随着国家提出数字要素以及各行业信息化的发展，数据已经成为业务发展的驱动力。但是随着数据的流通的越来越广，产生的价值越来越高，如何在数据产生价值的过程中保证数据的安全，已经成为各行业重点关注方向。本文会介绍数据安全治理的背景、框架和评估方法做相关介绍。

一、数据治理&数据安全治理

数据安全治理和数据治理虽然仅一词之差，但是所包含的的内容是完全不同的。

数据治理的目标是打破系统建设初期数据建设不规范导致的数据孤岛，提高数据的质量和流通性从而提升数据的价值，数据治理完成后的结果通常是业务系统的改造。

数据安全治理从某一方面来说它是数据治理的子集，是数据治理过程中的一环，其目标是识别敏感资产并对其进行保护，同时对不同敏感程度的数据通过对应的安全设备和策略进行保护，在保证合规和风险被管控的调的条件下，数据能得到最大化的开发利用。二者的对比如下：

二、数据安全治理

2.1 背景

随着数据作为重要的生产要素，数据安全的地位不断的提升，尤其是随着《数据安全法》的正式颁布，数据安全在国家安全层面的地位进一步的得到提升。在发展数据经济和加速发展数据要素市场的过程中，数据安全问题也是日益突出，各种数据安全事件层出不穷，数据安全治理工作的开展也成为数据经济和数据要素市场发展和建设过程中不可忽略的工作内容。数据安全治理的驱动力可概括为以下四点：

1. 国家驱动：数据安全上升为国家战略；
2. 政策驱动：数据安全政策法规的出台;
3. 事件驱动：数据安全事件频发；
4. 企业驱动：自身现状以及合规需求。

2.2 数据安全治理框架思路

目前数据安全治理的框架主要有两种：微软的DGPC和Gartner的DSG，目前大多是参考DSG进行实施的。

2.2.1 微软DGPC
DGPC框架由微软于2010年提出，围绕数据生命周期、核心技术领域、数据隐私和机密性原则三个核心元素构建。

DGPC框架提供了一种以隐私、机密性和合规为目标的数据安全治理框架，以数据生命周期和核心技术领域为重点关注点，DGPC主要是从方法论层面明确数据安全治理的目标，缺少对在数据生命周期各环节落实数据安全治理措施的详细说明。

2.2.2 Gartner的DSG
自上而下，不能跳过数据摸底等工作。

• 企业战略：数据安全治理应保持与企业战略的制定和实施的统一
• 治理：数据安全需要开展深度的治理工作（另一种解读：管理：与现有管理手段结合）
• 合规：考虑企业需要面临的合规要求
• IT策略：与企业整体IT策略同步
• 风险容忍度：企业对安全风险的容忍度是多少

1、DSG要求在数据安全治理时，要先从业务入手，按治理目标和相关合规需求，明确自身对存在风险的容忍度，平衡业务风险与合规的关系。

2、然后明确选择需要治理的对象，优先选择重要数据进行数据安全治理工作（可以通过数据梳理、分类分级等手段，完成数据资产盘点和筛选）。

3、再根据梳理的结果、自身的现状和要求制定相关的安全策略：

• 访问关系：数据访问者、访问对象、访问行为。（对应人、数据、分析）
• 安全策略：根据场景制定针对性安全策略

4、然后根据数据不同生命周期，选取不同的数据安全技术/工具

5、最后在安全产品上进行数据安全策略集中管理、同步下发。策略执行对象应包括关系型数据库、大数据类型、文档文件、云端数据等数据类型。

三、数据安全能力评估

国内数据安全治理工作开展主要以国家标准 GB/T 37988-2019 《信息安全技术数据安全能力成熟度模型》（简称“DSMM”）为指导，围绕数据安全全生命周期和通用安全从四个维度：组织建设、制度流程、技术工具和人员能力，对组织的数据安全能力进行评估。DSMM评估的结果分为五级，一级最低，五级最高，国内目前通过的最高的DSMM认证等级为4级，5级暂时还没有。

以上是对数据安全治理的一个简单介绍，后面会针对数据安全治理过程中的内容，如分类分级、风险评估和合规检查等内容作详细介绍。