1
| 本文作者: 李勤 | 2018-05-24 11:25 |
雷鋒網編者按:5 月 22 日,在第二屆中國數據安全治理高峰論壇上,由數據安全治理委員會編寫、數據安全公司安華金和出品的一份《數據安全治理白皮書》正式發布。雷鋒網在梳理該白皮書時,發現一個某運營商如何使用用戶數據的實例,幾天前,一則新聞稱,“美國四大電信運營商均中招,網站漏洞會泄露手機用戶位置”,在敏感的數據時代,用戶數據究竟如何被相關機構使用?雷鋒網從中摘出若干信息,以饗讀者。
注:其中深色是部門,淺色是角色,這個結構中可以看到覆蓋了業務、安全、運維和企業的相關管理支撐部門。
只有對數據進行有效分類,才能避免一刀切的控制方式,在數據的安全管理上采用更加精細的措施,使數據在共享使用和安全使用之間獲得平衡。
數據分級分類的原則:
分類:依據數據的來源、內容和用途對數據進行分類;
分級:按照數據的價值、內容敏感程度、影響和分發范圍不同對數據進行敏感級別劃分。
數據分級分類方式:
根據梳理出的備案數據資產,進行敏感數據的自動探測,通過特征探測定位敏感數據分布在哪些數據資產中;針對敏感的數據資產進行分級分類標記,分類出敏感數據所有者(部門、系統、管理人員等);根據已分類的數據資產由業務部門進行敏感分級,將分類的數據資產劃分公開、內部、敏感等不同的敏感級別。
以下分別為數據分類表和數據分級表:
數據使用部門和角色梳理
對于數據治理的角色與分工,需要明確關鍵部門內不同角色的職責,一般包括:安全管理部門:政策制定者、檢查與審計管理、技術導入者業務部門:根據單位的業務職能劃分運維部門:運行維護、開發測試、生產支撐。
數據的存儲與分布梳理
敏感數據分布在哪里,是實現管控的關鍵。只有清楚敏感數據分布在哪里,才能知道需要實現怎樣的管控策略;比如,針對數據庫這個層面,掌握數據分布在哪個庫、什么樣的庫,才能知道對該庫的運維人員實現怎樣樣的管控措施;對該庫的數據導出實現怎樣的模糊化策略;對該庫數據的存儲實現怎樣的加密要求。
數據的使用狀況梳理
在清楚了數據的存儲分布的基礎上,還需要掌握數據被什么業務系統訪問。只有明確了數據被什么業務系統訪問,才能更準確地制訂這些業務系統的工作人員對敏感數據訪問的權限策略和管控措施。
在數據資產的梳理中,需要明確這些數據如何被存儲,需要明確數據被哪些部門、系統、 人員使用,數據被這些部門、系統和人員如何使用。對于數據的存儲和系統的使用,往往需 要通過自動化的工具進行;而對于部門和人員的角色梳理,更多是要在管理規范文件中體現。
對于數據資產使用角色的梳理,關鍵是要明確在數據安全治理中不同受眾的分工、權利和職責。
組織與職責,明確安全管理相關部門的角色和責任,一般包括:
安全管理部門:制度制定、安全檢查、技術導入、事件監控與處理;
業務部門:業務人員安全管理、業務人員行為審計、業務合作方管理;
運維部門:運維人員行為規范與管理、運維行為審計、運維第三方管理:
其它:第三方外包、人事、采購、審計等部門管理。
以運營商行業上述梳理結果為例,這僅僅是一個數據梳理的基礎,更重要的是要梳理出不同的業務系統對這些敏感信息訪問的基本特征,如訪問的時間、IP、訪問的次數、操作行 為類型、數據操作批量行為等,在這些基本特征的基礎上,完成數據管控策略的制訂。
雷峰網版權文章,未經授權禁止轉載。詳情見轉載須知。
