(xié)同性、綜合性能力。數(shù)據(jù)安全治理即使在技術(shù)工具與平臺落地階段，也涵蓋了加解密、數(shù)據(jù)防泄漏、云訪問安全代理、身份認(rèn)證管理、用戶實體行為分析、數(shù)據(jù)庫審計等不同維度的的技術(shù)矩陣，依靠單一安全廠商、產(chǎn)品是無法達(dá)到這種全面技術(shù)保障能力的要求的，因此數(shù)據(jù)安全治理的建立與實施一定程度上依賴于生態(tài)形成與聯(lián)盟化發(fā)展。

最后我們可以總結(jié)一下，面對數(shù)據(jù)資產(chǎn)問題的時候，安全是其中的一個環(huán)節(jié)。數(shù)據(jù)安全治理是數(shù)據(jù)治理的一個過程，是企業(yè)數(shù)字轉(zhuǎn)型中必然經(jīng)歷的階段，數(shù)據(jù)安全治理可獨立實施。數(shù)據(jù)安全治理是數(shù)據(jù)安全領(lǐng)域數(shù)據(jù)、業(yè)務(wù)、安全、技術(shù)、管理的集合。