本篇介紹[數(shù)據(jù)知識]DAMA數(shù)據(jù)管理知識體系—數(shù)據(jù)安全管理篇的學(xué)習(xí)心得，供大家學(xué)習(xí)和參考。

[核心要點]

數(shù)據(jù)安全管理是計劃、制定、執(zhí)行相關(guān)安全策略和規(guī)程，確保數(shù)據(jù)和信息資產(chǎn)在使用過程中有恰當(dāng)?shù)恼J(rèn)證、授權(quán)、訪問和審計等措施。

目標(biāo)：

1.為數(shù)據(jù)資產(chǎn)讀取和變更提供合適的方法、阻止不合適的方法；

2.實現(xiàn)監(jiān)管對隱私性和機(jī)密性的要求；

3.確保實現(xiàn)所有利益相關(guān)者隱私性和機(jī)密性需求。

概念和活動

數(shù)據(jù)安全管理的最終目標(biāo)是保護(hù)信息資產(chǎn)符合隱私及保密法規(guī)要求，并與業(yè)務(wù)要求相一致。相關(guān)要求來源于：利益相關(guān)者的關(guān)注、政府法規(guī)、特定業(yè)務(wù)關(guān)注、合法訪問需求。

數(shù)據(jù)安全要求和相關(guān)規(guī)程（4A）：認(rèn)證、授權(quán)、訪問、審計。

1.理解數(shù)據(jù)安全需要和監(jiān)管要求。包括：業(yè)務(wù)要求和法規(guī)要求。業(yè)務(wù)要求重點對業(yè)務(wù)規(guī)則和流程定義了安全接觸點，業(yè)務(wù)流程中對事件提出安全要求，數(shù)據(jù)到流程和數(shù)據(jù)到角色的關(guān)系矩陣，可以引導(dǎo)數(shù)據(jù)安全角色、參數(shù)、權(quán)限定義。法規(guī)要求，則提出對相關(guān)信息安全法案的遵從。

2.定義數(shù)據(jù)安全策略。數(shù)據(jù)安全策略，是以數(shù)據(jù)為中心，其性質(zhì)更為精細(xì)，例如：定義個別應(yīng)用程序、數(shù)據(jù)庫角色、用戶組和密碼標(biāo)準(zhǔn)。

3.定義數(shù)據(jù)安全標(biāo)準(zhǔn)。組織應(yīng)結(jié)合自身的安全控制策略，制定數(shù)據(jù)安全執(zhí)行標(biāo)準(zhǔn)，滿足4A要求，提供執(zhí)行策略和手段。

4.定義數(shù)據(jù)安全控制及措施。通常是DBA的工作職責(zé)，保障組織實施適當(dāng)?shù)目刂茲M足相關(guān)法規(guī)目標(biāo)。

5.管理用戶密碼和用戶組成員。制定安全角色層級，對用戶和用戶組進(jìn)行角色授權(quán)、管理、維護(hù)、變更等，構(gòu)建密碼標(biāo)準(zhǔn)和相關(guān)規(guī)程。

6.管理數(shù)據(jù)訪問視圖和權(quán)限。結(jié)合數(shù)據(jù)需求和托管權(quán)限，采用基于角色的訪問控制授權(quán)機(jī)制。

7.監(jiān)控用戶身份認(rèn)證和訪問行為。目的在于符合合規(guī)審計要求、彌補(bǔ)數(shù)據(jù)安全規(guī)劃、設(shè)計和實施中的漏洞。

8.劃分信息密級。典型5級：公眾級、內(nèi)部使用、機(jī)密、受限機(jī)密、注冊機(jī)密。信息機(jī)密劃分是元數(shù)據(jù)的最重要屬性，指導(dǎo)賦予用戶存取權(quán)限。

9.審計數(shù)據(jù)安全。是一項控制活動，負(fù)責(zé)經(jīng)常性分析、驗證、討論、建議數(shù)據(jù)安全管理相關(guān)的政策、標(biāo)準(zhǔn)和活動。審計是一項支持性、重復(fù)性的過程，審計人員獨立于審計所涉及的數(shù)據(jù)和流程。

外包項目的數(shù)據(jù)安全

任何形式的外包都增加了組織風(fēng)險，工作的責(zé)任必然由組織自行承擔(dān)。需要有嚴(yán)格的風(fēng)險管理和控制機(jī)制，可以通過構(gòu)建CRUD（創(chuàng)建、讀取、更新和刪除）矩陣，對業(yè)務(wù)流程、應(yīng)用、角色、組織的數(shù)據(jù)進(jìn)行信息流的追蹤和監(jiān)管。RACI（執(zhí)行、負(fù)責(zé)、咨詢、知會）矩陣，對角色職責(zé)進(jìn)行澄清和數(shù)據(jù)安全管理需求責(zé)任劃分，明確各方責(zé)任和所有權(quán)，為整體數(shù)據(jù)安全策略及其實施提供支持。

綜述

指導(dǎo)原則：15項原則。

過程總結(jié)：9個管理活動。重點包括數(shù)據(jù)安全數(shù)據(jù)、策略、標(biāo)準(zhǔn)、控制措施、角色、視圖與權(quán)限、訪問控制、信息密級、審計幾個方面。

組織和文化問題。消極被動的應(yīng)付數(shù)據(jù)安全問題；需要平衡數(shù)據(jù)安全和利益相關(guān)者的需求；成功的數(shù)據(jù)安全管理依賴克服管理變革的文化瓶頸。

[觀點解讀]

通過對以上內(nèi)容的學(xué)習(xí)，現(xiàn)對于要點補(bǔ)充解讀如下：

書中強(qiáng)調(diào)數(shù)據(jù)安全管理是計劃、制定、執(zhí)行相關(guān)安全策略和規(guī)程，確保數(shù)據(jù)和信息資產(chǎn)在使用過程中有恰當(dāng)?shù)恼J(rèn)證、授權(quán)、訪問和審計等措施。重點討論了數(shù)據(jù)安全的管理方法、要求和相關(guān)規(guī)程。相關(guān)管理活動從定義數(shù)據(jù)安全需求入手、定義數(shù)據(jù)安全策略、標(biāo)準(zhǔn)、控制及措施，并應(yīng)用用戶角色、密碼標(biāo)準(zhǔn)、訪問控制、信息密級以及數(shù)據(jù)安全審計，從管理角度提出重點管控環(huán)節(jié)。目的是通過業(yè)務(wù)戰(zhàn)略、業(yè)務(wù)目標(biāo)、數(shù)據(jù)戰(zhàn)略的理解，制定數(shù)據(jù)安全政策、數(shù)據(jù)機(jī)密和保密標(biāo)準(zhǔn)，獲得用戶成員檔案及權(quán)限、控制、訪問視圖，制定常規(guī)數(shù)據(jù)安全審計控制活動等。

結(jié)合近日，2017數(shù)博會"大數(shù)據(jù)安全產(chǎn)業(yè)實踐高峰論壇"上，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會等部門制定了用于組織機(jī)構(gòu)數(shù)據(jù)安全能力的評估標(biāo)準(zhǔn)—《大數(shù)據(jù)安全能力成熟度模型》 該標(biāo)準(zhǔn)由"阿里巴巴"提出，進(jìn)行擴(kuò)展。國家提出"大數(shù)據(jù)安全成熟度"圍繞數(shù)據(jù)全生命周期（數(shù)據(jù)采集、存儲、傳輸、處理、交換、銷毀），在數(shù)據(jù)安全制度流程、人員能力、組織建設(shè)、技術(shù)工具四個維度上不斷提升企業(yè)數(shù)據(jù)能力，定義了5級：1-非正式執(zhí)行；2-計劃跟蹤；3-充分定義；4-量化控制；5-持續(xù)優(yōu)化。

其數(shù)據(jù)安全能力成熟度模型是基于能力成熟度(CMM)思想構(gòu)建的。成熟度模型對數(shù)據(jù)生命周期各個階段的企業(yè)數(shù)據(jù)安全能力進(jìn)行成熟度等級評價，獲得基于數(shù)據(jù)生命周期的各個階段的數(shù)據(jù)安全過程域的四個維度上的能力度量，進(jìn)而獲得組織體的數(shù)據(jù)安全成熟度狀態(tài)，遵循"木桶"理論的短板原則，對組織體的數(shù)據(jù)安全進(jìn)行綜合評價。配套標(biāo)準(zhǔn)可參考《大數(shù)據(jù)安全能力成熟度測評指南》和《大數(shù)據(jù)安全能力成熟度提升指南》。

DAMA在數(shù)據(jù)安全管理方面提出基于計劃、制定、執(zhí)行的過程化數(shù)據(jù)安全策略是基于PDCA的管控思想，而國家大數(shù)據(jù)安全能力成熟度的圍繞全生命周期與和4個維度的構(gòu)建，則是從企業(yè)數(shù)據(jù)資產(chǎn)全生命周期的活動與組織體的制度、流程、人員、技術(shù)工具角度構(gòu)建。

[經(jīng)驗體會]

通過本章的學(xué)習(xí)，結(jié)合自身工作經(jīng)驗，談一談理解：

當(dāng)前，企業(yè)信息安全與數(shù)據(jù)安全管理方面混淆。較多企業(yè)仍基于"信息安全管理實用規(guī)則ISO/IEC27001"和"國家信息安全保護(hù)相關(guān)政策"包括：《計算機(jī)信息安全保護(hù)等級劃分準(zhǔn)則》（GB 17859-1999，以下簡稱《劃分準(zhǔn)則》）、《信息系統(tǒng)安全保護(hù)等級定級指南》（GB/T 22240-2008，以下簡稱《定級指南》）、《信息系統(tǒng)安全等級保護(hù)基本要求》（GB/T 22239-2008,以下簡稱《基本要求》）等技術(shù)標(biāo)準(zhǔn)和《信息安全等級保護(hù)管理辦法》（公通字[2007]43號，以下簡稱《管理辦法》）、《關(guān)于開展信息安全等級保護(hù)安全建設(shè)整改工作的指導(dǎo)意見》（公信安[2009]1429號）等文件，組織開展企業(yè)自身的數(shù)據(jù)安全管理體系構(gòu)建，對于數(shù)據(jù)安全管理系統(tǒng)的構(gòu)建，缺乏深入的理解和認(rèn)識，還混淆在以上的信息安全體系構(gòu)建中。

相信隨著企業(yè)數(shù)據(jù)資產(chǎn)的不斷開發(fā)和利用，企業(yè)對從數(shù)據(jù)安全管理視角，確保組織內(nèi)的數(shù)據(jù)資產(chǎn)在開發(fā)、利用的生命周期中有效受控，確保企業(yè)數(shù)據(jù)隱私及保密的利益需求會更為突出，在數(shù)據(jù)安全管理的能力建設(shè)方面CDO首席數(shù)據(jù)官的職責(zé)會更為突出。

本文來源于微信公眾號“CDO首席數(shù)據(jù)官”，轉(zhuǎn)載請聯(lián)系原作者。