5 月 22 日,在第二屆中國資料安全治理高峰論壇上,由資料安全治理委員會編寫、資料安全公司安華金和出品的一份《資料安全治理白皮書》正式釋出。雷鋒網在梳理該白皮書時,發現一個某營運商如何使用使用者資料的執行個體,幾天前,一則新聞稱,“美國四大電信營運商均中招,網站漏洞會洩露手機使用者位置”,在敏感的資料時代,使用者資料究竟如何被相關機構使用?雷鋒網從中摘出若幹資訊,以飨讀者。
1.某營運商的資料安全治理的相關組織和角色結構圖注:其中深色是部門,淺色是角色,這個結構中可以看到覆寫了業務、安全、運維和企業的相關管理支撐部門。
2.某營運商對資料分級分類的結果隻有對資料進行有效分類,才能避免一刀切的控制方式,在資料的安全管理上采用更加精細的措施,使資料在共享使用和安全使用之間獲得平衡。
資料分級分類的原則:
分類:依據資料的來源、内容和用途對資料進行分類; 分級:按照資料的價值、内容敏感程度、影響和分發範圍不同對資料進行敏感級别劃分。
資料分級分類方式:
根據梳理出的備案資料資産,進行敏感資料的自動探測,通過特征探測定位敏感資料分布在哪些資料資産中;針對敏感的資料資産進行分級分類标記,分類出敏感資料所有者(部門、系統、管理人員等);根據已分類的資料資産由業務部門進行敏感分級,将分類的資料資産劃分公開、内部、敏感等不同的敏感級别。
以下分别為資料分類表和資料分級表:
3.某營運商對敏感系統分布的梳理結果資料使用部門和角色梳理
對于資料治理的角色與分工,需要明确關鍵部門内不同角色的職責,一般包括:安全管理部門:政策制定者、檢查與審計管理、技術導入者業務部門:根據機關的業務職能劃分運維部門:運作維護、開發測試、生産支撐。
資料的存儲與分布梳理
敏感資料分布在哪裡,是實作管控的關鍵。隻有清楚敏感資料分布在哪裡,才能知道需要實作怎樣的管控政策;比如,針對資料庫這個層面,掌握資料分布在哪個庫、什麼樣的庫,才能知道對該庫的運維人員實作怎樣樣的管控措施;對該庫的資料導出實作怎樣的模糊化政策;對該庫資料的存儲實作怎樣的加密要求。
資料的使用狀況梳理
在清楚了資料的存儲分布的基礎上,還需要掌握資料被什麼業務系統通路。隻有明确了資料被什麼業務系統通路,才能更準确地制訂這些業務系統的從業人員對敏感資料通路的權限政策和管控措施。
在資料資産的梳理中,需要明确這些資料如何被存儲,需要明确資料被哪些部門、系統、 人員使用,資料被這些部門、系統和人員如何使用。對于資料的存儲和系統的使用,往往需 要通過自動化的工具進行;而對于部門和人員的角色梳理,更多是要在管理規範檔案中展現。
對于資料資産使用角色的梳理,關鍵是要明确在資料安全治理中不同閱聽人的分工、權利和職責。
組織與職責,明确安全管理相關部門的角色和責任,一般包括:
安全管理部門:制度制定、安全檢查、技術導入、事件監控與處理;
業務部門:業務人員安全管理、業務人員行為審計、業務合作方管理;
運維部門:運維人員行為規範與管理、運維行為審計、運維第三方管理:
其它:第三方外包、人事、采購、審計等部門管理。
以營運商行業上述梳理結果為例,這僅僅是一個資料梳理的基礎,更重要的是要梳理出不同的業務系統對這些敏感資訊通路的基本特征,如通路的時間、IP、通路的次數、操作行 為類型、資料操作批量行為等,在這些基本特征的基礎上,完成資料管控政策的制訂。
原文釋出時間為:2018-05-24
本文作者:李勤
本文來自雲栖社群合作夥伴“
雷鋒網”,了解相關資訊可以關注“
”。
![更改LYNC SIP位址[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)