在数据资产的梳理中,需要明确这些数据如何被存储,需要明确数据被哪些部门、系统、人员使用,数据被如何使用。对于数据的存储和系统的使用,往往需要通过自动化的工具进行 ;而对于部门和人员的角色梳理,更多是要在管理规范文件中体现。对于数据资产使用角色的梳理,关键是要明确在数据安全治理中不同受众的分工、权利和职责。
组织与职责,明确安全管理相关部门的角色和责任,一般包括:
安全管理部门:制度制定、安全检查、技术导入、事件监控与处理;
业务部门:业务人员安全管理、业务人员行为审计、业务合作方管理;
运维部门:运维人员行为规范与管理、运维行为审计、运维第三方管理;
其它:第三方外包、人事、采购、审计等部门管理。
数据治理的角色与分工,需要明确关键部门内不同角色的职责,包括:
安全管理部门:政策制定者、检查与审计管理、技术导入者业务部门:根据单位的业务职能划分
运维部门:运行维护、开发测试、生产支撑
敏感数据在什么数据库中分布着,是实现管控的关键。
只有清楚敏感数据在什么库中分布,才能知道需要对什么样的库实现怎样的管控策略;对该库的运维人员实现怎样的管控措施;对该库的数据导出,实现怎样的模糊化策略;对该库数据的存储实现怎样的加密要求。
在清楚了数据的存储分布的基础上,还需要掌握数据被什么业务系统访问。只有明确了数据被什么业务系统访问,才能更准确地制订这些业务系统的工作人员对敏感数据访问的权限策略和管控措施。
大类 | 原有信息分类 | 包含的客户信息 |
业务支撑 | boss | 政企客户资料、个人客户资料、各类特殊名单、用户密码、详单、账单、客户消费信息、基本业务订购关系、增值业务(含数据业务)订购关系、增值业务信息、统计报表、渠道及k8凯发天生赢家的合作伙伴资料、资源数据 |
eda | 政企客户资料、个人客户资料、各类特殊名单、用户密码、详单、账单、客户消费信息、基本业务订购关系、增值业务(含数据业务)订购关系、增值业务信息、统计报表、渠道及k8凯发天生赢家的合作伙伴资料、资源数据 | |
客户服务平台 | 可获取的信息:详单、客户资料 | |
网管系统 | 可获取的信息:位置信息 | |
通信系统 | 短信网关 | 短信记录,短信内容 |
isag | 彩信记录,彩信内容 | |
hlr | 客户当前位置信息、用户状态 | |
wap网关 | 客户上网记录、彩信记录 | |
端局 | 原始话单文件、位置信息 | |
关口局 | 原始话单文件 | |
业务平台 | ismp-bmw | 订购关系 |
终端自注册平台 | 终端型号信息 | |
天翼live | 通讯记录 | |
协同通信平台 | 通讯记录 | |
基地平台 | 订购关系、行为 |
图5某运营商对敏感系统分布的梳理结果
以运营商行业上述梳理结果为例,这仅仅是一个数据梳理的基础,更重要的是要梳理出不同的业务系统对这些敏感信息访问的基本特征,如访问的时间、ip、 访问的次数、 操作行为类型、 数据操作批量行为等, 在这些基本特征的基础上,完成数据管控策略的制订。
试用申请