在數(shù)據(jù)安全治理過程中,數(shù)據(jù)資產(chǎn)的梳理是關(guān)鍵的一步��,只有明確數(shù)據(jù)資產(chǎn)在被哪些部門���、哪些人員如何使用��,才能真正保證數(shù)據(jù)在使用中的安全����。
數(shù)據(jù)使用部門和角色梳理
在數(shù)據(jù)資產(chǎn)的梳理中��,需要明確這些數(shù)據(jù)如何被存儲(chǔ)��,需要明確數(shù)據(jù)被哪些部門�����、系統(tǒng)�、人員使用,數(shù)據(jù)被這些部門��、系統(tǒng)和人員如何使用�����。對(duì)于數(shù)據(jù)的存儲(chǔ)和系統(tǒng)的使用���,往往需要通過自動(dòng)化的工具進(jìn)行����;而對(duì)于部門和人員的角色梳理��,更多是要在管理規(guī)范文件中體現(xiàn)����。
對(duì)于數(shù)據(jù)資產(chǎn)使用角色的梳理,關(guān)鍵是要明確在數(shù)據(jù)安全治理中不同受眾的分工�����、權(quán)利和職責(zé)��。
組織與職責(zé)����,明確安全管理相關(guān)部門的角色和責(zé)任,一般包括:
安全管理部門:制度制定、安全檢查���、技術(shù)導(dǎo)入��、事件監(jiān)控與處理����;
業(yè)務(wù)部門:業(yè)務(wù)人員安全管理��、業(yè)務(wù)人員行為審計(jì)�、業(yè)務(wù)合作方管理;
運(yùn)維部門:運(yùn)維人員行為規(guī)范與管理���、運(yùn)維行為審計(jì)�����、運(yùn)維第三方管理�;
其它:第三方外包�、人事、采購�����、審計(jì)等部門管理。
對(duì)于數(shù)據(jù)治理的角色與分工��,需要明確關(guān)鍵部門內(nèi)不同角色的職責(zé)���,一般包括:
安全管理部門:政策制定者、檢查與審計(jì)管理��、技術(shù)導(dǎo)入者
業(yè)務(wù)部門:根據(jù)單位的業(yè)務(wù)職能劃分
運(yùn)維部門:運(yùn)行維護(hù)�����、開發(fā)測(cè)試�����、生產(chǎn)支撐
數(shù)據(jù)的存儲(chǔ)與分布梳理
敏感數(shù)據(jù)分布在哪里�����,是實(shí)現(xiàn)管控的關(guān)鍵���。
只有清楚敏感數(shù)據(jù)分布在哪里���,才能知道需要實(shí)現(xiàn)怎樣的管控策略;比如,針對(duì)數(shù)據(jù)庫這個(gè)層面��,掌握數(shù)據(jù)分布在哪個(gè)庫�、什么樣的庫,才能知道對(duì)該庫的運(yùn)維人員實(shí)現(xiàn)怎樣樣的管控措施�;對(duì)該庫的數(shù)據(jù)導(dǎo)出實(shí)現(xiàn)怎樣的模糊化策略;對(duì)該庫數(shù)據(jù)的存儲(chǔ)實(shí)現(xiàn)怎樣的加密要求����。
數(shù)據(jù)的使用狀況梳理
在清楚了數(shù)據(jù)的存儲(chǔ)分布的基礎(chǔ)上,還需要掌握數(shù)據(jù)被什么業(yè)務(wù)系統(tǒng)訪問����。只有明確了數(shù)據(jù)被什么業(yè)務(wù)系統(tǒng)訪問,才能更準(zhǔn)確地制訂這些業(yè)務(wù)系統(tǒng)的工作人員對(duì)敏感數(shù)據(jù)訪問的權(quán)限策略和管控措施����。
某運(yùn)營(yíng)商對(duì)敏感系統(tǒng)分布的梳理結(jié)果
以運(yùn)營(yíng)商行業(yè)上述梳理結(jié)果為例,這僅僅是一個(gè)數(shù)據(jù)梳理的基礎(chǔ)����,更重要的是要梳理出不同的業(yè)務(wù)系統(tǒng)對(duì)這些敏感信息訪問的基本特征,如訪問的時(shí)間��、IP���、訪問的次數(shù)���、操作行為類型����、數(shù)據(jù)操作批量行為等��,在這些基本特征的基礎(chǔ)上�,完成數(shù)據(jù)管控策略的制訂����。最終實(shí)現(xiàn)對(duì)于敏感數(shù)據(jù)資產(chǎn)的安全管控,從而保障數(shù)據(jù)在使用中的安全�。
產(chǎn)品咨詢:4000 258 365 
