在“數(shù)字中國(guó)”發(fā)展戰(zhàn)略指引下，數(shù)據(jù)成為經(jīng)濟(jì)發(fā)展的新動(dòng)能，擁抱數(shù)字化變革是企事業(yè)單位的必然選擇。伴隨著數(shù)字業(yè)務(wù)的飛速發(fā)展，數(shù)據(jù)安全治理成為企業(yè)正常發(fā)展的最基本保障?！稊?shù)據(jù)安全法》指出：維護(hù)數(shù)據(jù)安全應(yīng)建立健全數(shù)據(jù)安全治理體系，提高數(shù)據(jù)安全保障能力。數(shù)據(jù)安全治理和數(shù)據(jù)治理經(jīng)常被混淆為一談，雖然很多時(shí)候數(shù)據(jù)治理和安全并沒(méi)有直接關(guān)系，那么今天我們來(lái)分析一下數(shù)據(jù)治理和數(shù)據(jù)安全治理的區(qū)別。

關(guān)注點(diǎn)不同

數(shù)據(jù)治理：關(guān)注于數(shù)據(jù)本身的組織，使用和傳輸、業(yè)務(wù)支撐等場(chǎng)景下的質(zhì)量、規(guī)范、流程與制度等。

數(shù)據(jù)安全治理：關(guān)注于數(shù)據(jù)在整個(gè)生命周期可用性、完整性與機(jī)密性的安全保護(hù)，以數(shù)據(jù)業(yè)務(wù)屬性為始，數(shù)據(jù)的分級(jí)分類為核心，從數(shù)據(jù)存放位置為核心，建立以數(shù)據(jù)為中心的安全架構(gòu)體系。

輸出不同

數(shù)據(jù)治理的主要輸出是制度、管理規(guī)章、規(guī)范等。

數(shù)據(jù)安全治理的輸出包括數(shù)據(jù)的分級(jí)分類，安全使用規(guī)范，數(shù)據(jù)的可視化、監(jiān)控和發(fā)現(xiàn)要求等，以及最終如何采用技術(shù)手段推動(dòng)人和流程的落地。

參考標(biāo)準(zhǔn)/依據(jù)不同

數(shù)據(jù)治理參考標(biāo)準(zhǔn)

▼國(guó)際標(biāo)準(zhǔn)化組織 (ISO/IEC) 38505數(shù)據(jù)治理框架；

▼ 國(guó)際數(shù)據(jù)管理協(xié)會(huì)（CDMA）DAMA-DMBOK框架；

▼國(guó)際數(shù)據(jù)治理研究所（DGI）DGI數(shù)據(jù)治理框架；

▼ IBM數(shù)據(jù)治理委員會(huì)（IBMDGA）數(shù)據(jù)治理成熟度模型；

▼中國(guó)電子工業(yè)標(biāo)準(zhǔn)化技術(shù)協(xié)會(huì)信息技術(shù)服務(wù)分會(huì)（ITSS）數(shù)據(jù)治理規(guī)范。

數(shù)據(jù)安全治理參考標(biāo)準(zhǔn)

目前已成型的參考標(biāo)準(zhǔn)分別有以下兩套標(biāo)準(zhǔn)，分別是：

▼DGPC：微軟的專門強(qiáng)調(diào)隱私、保密和合規(guī)的數(shù)據(jù)安全治理框架，主要圍繞“人員、流程、技術(shù)”三個(gè)核心能力領(lǐng)域的具體控制要求展開，與現(xiàn)有安全框架體系或標(biāo)準(zhǔn)協(xié)調(diào)合作以實(shí)現(xiàn)治理目標(biāo)。

結(jié)果不同

數(shù)據(jù)治理的最終目標(biāo)是提高數(shù)據(jù)的質(zhì)量從而提升數(shù)據(jù)的價(jià)值， 數(shù)據(jù)治理完成后的結(jié)果通常是業(yè)務(wù)系統(tǒng)的改造工作。

數(shù)據(jù)安全治理完成后的結(jié)果通常是在同一數(shù)據(jù)安全策略下選擇不同的技術(shù)產(chǎn)品來(lái)實(shí)現(xiàn)數(shù)據(jù)安全保護(hù)。

視角不同

數(shù)據(jù)治理的視角

數(shù)據(jù)治理指利用數(shù)據(jù)驅(qū)動(dòng)業(yè)務(wù)，實(shí)現(xiàn)企業(yè)增值。數(shù)據(jù)治理的智能化程度，決定了企業(yè)數(shù)字化轉(zhuǎn)型的加速度。數(shù)據(jù)資產(chǎn)依賴于數(shù)據(jù)治理，而企業(yè)數(shù)據(jù)資產(chǎn)問(wèn)題歸根結(jié)底是由于企業(yè)中對(duì)外數(shù)據(jù)缺少統(tǒng)一而為的組織、制度、流程的管控、引起的“數(shù)據(jù)孤島”問(wèn)題。

數(shù)據(jù)治理的范疇更為全面，比如有哪些數(shù)據(jù)，分布在哪里，能不能取到，被誰(shuí)使用，價(jià)值/成本/收益如何。

數(shù)據(jù)安全治理本質(zhì)是數(shù)字化業(yè)務(wù)的需求。

數(shù)據(jù)安全治理的視角

Gartner提出，數(shù)據(jù)安全治理不僅僅是一套用工具組合的產(chǎn)品級(jí)解決方案，是從決策層到技術(shù)層，從管理制度到工具支撐，自上而下貫穿整個(gè)組織架構(gòu)的完整鏈條。組織內(nèi)的各個(gè)層級(jí)之間需要對(duì)數(shù)據(jù)安全治理的目標(biāo)和宗旨取得共識(shí)，確保采取合理和適當(dāng)?shù)拇胧宰钣行У姆绞奖Ｗo(hù)信息資源。

數(shù)據(jù)治理的特點(diǎn)

數(shù)據(jù)治理并非適用于任何企業(yè)。任何企業(yè)都在使用、產(chǎn)生數(shù)據(jù)。如果數(shù)據(jù)是一次性使用的、數(shù)據(jù)的產(chǎn)生僅僅是副產(chǎn)品，那么數(shù)據(jù)治理就無(wú)太大意義，應(yīng)用本身對(duì)相關(guān)數(shù)據(jù)進(jìn)行控制就足夠。

數(shù)據(jù)共享體現(xiàn)價(jià)值需要規(guī)范框架約束。如果數(shù)據(jù)不僅僅與特定的應(yīng)用相關(guān)，還會(huì)在更大的范圍內(nèi)共享，特別是整個(gè)企業(yè)范圍內(nèi)共享，如企業(yè)的數(shù)字化轉(zhuǎn)型，那么就不能任由個(gè)人或部門各行其是地處置他們的數(shù)據(jù)，數(shù)據(jù)活動(dòng)需要在一個(gè)企業(yè)的規(guī)范框架約束下進(jìn)行。

數(shù)據(jù)資產(chǎn)的安全性需要企業(yè)安全策略框架。如果數(shù)據(jù)是敏感或關(guān)鍵性的，那么使用、傳輸或存儲(chǔ)這類的數(shù)據(jù)，會(huì)需要特別的處置，這種情況下也不能任由個(gè)人或部門各行其是，而是需要在一個(gè)企業(yè)的安全策略框架約束下進(jìn)行。

企業(yè)數(shù)據(jù)治理的本質(zhì)是建立/維護(hù)一組企業(yè)的“數(shù)據(jù)法規(guī)”，由這些法規(guī)來(lái)規(guī)范企業(yè)所有人員的數(shù)據(jù)活動(dòng)。

數(shù)據(jù)安全治理的特點(diǎn)

● 以人和數(shù)據(jù)為中心，專注于數(shù)據(jù)的全生命周期安全；

● 首先通過(guò)風(fēng)險(xiǎn)與業(yè)務(wù)平衡識(shí)別，以數(shù)據(jù)分類分級(jí)、數(shù)據(jù)保護(hù)、監(jiān)控及追溯、身份認(rèn)證為中心，形成完整的數(shù)據(jù)應(yīng)用處理保護(hù)鏈，并考慮企業(yè)在數(shù)字化轉(zhuǎn)型架構(gòu)下各種風(fēng)險(xiǎn)管理場(chǎng)景，如數(shù)據(jù)流、數(shù)據(jù)庫(kù)、大數(shù)據(jù)、文件、云環(huán)境、各種終端等；

● 將管理、技術(shù)與流程融合，建立自動(dòng)化，持續(xù)性，自適應(yīng)安全體系；

總  結(jié)

數(shù)據(jù)治理和數(shù)據(jù)安全治理有一定的關(guān)聯(lián)，從本質(zhì)上來(lái)說(shuō)并沒(méi)有直接的從屬關(guān)系，而是不同的實(shí)施方向；面對(duì)數(shù)據(jù)資產(chǎn)問(wèn)題的時(shí)候，安全是其中的一個(gè)環(huán)節(jié)。數(shù)據(jù)安全治理是數(shù)據(jù)治理的一個(gè)過(guò)程，是企業(yè)數(shù)字轉(zhuǎn)型中必然經(jīng)歷的階段，數(shù)據(jù)安全治理可獨(dú)立實(shí)施。數(shù)據(jù)安全治理是數(shù)據(jù)安全領(lǐng)域數(shù)據(jù)、業(yè)務(wù)、安全、技術(shù)、管理的集合。