在整个数据安全治理的过程中,最为重要的是实现数据安全策略和流程的制定,在企业或行业内经常被作为《某某数据安全管理规范》进行发布,所有工作流程和技术支撑都是围绕着此规范来制定和落实。
规范的出台往往需要经过大量的工作才能完成,这些工作通常包括:
A、梳理出组织所需要遵循的外部政策以及与数据安全管理相关的内容;
B、根据该组织的数据价值和特征,梳理出核心数据资产,并对其分级分类;
C、理清核心数据资产使用的状况(收集、存储、使用、流转);
D、分析核心数据资产面临的威胁和使用风险;
E、明确核心数据资产访问控制的目标和访问控制流程;
F、制订出组织对数据安全规范落实和安全风险进行定期的核查策略。
在我国,数据安全治理同样需要遵循国家级的安全政策和行业内的安全政策。举例如下:
1.网络安全法;
2.等级保护政策;
3.BMB17;
4.行业相关的政策要求举例:
(a) PCI-DSS、Sarbanes-Oxley Act(SOX 法案)、 HIPPA ;
(b) 企业内部控制基本规范;(三会、财政、审计)
(c) 中央企业商业秘密保护暂行规定;
这些政策通常是在制订组织内部政策时重点参考的外部政策规范。
数据治理主要依据数据的来源、内容和用途对数据进行分类;按照数据的价值、内容的敏感程度、影响和分发范围不同对数据进行敏感级别划分。
| 信息类别 | 信息项 | 对三方价值 | 事故影响 | 分类定义 |
| 客户基本资料 | 政企客户资料 | 牟取暴利 | 造成政企客户流失、损失巨大 | 机密数据 |
| 个人客户资料 | 价值较大 | 造成客户损失、损失大 | 敏感数据 | |
| 各类特殊名单 | 牟取暴利 | 造成投诉、损失大 | 敏感数据 | |
| 身份鉴权信息 | 用户密码 | 牟取暴利 | 造成客户损失、损失巨大 | 机密数据 |
| 客户通信信息 | 详单 | 价值较大 | 造成投诉、损失大 | 敏感数据 |
| 账单 | 价值一般 | 损失一般 | 普通数据 | |
| 客户当前位置信息 | 价值较大 | 损失一般 | 敏感数据 | |
| 客户消费信息 | 价值一般 | 损失一般 | 普通数据 | |
| 订购关系 | 价值低 | 无明显损失 | 普通数据 | |
| 增值业务订购关系 | 价值低 | 无明显损失 | 普通数据 | |
| 增值业务信息 | 牟取暴利 | 造成客户损失、损失大 | 敏感数据 | |
| 客户通信内容信息 | 客户通信内容记录 | 牟取暴利 | 客户私密信息泄露,损失巨大 | 机密数据 |
| 移动上网内容及记录 | 价值低 | 损失一般 | 普通数据 | |
| 增值业务客户行为记录 | 价值低 | 客户私密信息泄露,损失大 | 敏感数据 | |
| 领航平台交互信息 | 牟取暴利 | 损失一般 | 敏感数据 |
图1 某运营商对数据分级分类的结果
只有对数据进行有效分类,才能够避免一刀切的控制方式,在数据的安全管理上采用更加精细的措施,使数据在共享使用和安全使用之间获得平衡。
3.1 数据使用部门和角色梳理
在数据资产的梳理中,需要明确这些数据如何被存储,数据被哪些部门、系统、人员使用,数据被如何使用。对于数据的存储和系统的使用,往往需要通过自动化的工具进行 ;而对于部门和人员的角色梳理,更多是要在管理规范文件中体现。对于数据资产使用角色的梳理,关键要明确在数据安全治理中不同受众的分工、权利和职责。
组织与职责,明确安全管理相关部门的角色和责任,一般包括:
安全管理部门:制度制定、安全检查、技术导入、事件监控与处理;
业务部门:业务人员安全管理、业务人员行为审计、业务合作方管理;
运维部门:运维人员行为规范与管理、运维行为审计、运维第三方管理;
其它:第三方外包、人事、采购、审计等部门管理。
数据治理的角色与分工,需要明确关键部门内不同角色的职责,包括:
安全管理部门:政策制定者、检查与审计管理、技术导入者;
业务部门:根据单位的业务职能划分;
运维部门:运行维护、开发测试、生产支撑。
数据的存储与分布梳理
敏感数据在什么数据库中分布着,是实现管控的关键。只有清楚敏感数据在什么库中分布,才能知道需要对什么样的库实现怎样的管控策略;对该库的运维人员实现怎样的管控措施;对该库的数据导出,实现怎样的模糊化策略;对该库数据的存储实现怎样的加密要求。
数据的使用状况梳理
在清楚了数据的存储分布的基础上,还需要掌握数据被什么业务系统访问。只有明确了数据被什么业务系统访问,才能更准确地制订这些业务系统的工作人员对敏感数据访问的权限策略和管控措施。
| 大类 | 原有信息分类 | 包含的客户信息 |
| 业务支撑 | BOSS | 政企客户资料、个人客户资料、各类特殊名单、用户密码、详单、账单、客户消费信息、基本业务订购关系、增值业务(含数据业务)订购关系、增值业务信息、统计报表、渠道及合作伙伴资料、资源数据 |
| EDA | 政企客户资料、个人客户资料、各类特殊名单、用户密码、详单、账单、客户消费信息、基本业务订购关系、增值业务(含数据业务)订购关系、增值业务信息、统计报表、渠道及合作伙伴资料、资源数据 | |
| 客户服务平台 | 可获取的信息:详单、客户资料 | |
| 网管系统 | 可获取的信息:位置信息 | |
| 通信系统 | 短信网关 | 短信记录,短信内容 |
| ISAG | 彩信记录,彩信内容 | |
| HLR | 客户当前位置信息、用户状态 | |
| WAP网关 | 客户上网记录、彩信记录 | |
| 端局 | 原始话单文件、位置信息 | |
| 关口局 | 原始话单文件 | |
| 业务平台 | ISMP-BMW | 订购关系 |
| 终端自注册平台 | 终端型号信息 | |
| 天翼live | 通讯记录 | |
| 协同通信平台 | 通讯记录 | |
| 基地平台 | 订购关系、行为 |
图2某运营商对敏感系统分布的梳理结果
以运营商行业上述梳理结果为例,这仅为数据梳理的基础,更重要的是梳理出不同的业务系统对这些敏感信息访问的基本特征,如访问的时间、IP、访问次数、操作行为类型、数据操作批量行为等,基于这些基本特征,完成数据管控策略的制定。
数据的访问控制
针对数据使用的不同方面,需要完成对数据使用的原则和控制策略,一般包括如下方面:
数据访问的账号和权限管理,相关原则和控制内容包括:
(1)专人账号管理;
(2)账号独立原则;
(3)账号授权审批;
(4)最小授权原则;
(5)账号回收管理;
(6)管理行为审计记录;
(7)定期账号稽核;
数据使用过程管理中,相关原则和控制内容包括:
(1)业务需要访问原则;
(2)批量操作审批原则;
(3)高敏感访问审批原则;
(4)批量操作和高敏感访问指定设备、地点原则;
(5)访问过程审计记录;
(6)开发测试访问模糊化原则;
(7)访问行为定期稽核;
数据共享(提取)管理,相关原则和控制内容包括:
(1)最小共享和模糊化原则;
(2)共享(提取)审批原则;
(3)最小使用范围原则;
(4)责任传递原则;
(5)定期稽核;
数据存储管理,相关原则和控制内容包括:
(1)不同敏感级别数据存储的网络区域;
(2)敏感数据存储加密;
(3)备份访问管理;
(4)存储设备的移动管理;
(5)存储设备的销毁管理;
定期的稽核策略
定期的稽核是保证数据安全治理规范落地的关键,也是信息安全管理部门的重要职责,包括:
A、 合规性检查:
确保数据安全使用政策被真实执行;
B、操作监管与稽核:
主要针对数据访问账号和权限的监管与稽核;
要具有账号和权限的报告;要具有账号和权限的变化报告;
业务单位和运维部门数据访问过程的合法性监管与稽核;
要定义异常访问行为特征;
要对数据的访问行为具有完全的记录和分析;
C、风险分析与发现:
对日志进行大数据分析,发现潜在异常行为;
对数据使用过程进行尝试攻击,进行数据安全性测试。
在整个数据安全治理理念中,完成数据安全治理的策略性文件和系列落地文件,这将是数据安全治理的纲领性文件,相应系列文件规范中要覆盖数据安全治理的三大需求目标和四个重要环节,针对所有与敏感数据有接触的人员的权限进行定义,就人员对数据访问的过程提出控制流程。借由这些举措来开展数据安全治理动作,确保数据安全治理工作有纲有领,稳步推进。
