在数据资产的梳理中,需要明确这些数据如何被存储,需要明确数据被哪些部门、系统、人员使用,数据被这些部门、系统和人员如何使用。对于数据的存储和系统的使用,往往需要通过自动化的工具进行;而对于部门和人员的角色梳理,更多是要在管理规范文件中体现。
对于数据资产使用角色的梳理,关键是要明确在数据安全治理中不同受众的分工、权利和职责。
组织与职责,明确安全管理相关部门的角色和责任,一般包括:
安全管理部门:制度制定、安全检查、技术导入、事件监控与处理;
业务部门:业务人员安全管理、业务人员行为审计、业务合作方管理;
运维部门:运维人员行为规范与管理、运维行为审计、运维第三方管理;
其它:第三方外包、人事、采购、审计等部门管理。
对于数据治理的角色与分工,需要明确关键部门内不同角色的职责,一般包括:
安全管理部门:政策制定者、检查与审计管理、技术导入者
业务部门:根据单位的业务职能划分
运维部门:运行维护、开发测试、生产支撑
敏感数据分布在哪里,是实现管控的关键。
只有清楚敏感数据分布在哪里,才能知道需要实现怎样的管控策略;比如,针对数据库这个层面,掌握数据分布在哪个库、什么样的库,才能知道对该库的运维人员实现怎样的管控措施;对该库的数据导出实现怎样的模糊化策略;对该库数据的存储实现怎样的加密要求。
在清楚了数据的存储分布的基础上,还需要掌握数据被什么业务系统访问。只有明确了数据被什么业务系统访问,才能更准确地制定这些业务系统的工作人员对敏感数据访问的权限策略和管控措施。
针对数据使用的不同方面,需要完成对数据使用的原则和控制策略,一般包括如下方面:
数据访问的账号和权限管理,相关的原则和控制内容包括:
(1)专人账号管理
(2)账号独立原则
(3)账号授权审批
(4)最小授权原则
(5)账号回收管理
(6)管理行为审计记录
(7)定期账号稽核
数据使用过程管理中,相关的原则和控制内容包括:
(1)业务需要访问原则
(2)批量操作审批原则
(3)高敏感访问审批原则
(4)批量操作和高敏感访问指定设备、地点原则
(5)访问过程审计记录
(6)开发测试访问模糊化原则
(7)访问行为定期稽核
数据共享(提取)管理,相关的原则和控制内容包括:
(1)最小共享和模糊化原则
(2)共享(提取)审批原则
(3)最小使用范围原则
(4)责任传递原则
(5)定期稽核
数据存储管理,相关的原则和控制内容包括:
(1)涉密数据存储的网络区隔
(2)敏感数据存储加密
(3)备份访问管理
(4)存储设备的移动管理
(5)存储设备的销毁管理
定期的稽核是保证数据安全治理规范落地的关键,也是信息安全管理部门的重要职责,包括:
●合规性检查:确保数据安全使用政策被真实执行;
●操作监管与稽核;
●数据访问账号和权限的监管与稽核:
1)要具有账号和权限的报告
2)要具有账号和权限的变化报告
●业务单位和运维部门数据访问过程的合法性监管与稽核:
1)要定义异常访问行为特征
2)要对数据的访问行为具有完全的记录和分析
●风险分析与发现:
1)对日志进行大数据分析,发现潜在异常行为
2)对数据使用过程进行尝试攻击,进行数据安全性测试
因此建立健全数据安全治理过程管理的制度、流程、标准体系是非常必要的,后期才可以保障实行数据安全规划、计划、实施、运行、督查的全过程管控。对信息安全制度、标准进行滚动式修订,可以持续夯实自身数据安全标准化管理基础。