雷鋒網(wǎng)編者按：5 月 22 日，在第二屆中國數(shù)據(jù)安全治理高峰論壇上，由數(shù)據(jù)安全治理委員會編寫、數(shù)據(jù)安全公司安華金和出品的一份《數(shù)據(jù)安全治理白皮書》正式發(fā)布。雷鋒網(wǎng)在梳理該白皮書時，發(fā)現(xiàn)一個某運營商如何使用用戶數(shù)據(jù)的實例，幾天前，一則新聞稱，“美國四大電信運營商均中招，網(wǎng)站漏洞會泄露手機(jī)用戶位置”，在敏感的數(shù)據(jù)時代，用戶數(shù)據(jù)究竟如何被相關(guān)機(jī)構(gòu)使用？雷鋒網(wǎng)從中摘出若干信息，以饗讀者。

1.某運營商的數(shù)據(jù)安全治理的相關(guān)組織和角色結(jié)構(gòu)圖

注：其中深色是部門，淺色是角色，這個結(jié)構(gòu)中可以看到覆蓋了業(yè)務(wù)、安全、運維和企業(yè)的相關(guān)管理支撐部門。 

2.某運營商對數(shù)據(jù)分級分類的結(jié)果

只有對數(shù)據(jù)進(jìn)行有效分類，才能避免一刀切的控制方式，在數(shù)據(jù)的安全管理上采用更加精細(xì)的措施，使數(shù)據(jù)在共享使用和安全使用之間獲得平衡。

數(shù)據(jù)分級分類的原則:
分類：依據(jù)數(shù)據(jù)的來源、內(nèi)容和用途對數(shù)據(jù)進(jìn)行分類; 分級:按照數(shù)據(jù)的價值、內(nèi)容敏感程度、影響和分發(fā)范圍不同對數(shù)據(jù)進(jìn)行敏感級別劃分。 

數(shù)據(jù)分級分類方式：

根據(jù)梳理出的備案數(shù)據(jù)資產(chǎn),進(jìn)行敏感數(shù)據(jù)的自動探測,通過特征探測定位敏感數(shù)據(jù)分布在哪些數(shù)據(jù)資產(chǎn)中;針對敏感的數(shù)據(jù)資產(chǎn)進(jìn)行分級分類標(biāo)記,分類出敏感數(shù)據(jù)所有者（部門、系統(tǒng)、管理人員等）；根據(jù)已分類的數(shù)據(jù)資產(chǎn)由業(yè)務(wù)部門進(jìn)行敏感分級,將分類的數(shù)據(jù)資產(chǎn)劃分公開、內(nèi)部、敏感等不同的敏感級別。

以下分別為數(shù)據(jù)分類表和數(shù)據(jù)分級表：

3.某運營商對敏感系統(tǒng)分布的梳理結(jié)果

數(shù)據(jù)使用部門和角色梳理

對于數(shù)據(jù)治理的角色與分工，需要明確關(guān)鍵部門內(nèi)不同角色的職責(zé)，一般包括:安全管理部門：政策制定者、檢查與審計管理、技術(shù)導(dǎo)入者業(yè)務(wù)部門:根據(jù)單位的業(yè)務(wù)職能劃分運維部門：運行維護(hù)、開發(fā)測試、生產(chǎn)支撐。

數(shù)據(jù)的存儲與分布梳理

敏感數(shù)據(jù)分布在哪里,是實現(xiàn)管控的關(guān)鍵。只有清楚敏感數(shù)據(jù)分布在哪里，才能知道需要實現(xiàn)怎樣的管控策略；比如，針對數(shù)據(jù)庫這個層面，掌握數(shù)據(jù)分布在哪個庫、什么樣的庫，才能知道對該庫的運維人員實現(xiàn)怎樣樣的管控措施；對該庫的數(shù)據(jù)導(dǎo)出實現(xiàn)怎樣的模糊化策略；對該庫數(shù)據(jù)的存儲實現(xiàn)怎樣的加密要求。

數(shù)據(jù)的使用狀況梳理

在清楚了數(shù)據(jù)的存儲分布的基礎(chǔ)上，還需要掌握數(shù)據(jù)被什么業(yè)務(wù)系統(tǒng)訪問。只有明確了數(shù)據(jù)被什么業(yè)務(wù)系統(tǒng)訪問，才能更準(zhǔn)確地制訂這些業(yè)務(wù)系統(tǒng)的工作人員對敏感數(shù)據(jù)訪問的權(quán)限策略和管控措施。

在數(shù)據(jù)資產(chǎn)的梳理中,需要明確這些數(shù)據(jù)如何被存儲,需要明確數(shù)據(jù)被哪些部門、系統(tǒng)、 人員使用,數(shù)據(jù)被這些部門、系統(tǒng)和人員如何使用。對于數(shù)據(jù)的存儲和系統(tǒng)的使用,往往需 要通過自動化的工具進(jìn)行;而對于部門和人員的角色梳理,更多是要在管理規(guī)范文件中體現(xiàn)。

對于數(shù)據(jù)資產(chǎn)使用角色的梳理,關(guān)鍵是要明確在數(shù)據(jù)安全治理中不同受眾的分工、權(quán)利和職責(zé)。

組織與職責(zé)，明確安全管理相關(guān)部門的角色和責(zé)任，一般包括：

安全管理部門：制度制定、安全檢查、技術(shù)導(dǎo)入、事件監(jiān)控與處理；

業(yè)務(wù)部門：業(yè)務(wù)人員安全管理、業(yè)務(wù)人員行為審計、業(yè)務(wù)合作方管理；

運維部門：運維人員行為規(guī)范與管理、運維行為審計、運維第三方管理：

其它：第三方外包、人事、采購、審計等部門管理。 

以運營商行業(yè)上述梳理結(jié)果為例，這僅僅是一個數(shù)據(jù)梳理的基礎(chǔ),更重要的是要梳理出不同的業(yè)務(wù)系統(tǒng)對這些敏感信息訪問的基本特征，如訪問的時間、IP、訪問的次數(shù)、操作行 為類型、數(shù)據(jù)操作批量行為等，在這些基本特征的基礎(chǔ)上，完成數(shù)據(jù)管控策略的制訂。 

點擊獲取完整報告下載地址。

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。