[数据知识]DAMA数据管理—数据安全管理
本篇介绍[数据知识]DAMA数据管理知识体系—数据安全管理篇的学习心得,供大家学习和参考。
[核心要点]
数据安全管理是计划、制定、执行相关安全策略和规程,确保数据和信息资产在使用过程中有恰当的认证、授权、访问和审计等措施。
目标:
- 为数据资产读取和变更提供合适的方法、阻止不合适的方法;
- 实现监管对隐私性和机密性的要求;
- 确保实现所有利益相关者隐私性和机密性需求。
概念和活动
数据安全管理的最终目标是保护信息资产符合隐私及保密法规要求,并与业务要求相一致。相关要求来源于:利益相关者的关注、政府法规、特定业务关注、合法访问需求。
数据安全要求和相关规程(4A):认证、授权、访问、审计。
- 理解数据安全需要和监管要求。包括:业务要求和法规要求。业务要求重点对业务规则和流程定义了安全接触点,业务流程中对事件提出安全要求,数据到流程和数据到角色的关系矩阵,可以引导数据安全角色、参数、权限定义。法规要求,则提出对相关信息安全法案的遵从。
- 定义数据安全策略。数据安全策略,是以数据为中心,其性质更为精细,例如:定义个别应用程序、数据库角色、用户组和密码标准。
- 定义数据安全标准。组织应结合自身的安全控制策略,制定数据安全执行标准,满足4A要求,提供执行策略和手段。
- 定义数据安全控制及措施。通常是DBA的工作职责,保障组织实施适当的控制满足相关法规目标。
- 管理用户密码和用户组成员。制定安全角色层级,对用户和用户组进行角色授权、管理、维护、变更等,构建密码标准和相关规程。
- 管理数据访问视图和权限。结合数据需求和托管权限,采用基于角色的访问控制授权机制。
- 监控用户身份认证和访问行为。目的在于符合合规审计要求、弥补数据安全规划、设计和实施中的漏洞。
- 划分信息密级。典型5级:公众级、内部使用、机密、受限机密、注册机密。信息机密划分是元数据的最重要属性,指导赋予用户存取权限。
- 审计数据安全。是一项控制活动,负责经常性分析、验证、讨论、建议数据安全管理相关的政策、标准和活动。审计是一项支持性、重复性的过程,审计人员独立于审计所涉及的数据和流程。
外包项目的数据安全
任何形式的外包都增加了组织风险,工作的责任必然由组织自行承担。需要有严格的风险管理和控制机制,可以通过构建CRUD(创建、读取、更新和删除)矩阵,对业务流程、应用、角色、组织的数据进行信息流的追踪和监管。RACI(执行、负责、咨询、知会)矩阵,对角色职责进行澄清和数据安全管理需求责任划分,明确各方责任和所有权,为整体数据安全策略及其实施提供支持。
综述
- 指导原则。15项原则。
- 过程总结。9个管理活动。重点包括数据安全数据、策略、标准、控制措施、角色、视图与权限、访问控制、信息密级、审计几个方面。
- 组织和文化问题。消极被动的应付数据安全问题;需要平衡数据安全和利益相关者的需求;成功的数据安全管理依赖克服管理变革的文化瓶颈。
[观点解读]
通过对以上内容的学习,"数据小兵"对于要点补充解读如下:
书中强调数据安全管理是计划、制定、执行相关安全策略和规程,确保数据和信息资产在使用过程中有恰当的认证、授权、访问和审计等措施。重点讨论了数据安全的管理方法、要求和相关规程。相关管理活动从定义数据安全需求入手、定义数据安全策略、标准、控制及措施,并应用用户角色、密码标准、访问控制、信息密级以及数据安全审计,从管理角度提出重点管控环节。目的是通过业务战略、业务目标、数据战略的理解,制定数据安全政策、数据机密和保密标准,获得用户成员档案及权限、控制、访问视图,制定常规数据安全审计控制活动等。
"数据小兵"结合近日,2017数博会"大数据安全产业实践高峰论坛"上,全国信息安全标准化技术委员会等部门制定了用于组织机构数据安全能力的评估标准—《大数据安全能力成熟度模型》 该标准由"阿里巴巴"提出,进行扩展。国家提出"大数据安全成熟度"围绕数据全生命周期(数据采集、存储、传输、处理、交换、销毁),在数据安全制度流程、人员能力、组织建设、技术工具四个维度上不断提升企业数据能力,定义了5级:1-非正式执行;2-计划跟踪;3-充分定义;4-量化控制;5-持续优化。其数据安全能力成熟度模型是基于能力成熟度(CMM)思想构建的。成熟度模型对数据生命周期各个阶段的企业数据安全能力进行成熟度等级评价,获得基于数据生命周期的各个阶段的数据安全过程域的四个维度上的能力度量,进而获得组织体的数据安全成熟度状态,遵循"木桶"理论的短板原则,对组织体的数据安全进行综合评价。配套标准可参考《大数据安全能力成熟度测评指南》和《大数据安全能力成熟度提升指南》。
"数据小兵"认为DAMA在数据安全管理方面提出基于计划、制定、执行的过程化数据安全策略是基于PDCA的管控思想,而国家大数据安全能力成熟度的围绕全生命周期与和4个维度的构建,则是从企业数据资产全生命周期的活动与组织体的制度、流程、人员、技术工具角度构建。
[经验体会]
通过本章的学习,"数据小兵"结合自身工作经验,谈一谈理解:
当前,企业信息安全与数据安全管理方面混淆。较多企业仍基于"信息安全管理实用规则ISO/IEC27001"和"国家信息安全保护相关政策"包括:《计算机信息安全保护等级划分准则》(GB 17859-1999,以下简称《划分准则》)、《信息系统安全保护等级定级指南》(GB/T 22240-2008,以下简称《定级指南》)、《信息系统安全等级保护基本要求》(GB/T 22239-2008,以下简称《基本要求》)等技术标准和《信息安全等级保护管理办法》(公通字[2007]43号,以下简称《管理办法》)、《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安[2009]1429号)等文件,组织开展企业自身的数据安全管理体系构建,对于数据安全管理系统的构建,缺乏深入的理解和认识,还混淆在以上的信息安全体系构建中。相信随着企业数据资产的不断开发和利用,企业对从数据安全管理视角,确保组织内的数据资产在开发、利用的生命周期中有效受控,确保企业数据隐私及保密的利益需求会更为突出,在数据安全管理的能力建设方面CDO首席数据官的职责会更为突出。
以上,观点为"数据小兵"的学习心得体会,不代表官方观点,欢迎小伙伴们提出宝贵的建议,"数据小兵"将非常感激!
打造"数据思维、数据知识、数据实践"的学习和分享环境,期待大家的参与!我们共同学习和进步!
数据小兵 http://www.fuduo.wang
