如何看待数据安全治理与数据治理的关系？

下面我来解读一下数据安全治理与数据治理的关系。

数据治理是指从使用零散数据变为使用统一数据、从具有很少或没有组织和流程到企业范围内 的综合数据流转、从尝试处理数据混乱状况到数据井井有条的一个过程；同时又作为组织中涉及数 据使用的一整套管理行为，包括数据治理计划、监控、实施，通过对数据的梳理整合，利用数据驱 动业务，实现企业增值。而数据安全治理则强调从战略层面形成由上而下贯穿组织总体架构的对数 据安全治理目标的共识，关注数据处理全生命周期安全，重视管理与技术措施并举，并能够根据安 全形势、技术发展和演进趋势等的动态变化，对数据安全治理体系进行持续优化。

目前，关于数据安全治理与数据治理的关系有两种主流的解读方式。一种以国际标准（ISO/IEC 38505）数据治理框架和国际数据管理协会（DAMA）的 DAMA-DMBOK 框架为代表，它们认为数据安全 治理是整体数据治理的一个重要组成部分，数据安全治理是数据治理的一个子过程。另一种则认为 数据治理和数据安全治理有一定的关联，但从本质上来说并没有直接的从属关系，二者是平行的方向， 即数据安全治理可独立运作。

GB/T34960.5-2018《信息技术服务治理第 5 部分：数据治理规范》数据治理被明确定义为：“数据资源及其应用过程中相关管控活动、绩效和风险管理的集合。”这项标准还进一步给出了数据治 理的目标、任务和框架等：数据治理是“源于组织的外部监管、内部数据管理及应用的需求”；数 据治理的目标是“保障数据及其应用过程中的运营合规、风险可控和价值实现”，“组织应通过评估、 指导和监督的方法，按照统筹和规划、构建和运行、监控和评价以及改进和优化的过程，实施数据 治理的任务”。

在数据治理的三点目标中，运营合规和风险可控是约束条件，价值实现是追求的结果，合规和 风控既是使数据能最终实现价值的前提，同时又是必要的保障。为此，数据治理框架包含了数据管 理和数据价值两套体系，前者统摄合规与风控，后者则支撑价值实现。在数据治理的框架下，数据 安全是数据管理体系的重要组成部分，组织在实施数据治理的过程中，应“制定数据安全的管理目标、 方针和策略，建立数据安全体系，实施数据安全管控，持续改进数据安全管理能力”。此处的数据 安全概念相对狭义，基本仅限于为数据及其价值实现过程提供安全保障机制的范畴。

如果基于上述狭义的数据安全概念，将数据安全治理解读为以保护数据及其价值实现为目的而 采取的风险评估和安全管控活动，那么，数据安全治理就可视作数据治理概念下专注于安全方面的 子集。但从实际操作上来看，两者之间又有很大的不同：

（1）从发起部门来看： 数据治理主要是由 IT 部门在驱动，而数据安全治理主要是由安全合规部门在驱动。当然两者的 成功都要涉及到业务、运维和管理部门甚至公司最高管理决策层。

（2）从目标上看： 数据治理的目标是数据驱动商业发展，管理企业的数据资产，提升企业数据资产价值。数据安 全治理的目标是让数据的使用更安全，保障数据的安全使用和共享，实质也是保障数据资产价值和 促进数据要素价值释放。

（3）从关注点上看 ：数据治理关注于数据本身的组织以及数据使用传输、业务支撑等场景下的质量、规范、流程与 制度等，数据安全治理则关注于数据在整个生命周期可用性、完整性与机密性的安全保护。

（4）从工作内容产出上看： 数据治理工作产出的一个核心成果就是数据质量提升，通过对数据进行清洗和规范的过程，获 得高质量的数据。数据安全治理的重要产出包括完成对企业数据资产的分类分级，制定合规的安全 访问策略并规划适宜的管控措施。

（5）从数据资产梳理上看 ：数据治理中的主要产出物是元数据，即赋予数据上下文和含义的参考框架。数据安全治理中的 资产梳理，则要明确数据分类分级的标准，弄清敏感数据资产的分布、授权和访问状况。

（6）从结果看: 数据治理是数据质量的提升，通过数据的清洗、规范，获得有价值的数据，而数据安全治理是 基于数据分类分级实现数据的动态防护，保障数据有序流动。

尽管当前在数据治理中也在不断加强对数据安全方面的要求，但相对数据安全治理而言，数据 治理中的安全实践还是常被置于从属角色，如同信息安全在信息化建设中的角色一样，不够系统和深入。近年来，随着包括大数据在内的数据在数字化社会中的重要性不断提升，国家已将数据上升 到新型生产资料和创新要素的高度，数据对安全形成影响的广度和深度已超越单纯为数据掌握者保 护数据自身价值的范畴，例如对个人（数据主体）隐私保护的问题就牵涉到了社会伦理以及关于数 据权益的法律认定，而数据出境等问题更是需要在国家安全层面全盘统筹考虑。

因此这里的数据安全治理将主要关注以保护数据及其价值实现过程安全为目标的风险管控活动， 以达到数据开发利用与安全防护的“一体两翼，双轮驱动”的平衡发展。具体到合规性方面，则将 以全面覆盖和满足国家关于数据安全的所有法律、法规、政策、规范和标准的要求为目标。数据安 全治理工作既可在数据治理的框架下作为一个环节或子过程来开展，也可直接依照本书提出的数据 安全治理框架独立实施。