在數(shù)據(jù)安全治理過程中�,數(shù)據(jù)資產(chǎn)的梳理是關(guān)鍵的一步�����,只有明確數(shù)據(jù)資產(chǎn)在被哪些部門��、哪些人員如何使用����,才能真正保證數(shù)據(jù)在使用中的安全。
數(shù)據(jù)使用部門和角色梳理
在數(shù)據(jù)資產(chǎn)的梳理中����,需要明確這些數(shù)據(jù)如何被存儲,需要明確數(shù)據(jù)被哪些部門�、系統(tǒng)、人員使用�����,數(shù)據(jù)被這些部門�����、系統(tǒng)和人員如何使用。對于數(shù)據(jù)的存儲和系統(tǒng)的使用�����,往往需要通過自動化的工具進行��;而對于部門和人員的角色梳理��,更多是要在管理規(guī)范文件中體現(xiàn)���。
對于數(shù)據(jù)資產(chǎn)使用角色的梳理�,關(guān)鍵是要明確在數(shù)據(jù)安全治理中不同受眾的分工��、權(quán)利和職責(zé)�。
組織與職責(zé)��,明確安全管理相關(guān)部門的角色和責(zé)任���,一般包括:
安全管理部門:制度制定���、安全檢查���、技術(shù)導(dǎo)入、事件監(jiān)控與處理���;
業(yè)務(wù)部門:業(yè)務(wù)人員安全管理����、業(yè)務(wù)人員行為審計�����、業(yè)務(wù)合作方管理���;
運維部門:運維人員行為規(guī)范與管理��、運維行為審計����、運維第三方管理��;
其它:第三方外包����、人事��、采購���、審計等部門管理。
對于數(shù)據(jù)治理的角色與分工�����,需要明確關(guān)鍵部門內(nèi)不同角色的職責(zé)�,一般包括:
安全管理部門:政策制定者、檢查與審計管理��、技術(shù)導(dǎo)入者
業(yè)務(wù)部門:根據(jù)單位的業(yè)務(wù)職能劃分
運維部門:運行維護��、開發(fā)測試��、生產(chǎn)支撐
數(shù)據(jù)的存儲與分布梳理
敏感數(shù)據(jù)分布在哪里�,是實現(xiàn)管控的關(guān)鍵。
只有清楚敏感數(shù)據(jù)分布在哪里�,才能知道需要實現(xiàn)怎樣的管控策略����;比如,針對數(shù)據(jù)庫這個層面,掌握數(shù)據(jù)分布在哪個庫��、什么樣的庫����,才能知道對該庫的運維人員實現(xiàn)怎樣樣的管控措施;對該庫的數(shù)據(jù)導(dǎo)出實現(xiàn)怎樣的模糊化策略��;對該庫數(shù)據(jù)的存儲實現(xiàn)怎樣的加密要求�。
數(shù)據(jù)的使用狀況梳理
在清楚了數(shù)據(jù)的存儲分布的基礎(chǔ)上,還需要掌握數(shù)據(jù)被什么業(yè)務(wù)系統(tǒng)訪問����。只有明確了數(shù)據(jù)被什么業(yè)務(wù)系統(tǒng)訪問,才能更準(zhǔn)確地制訂這些業(yè)務(wù)系統(tǒng)的工作人員對敏感數(shù)據(jù)訪問的權(quán)限策略和管控措施���。
某運營商對敏感系統(tǒng)分布的梳理結(jié)果
以運營商行業(yè)上述梳理結(jié)果為例����,這僅僅是一個數(shù)據(jù)梳理的基礎(chǔ)����,更重要的是要梳理出不同的業(yè)務(wù)系統(tǒng)對這些敏感信息訪問的基本特征,如訪問的時間�����、IP、訪問的次數(shù)����、操作行為類型、數(shù)據(jù)操作批量行為等���,在這些基本特征的基礎(chǔ)上�����,完成數(shù)據(jù)管控策略的制訂���。最終實現(xiàn)對于敏感數(shù)據(jù)資產(chǎn)的安全管控,從而保障數(shù)據(jù)在使用中的安全�。
產(chǎn)品咨詢:4000 258 365 
