數(shù)據(jù)使用部門和角色梳理
在數(shù)據(jù)資產(chǎn)的梳理中����,需要明確這些數(shù)據(jù)如何被存儲����,需要明確數(shù)據(jù)被哪些部門、系統(tǒng)��、人員使用�����,數(shù)據(jù)被如何使用�。對于數(shù)據(jù)的存儲和系統(tǒng)的使用,往往需要通過自動化的工具進行 ����;而對于部門和人員的角色梳理����,更多是要在管理規(guī)范文件中體現(xiàn)���。對于數(shù)據(jù)資產(chǎn)使用角色的梳理��,關(guān)鍵是要明確在數(shù)據(jù)安全治理中不同受眾的分工�����、權(quán)利和職責(zé)����。
組織與職責(zé)��,明確安全管理相關(guān)部門的角色和責(zé)任�,一般包括:
安全管理部門:制度制定、安全檢查�����、技術(shù)導(dǎo)入����、事件監(jiān)控與處理��;
業(yè)務(wù)部門:業(yè)務(wù)人員安全管理�、業(yè)務(wù)人員行為審計����、業(yè)務(wù)合作方管理;
運維部門:運維人員行為規(guī)范與管理��、運維行為審計�����、運維第三方管理�;
其它:第三方外包�、人事、采購��、審計等部門管理����。
數(shù)據(jù)治理的角色與分工,需要明確關(guān)鍵部門內(nèi)不同角色的職責(zé)�,包括:
安全管理部門:政策制定者、檢查與審計管理��、技術(shù)導(dǎo)入者業(yè)務(wù)部門:根據(jù)單位的業(yè)務(wù)職能劃分
運維部門:運行維護、開發(fā)測試�、生產(chǎn)支撐
數(shù)據(jù)的存儲與分布梳理
敏感數(shù)據(jù)在什么數(shù)據(jù)庫中分布著,是實現(xiàn)管控的關(guān)鍵�����。
只有清楚敏感數(shù)據(jù)在什么庫中分布��,才能知道需要對什么樣的庫實現(xiàn)怎樣的管控策略�����;對該庫的運維人員實現(xiàn)怎樣的管控措施�����;對該庫的數(shù)據(jù)導(dǎo)出�,實現(xiàn)怎樣的模糊化策略;對該庫數(shù)據(jù)的存儲實現(xiàn)怎樣的加密要求�。
數(shù)據(jù)的使用狀況梳理
在清楚了數(shù)據(jù)的存儲分布的基礎(chǔ)上,還需要掌握數(shù)據(jù)被什么業(yè)務(wù)系統(tǒng)訪問�����。只有明確了數(shù)據(jù)被什么業(yè)務(wù)系統(tǒng)訪問���,才能更準(zhǔn)確地制訂這些業(yè)務(wù)系統(tǒng)的工作人員對敏感數(shù)據(jù)訪問的權(quán)限策略和管控措施����。
| 大類 | 原有信息分類 | 包含的客戶信息 |
| 業(yè)務(wù)支撐 | BOSS | 政企客戶資料、個人客戶資料����、各類特殊名單、用戶密碼�、詳單、賬單���、客戶消費信息���、基本業(yè)務(wù)訂購關(guān)系�、增值業(yè)務(wù)(含數(shù)據(jù)業(yè)務(wù))訂購關(guān)系、增值業(yè)務(wù)信息��、統(tǒng)計報表����、渠道及合作伙伴資料、資源數(shù)據(jù) |
| EDA | 政企客戶資料����、個人客戶資料����、各類特殊名單�、用戶密碼、詳單�����、賬單�����、客戶消費信息��、基本業(yè)務(wù)訂購關(guān)系�����、增值業(yè)務(wù)(含數(shù)據(jù)業(yè)務(wù))訂購關(guān)系�����、增值業(yè)務(wù)信息、統(tǒng)計報表�、渠道及合作伙伴資料、資源數(shù)據(jù) |
| 客戶服務(wù)平臺 | 可獲取的信息:詳單�����、客戶資料 |
| 網(wǎng)管系統(tǒng) | 可獲取的信息:位置信息 |
| 通信系統(tǒng) | 短信網(wǎng)關(guān) | 短信記錄���,短信內(nèi)容 |
| ISAG | 彩信記錄��,彩信內(nèi)容 |
| HLR | 客戶當(dāng)前位置信息����、用戶狀態(tài) |
| WAP網(wǎng)關(guān) | 客戶上網(wǎng)記錄���、彩信記錄 |
| 端局 | 原始話單文件���、位置信息 |
| 關(guān)口局 | 原始話單文件 |
| 業(yè)務(wù)平臺 | ISMP-BMW | 訂購關(guān)系 |
| 終端自注冊平臺 | 終端型號信息 |
| 天翼live | 通訊記錄 |
| 協(xié)同通信平臺 | 通訊記錄 |
| 基地平臺 | 訂購關(guān)系、行為 |
圖5某運營商對敏感系統(tǒng)分布的梳理結(jié)果
以運營商行業(yè)上述梳理結(jié)果為例�����,這僅僅是一個數(shù)據(jù)梳理的基礎(chǔ)����,更重要的是要梳理出不同的業(yè)務(wù)系統(tǒng)對這些敏感信息訪問的基本特征,如訪問的時間����、IP、 訪問的次數(shù)����、 操作行為類型、 數(shù)據(jù)操作批量行為等����, 在這些基本特征的基礎(chǔ)上,完成數(shù)據(jù)管控策略的制訂�����。
產(chǎn)品咨詢:4000 258 365 
