在整個(gè)數(shù)據(jù)安全治理的過(guò)程中�����,最為重要的是實(shí)現(xiàn)數(shù)據(jù)安全策略和流程的制定�����,在企業(yè)或行業(yè)內(nèi)經(jīng)常被作為《某某數(shù)據(jù)安全管理規(guī)范》進(jìn)行發(fā)布����,所有工作流程和技術(shù)支撐都是圍繞著此規(guī)范來(lái)制定和落實(shí)�����。
規(guī)范的出臺(tái)往往需要經(jīng)過(guò)大量的工作才能完成�����,這些工作通常包括:
A�、梳理出組織所需要遵循的外部政策以及與數(shù)據(jù)安全管理相關(guān)的內(nèi)容����;
B�����、根據(jù)該組織的數(shù)據(jù)價(jià)值和特征�,梳理出核心數(shù)據(jù)資產(chǎn),并對(duì)其分級(jí)分類��;
C�����、理清核心數(shù)據(jù)資產(chǎn)使用的狀況(收集���、存儲(chǔ)�����、使用�、流轉(zhuǎn))���;
D�����、分析核心數(shù)據(jù)資產(chǎn)面臨的威脅和使用風(fēng)險(xiǎn)���;
E�����、明確核心數(shù)據(jù)資產(chǎn)訪問(wèn)控制的目標(biāo)和訪問(wèn)控制流程;
F�、制訂出組織對(duì)數(shù)據(jù)安全規(guī)范落實(shí)和安全風(fēng)險(xiǎn)進(jìn)行定期的核查策略。
一�、外部所要遵循的策略
在我國(guó),數(shù)據(jù)安全治理同樣需要遵循國(guó)家級(jí)的安全政策和行業(yè)內(nèi)的安全政策���。舉例如下:
1.網(wǎng)絡(luò)安全法����;
2.等級(jí)保護(hù)政策�;
3.BMB17;
4.行業(yè)相關(guān)的政策要求舉例:
(a) PCI-DSS�����、Sarbanes-Oxley Act(SOX 法案)、 HIPPA �����;
(b) 企業(yè)內(nèi)部控制基本規(guī)范�����;(三會(huì)���、財(cái)政����、審計(jì))
(c) 中央企業(yè)商業(yè)秘密保護(hù)暫行規(guī)定�����;
這些政策通常是在制訂組織內(nèi)部政策時(shí)重點(diǎn)參考的外部政策規(guī)范�。
二、數(shù)據(jù)的分級(jí)分類
數(shù)據(jù)治理主要依據(jù)數(shù)據(jù)的來(lái)源��、內(nèi)容和用途對(duì)數(shù)據(jù)進(jìn)行分類���;按照數(shù)據(jù)的價(jià)值���、內(nèi)容的敏感程度����、影響和分發(fā)范圍不同對(duì)數(shù)據(jù)進(jìn)行敏感級(jí)別劃分����。
| 信息類別 | 信息項(xiàng) | 對(duì)三方價(jià)值 | 事故影響 | 分類定義 |
| 客戶基本資料 | 政企客戶資料 | 牟取暴利 | 造成政企客戶流失、損失巨大 | 機(jī)密數(shù)據(jù) |
| 個(gè)人客戶資料 | 價(jià)值較大 | 造成客戶損失�、損失大 | 敏感數(shù)據(jù) |
| 各類特殊名單 | 牟取暴利 | 造成投訴、損失大 | 敏感數(shù)據(jù) |
| 身份鑒權(quán)信息 | 用戶密碼 | 牟取暴利 | 造成客戶損失�、損失巨大 | 機(jī)密數(shù)據(jù) |
| 客戶通信信息 | 詳單 | 價(jià)值較大 | 造成投訴、損失大 | 敏感數(shù)據(jù) |
| 賬單 | 價(jià)值一般 | 損失一般 | 普通數(shù)據(jù) |
| 客戶當(dāng)前位置信息 | 價(jià)值較大 | 損失一般 | 敏感數(shù)據(jù) |
| 客戶消費(fèi)信息 | 價(jià)值一般 | 損失一般 | 普通數(shù)據(jù) |
| 訂購(gòu)關(guān)系 | 價(jià)值低 | 無(wú)明顯損失 | 普通數(shù)據(jù) |
| 增值業(yè)務(wù)訂購(gòu)關(guān)系 | 價(jià)值低 | 無(wú)明顯損失 | 普通數(shù)據(jù) |
| 增值業(yè)務(wù)信息 | 牟取暴利 | 造成客戶損失���、損失大 | 敏感數(shù)據(jù) |
| 客戶通信內(nèi)容信息 | 客戶通信內(nèi)容記錄 | 牟取暴利 | 客戶私密信息泄露,損失巨大 | 機(jī)密數(shù)據(jù) |
| 移動(dòng)上網(wǎng)內(nèi)容及記錄 | 價(jià)值低 | 損失一般 | 普通數(shù)據(jù) |
| 增值業(yè)務(wù)客戶行為記錄 | 價(jià)值低 | 客戶私密信息泄露���,損失大 | 敏感數(shù)據(jù) |
| 領(lǐng)航平臺(tái)交互信息 | 牟取暴利 | 損失一般 | 敏感數(shù)據(jù) |
圖1 某運(yùn)營(yíng)商對(duì)數(shù)據(jù)分級(jí)分類的結(jié)果
只有對(duì)數(shù)據(jù)進(jìn)行有效分類��,才能夠避免一刀切的控制方式���,在數(shù)據(jù)的安全管理上采用更加精細(xì)的措施,使數(shù)據(jù)在共享使用和安全使用之間獲得平衡�����。
三、數(shù)據(jù)資產(chǎn)狀況的梳理
3.1 數(shù)據(jù)使用部門和角色梳理
在數(shù)據(jù)資產(chǎn)的梳理中�,需要明確這些數(shù)據(jù)如何被存儲(chǔ),數(shù)據(jù)被哪些部門�����、系統(tǒng)��、人員使用�����,數(shù)據(jù)被如何使用���。對(duì)于數(shù)據(jù)的存儲(chǔ)和系統(tǒng)的使用�����,往往需要通過(guò)自動(dòng)化的工具進(jìn)行 ��;而對(duì)于部門和人員的角色梳理��,更多是要在管理規(guī)范文件中體現(xiàn)�。對(duì)于數(shù)據(jù)資產(chǎn)使用角色的梳理,關(guān)鍵要明確在數(shù)據(jù)安全治理中不同受眾的分工����、權(quán)利和職責(zé)。
組織與職責(zé)�����,明確安全管理相關(guān)部門的角色和責(zé)任��,一般包括:
安全管理部門:制度制定����、安全檢查、技術(shù)導(dǎo)入�����、事件監(jiān)控與處理��;
業(yè)務(wù)部門:業(yè)務(wù)人員安全管理�、業(yè)務(wù)人員行為審計(jì)�����、業(yè)務(wù)合作方管理;
運(yùn)維部門:運(yùn)維人員行為規(guī)范與管理�、運(yùn)維行為審計(jì)、運(yùn)維第三方管理���;
其它:第三方外包�����、人事�����、采購(gòu)�、審計(jì)等部門管理����。
數(shù)據(jù)治理的角色與分工,需要明確關(guān)鍵部門內(nèi)不同角色的職責(zé)����,包括:
安全管理部門:政策制定者、檢查與審計(jì)管理�、技術(shù)導(dǎo)入者���;
業(yè)務(wù)部門:根據(jù)單位的業(yè)務(wù)職能劃分;
運(yùn)維部門:運(yùn)行維護(hù)���、開發(fā)測(cè)試���、生產(chǎn)支撐。
3.2 數(shù)據(jù)的存儲(chǔ)與分布梳理
敏感數(shù)據(jù)在什么數(shù)據(jù)庫(kù)中分布著��,是實(shí)現(xiàn)管控的關(guān)鍵�。只有清楚敏感數(shù)據(jù)在什么庫(kù)中分布,才能知道需要對(duì)什么樣的庫(kù)實(shí)現(xiàn)怎樣的管控策略�;對(duì)該庫(kù)的運(yùn)維人員實(shí)現(xiàn)怎樣的管控措施;對(duì)該庫(kù)的數(shù)據(jù)導(dǎo)出����,實(shí)現(xiàn)怎樣的模糊化策略;對(duì)該庫(kù)數(shù)據(jù)的存儲(chǔ)實(shí)現(xiàn)怎樣的加密要求�����。
3.3 數(shù)據(jù)的使用狀況梳理
在清楚了數(shù)據(jù)的存儲(chǔ)分布的基礎(chǔ)上��,還需要掌握數(shù)據(jù)被什么業(yè)務(wù)系統(tǒng)訪問(wèn)��。只有明確了數(shù)據(jù)被什么業(yè)務(wù)系統(tǒng)訪問(wèn)�����,才能更準(zhǔn)確地制訂這些業(yè)務(wù)系統(tǒng)的工作人員對(duì)敏感數(shù)據(jù)訪問(wèn)的權(quán)限策略和管控措施����。
| 大類 | 原有信息分類 | 包含的客戶信息 |
| 業(yè)務(wù)支撐 | BOSS | 政企客戶資料、個(gè)人客戶資料���、各類特殊名單��、用戶密碼��、詳單�����、賬單�、客戶消費(fèi)信息����、基本業(yè)務(wù)訂購(gòu)關(guān)系、增值業(yè)務(wù)(含數(shù)據(jù)業(yè)務(wù))訂購(gòu)關(guān)系����、增值業(yè)務(wù)信息�、統(tǒng)計(jì)報(bào)表�����、渠道及合作伙伴資料�、資源數(shù)據(jù) |
| EDA | 政企客戶資料、個(gè)人客戶資料����、各類特殊名單、用戶密碼�����、詳單��、賬單���、客戶消費(fèi)信息��、基本業(yè)務(wù)訂購(gòu)關(guān)系��、增值業(yè)務(wù)(含數(shù)據(jù)業(yè)務(wù))訂購(gòu)關(guān)系��、增值業(yè)務(wù)信息�、統(tǒng)計(jì)報(bào)表��、渠道及合作伙伴資料�����、資源數(shù)據(jù) |
| 客戶服務(wù)平臺(tái) | 可獲取的信息:詳單���、客戶資料 |
| 網(wǎng)管系統(tǒng) | 可獲取的信息:位置信息 |
| 通信系統(tǒng) | 短信網(wǎng)關(guān) | 短信記錄�����,短信內(nèi)容 |
| ISAG | 彩信記錄��,彩信內(nèi)容 |
| HLR | 客戶當(dāng)前位置信息�、用戶狀態(tài) |
| WAP網(wǎng)關(guān) | 客戶上網(wǎng)記錄����、彩信記錄 |
| 端局 | 原始話單文件、位置信息 |
| 關(guān)口局 | 原始話單文件 |
| 業(yè)務(wù)平臺(tái) | ISMP-BMW | 訂購(gòu)關(guān)系 |
| 終端自注冊(cè)平臺(tái) | 終端型號(hào)信息 |
| live | 通訊記錄 |
| 協(xié)同通信平臺(tái) | 通訊記錄 |
| 基地平臺(tái) | 訂購(gòu)關(guān)系���、行為 |
圖2某運(yùn)營(yíng)商對(duì)敏感系統(tǒng)分布的梳理結(jié)果
以運(yùn)營(yíng)商行業(yè)上述梳理結(jié)果為例���,這僅為數(shù)據(jù)梳理的基礎(chǔ)����,更重要的是梳理出不同的業(yè)務(wù)系統(tǒng)對(duì)這些敏感信息訪問(wèn)的基本特征�����,如訪問(wèn)的時(shí)間�、IP、訪問(wèn)次數(shù)�、操作行為類型、數(shù)據(jù)操作批量行為等���,基于這些基本特征���,完成數(shù)據(jù)管控策略的制定。
數(shù)據(jù)的訪問(wèn)控制
針對(duì)數(shù)據(jù)使用的不同方面�����,需要完成對(duì)數(shù)據(jù)使用的原則和控制策略�,一般包括如下方面:
數(shù)據(jù)訪問(wèn)的賬號(hào)和權(quán)限管理,相關(guān)原則和控制內(nèi)容包括:
(1)專人賬號(hào)管理;
(2)賬號(hào)獨(dú)立原則��;
(3)賬號(hào)授權(quán)審批����;
(4)最小授權(quán)原則;
(5)賬號(hào)回收管理��;
(6)管理行為審計(jì)記錄���;
(7)定期賬號(hào)稽核;
數(shù)據(jù)使用過(guò)程管理中�,相關(guān)原則和控制內(nèi)容包括:
(1)業(yè)務(wù)需要訪問(wèn)原則;
(2)批量操作審批原則����;
(3)高敏感訪問(wèn)審批原則;
(4)批量操作和高敏感訪問(wèn)指定設(shè)備����、地點(diǎn)原則;
(5)訪問(wèn)過(guò)程審計(jì)記錄��;
(6)開發(fā)測(cè)試訪問(wèn)模糊化原則�;
(7)訪問(wèn)行為定期稽核;
數(shù)據(jù)共享(提?���。┕芾?��,相關(guān)原則和控制內(nèi)容包括:
(1)最小共享和模糊化原則;
(2)共享(提?。徟瓌t;
(3)最小使用范圍原則�;
(4)責(zé)任傳遞原則;
(5)定期稽核�����;
數(shù)據(jù)存儲(chǔ)管理����,相關(guān)原則和控制內(nèi)容包括:
(1)不同敏感級(jí)別數(shù)據(jù)存儲(chǔ)的網(wǎng)絡(luò)區(qū)域�����;
(2)敏感數(shù)據(jù)存儲(chǔ)加密���;
(3)備份訪問(wèn)管理;
(4)存儲(chǔ)設(shè)備的移動(dòng)管理;
(5)存儲(chǔ)設(shè)備的銷毀管理�����;
定期的稽核策略
定期的稽核是保證數(shù)據(jù)安全治理規(guī)范落地的關(guān)鍵,也是信息安全管理部門的重要職責(zé)���,包括:
A、合規(guī)性檢查:
確保數(shù)據(jù)安全使用政策被真實(shí)執(zhí)行���;
B�、操作監(jiān)管與稽核:
主要針對(duì)數(shù)據(jù)訪問(wèn)賬號(hào)和權(quán)限的監(jiān)管與稽核��;
要具有賬號(hào)和權(quán)限的報(bào)告�;要具有賬號(hào)和權(quán)限的變化報(bào)告�;
業(yè)務(wù)單位和運(yùn)維部門數(shù)據(jù)訪問(wèn)過(guò)程的合法性監(jiān)管與稽核�����;
要定義異常訪問(wèn)行為特征�����;
要對(duì)數(shù)據(jù)的訪問(wèn)行為具有完全的記錄和分析�;
C���、風(fēng)險(xiǎn)分析與發(fā)現(xiàn):
對(duì)日志進(jìn)行大數(shù)據(jù)分析,發(fā)現(xiàn)潛在異常行為�;
對(duì)數(shù)據(jù)使用過(guò)程進(jìn)行嘗試攻擊�,進(jìn)行數(shù)據(jù)安全性測(cè)試�����。
在整個(gè)數(shù)據(jù)安全治理理念中����,完成數(shù)據(jù)安全治理的策略性文件和系列落地文件�,這將是數(shù)據(jù)安全治理的綱領(lǐng)性文件����,相應(yīng)系列文件規(guī)范中要覆蓋數(shù)據(jù)安全治理的三大需求目標(biāo)和四個(gè)重要環(huán)節(jié),針對(duì)所有與敏感數(shù)據(jù)有接觸的人員的權(quán)限進(jìn)行定義����,就人員對(duì)數(shù)據(jù)訪問(wèn)的過(guò)程提出控制流程。借由這些舉措來(lái)開展數(shù)據(jù)安全治理動(dòng)作��,確保數(shù)據(jù)安全治理工作有綱有領(lǐng)���,穩(wěn)步推進(jìn)����。
產(chǎn)品咨詢:4000 258 365 
