數(shù)據(jù)使用部門(mén)和角色梳理
在數(shù)據(jù)資產(chǎn)的梳理中,需要明確這些數(shù)據(jù)如何被存儲(chǔ)����,需要明確數(shù)據(jù)被哪些部門(mén)、系統(tǒng)、人員使用���,數(shù)據(jù)被如何使用�����。對(duì)于數(shù)據(jù)的存儲(chǔ)和系統(tǒng)的使用�,往往需要通過(guò)自動(dòng)化的工具進(jìn)行 �;而對(duì)于部門(mén)和人員的角色梳理,更多是要在管理規(guī)范文件中體現(xiàn)�。對(duì)于數(shù)據(jù)資產(chǎn)使用角色的梳理,關(guān)鍵是要明確在數(shù)據(jù)安全治理中不同受眾的分工�、權(quán)利和職責(zé)。
組織與職責(zé)���,明確安全管理相關(guān)部門(mén)的角色和責(zé)任�����,一般包括:
安全管理部門(mén):制度制定����、安全檢查�、技術(shù)導(dǎo)入、事件監(jiān)控與處理;
業(yè)務(wù)部門(mén):業(yè)務(wù)人員安全管理����、業(yè)務(wù)人員行為審計(jì)、業(yè)務(wù)合作方管理�;
運(yùn)維部門(mén):運(yùn)維人員行為規(guī)范與管理、運(yùn)維行為審計(jì)�、運(yùn)維第三方管理;
其它:第三方外包��、人事�����、采購(gòu)�、審計(jì)等部門(mén)管理�。
數(shù)據(jù)治理的角色與分工,需要明確關(guān)鍵部門(mén)內(nèi)不同角色的職責(zé)�,包括:
安全管理部門(mén):政策制定者、檢查與審計(jì)管理�����、技術(shù)導(dǎo)入者業(yè)務(wù)部門(mén):根據(jù)單位的業(yè)務(wù)職能劃分
運(yùn)維部門(mén):運(yùn)行維護(hù)�����、開(kāi)發(fā)測(cè)試、生產(chǎn)支撐
數(shù)據(jù)的存儲(chǔ)與分布梳理
敏感數(shù)據(jù)在什么數(shù)據(jù)庫(kù)中分布著��,是實(shí)現(xiàn)管控的關(guān)鍵��。
只有清楚敏感數(shù)據(jù)在什么庫(kù)中分布��,才能知道需要對(duì)什么樣的庫(kù)實(shí)現(xiàn)怎樣的管控策略��;對(duì)該庫(kù)的運(yùn)維人員實(shí)現(xiàn)怎樣的管控措施�;對(duì)該庫(kù)的數(shù)據(jù)導(dǎo)出,實(shí)現(xiàn)怎樣的模糊化策略���;對(duì)該庫(kù)數(shù)據(jù)的存儲(chǔ)實(shí)現(xiàn)怎樣的加密要求�。
數(shù)據(jù)的使用狀況梳理
在清楚了數(shù)據(jù)的存儲(chǔ)分布的基礎(chǔ)上�,還需要掌握數(shù)據(jù)被什么業(yè)務(wù)系統(tǒng)訪(fǎng)問(wèn)。只有明確了數(shù)據(jù)被什么業(yè)務(wù)系統(tǒng)訪(fǎng)問(wèn)�,才能更準(zhǔn)確地制訂這些業(yè)務(wù)系統(tǒng)的工作人員對(duì)敏感數(shù)據(jù)訪(fǎng)問(wèn)的權(quán)限策略和管控措施。
| 大類(lèi) | 原有信息分類(lèi) | 包含的客戶(hù)信息 |
| 業(yè)務(wù)支撐 | BOSS | 政企客戶(hù)資料�、個(gè)人客戶(hù)資料、各類(lèi)特殊名單�����、用戶(hù)密碼、詳單�、賬單、客戶(hù)消費(fèi)信息���、基本業(yè)務(wù)訂購(gòu)關(guān)系�����、增值業(yè)務(wù)(含數(shù)據(jù)業(yè)務(wù))訂購(gòu)關(guān)系��、增值業(yè)務(wù)信息��、統(tǒng)計(jì)報(bào)表�����、渠道及合作伙伴資料����、資源數(shù)據(jù) |
| EDA | 政企客戶(hù)資料����、個(gè)人客戶(hù)資料����、各類(lèi)特殊名單�、用戶(hù)密碼�、詳單、賬單����、客戶(hù)消費(fèi)信息、基本業(yè)務(wù)訂購(gòu)關(guān)系�、增值業(yè)務(wù)(含數(shù)據(jù)業(yè)務(wù))訂購(gòu)關(guān)系、增值業(yè)務(wù)信息�、統(tǒng)計(jì)報(bào)表、渠道及合作伙伴資料��、資源數(shù)據(jù) |
| 客戶(hù)服務(wù)平臺(tái) | 可獲取的信息:詳單��、客戶(hù)資料 |
| 網(wǎng)管系統(tǒng) | 可獲取的信息:位置信息 |
| 通信系統(tǒng) | 短信網(wǎng)關(guān) | 短信記錄����,短信內(nèi)容 |
| ISAG | 彩信記錄,彩信內(nèi)容 |
| HLR | 客戶(hù)當(dāng)前位置信息���、用戶(hù)狀態(tài) |
| WAP網(wǎng)關(guān) | 客戶(hù)上網(wǎng)記錄�、彩信記錄 |
| 端局 | 原始話(huà)單文件�、位置信息 |
| 關(guān)口局 | 原始話(huà)單文件 |
| 業(yè)務(wù)平臺(tái) | ISMP-BMW | 訂購(gòu)關(guān)系 |
| 終端自注冊(cè)平臺(tái) | 終端型號(hào)信息 |
| 天翼live | 通訊記錄 |
| 協(xié)同通信平臺(tái) | 通訊記錄 |
| 基地平臺(tái) | 訂購(gòu)關(guān)系�����、行為 |
圖5某運(yùn)營(yíng)商對(duì)敏感系統(tǒng)分布的梳理結(jié)果
以運(yùn)營(yíng)商行業(yè)上述梳理結(jié)果為例����,這僅僅是一個(gè)數(shù)據(jù)梳理的基礎(chǔ)�����,更重要的是要梳理出不同的業(yè)務(wù)系統(tǒng)對(duì)這些敏感信息訪(fǎng)問(wèn)的基本特征�,如訪(fǎng)問(wèn)的時(shí)間、IP�����、 訪(fǎng)問(wèn)的次數(shù)�、 操作行為類(lèi)型、 數(shù)據(jù)操作批量行為等�����, 在這些基本特征的基礎(chǔ)上����,完成數(shù)據(jù)管控策略的制訂。
產(chǎn)品咨詢(xún):4000 258 365 
