雷鋒網(wǎng)編者按：5 月 22 日，在第二屆中國(guó)數(shù)據(jù)安全治理高峰論壇上，由數(shù)據(jù)安全治理委員會(huì)編寫、數(shù)據(jù)安全公司安華金和出品的一份《數(shù)據(jù)安全治理白皮書》正式發(fā)布。雷鋒網(wǎng)在梳理該白皮書時(shí)，發(fā)現(xiàn)一個(gè)某運(yùn)營(yíng)商如何使用用戶數(shù)據(jù)的實(shí)例，幾天前，一則新聞稱，“美國(guó)四大電信運(yùn)營(yíng)商均中招，網(wǎng)站漏洞會(huì)泄露手機(jī)用戶位置”，在敏感的數(shù)據(jù)時(shí)代，用戶數(shù)據(jù)究竟如何被相關(guān)機(jī)構(gòu)使用？雷鋒網(wǎng)從中摘出若干信息，以饗讀者。

1.某運(yùn)營(yíng)商的數(shù)據(jù)安全治理的相關(guān)組織和角色結(jié)構(gòu)圖

注：其中深色是部門，淺色是角色，這個(gè)結(jié)構(gòu)中可以看到覆蓋了業(yè)務(wù)、安全、運(yùn)維和企業(yè)的相關(guān)管理支撐部門。 

2.某運(yùn)營(yíng)商對(duì)數(shù)據(jù)分級(jí)分類的結(jié)果

只有對(duì)數(shù)據(jù)進(jìn)行有效分類，才能避免一刀切的控制方式，在數(shù)據(jù)的安全管理上采用更加精細(xì)的措施，使數(shù)據(jù)在共享使用和安全使用之間獲得平衡。

數(shù)據(jù)分級(jí)分類的原則:
分類：依據(jù)數(shù)據(jù)的來源、內(nèi)容和用途對(duì)數(shù)據(jù)進(jìn)行分類; 分級(jí):按照數(shù)據(jù)的價(jià)值、內(nèi)容敏感程度、影響和分發(fā)范圍不同對(duì)數(shù)據(jù)進(jìn)行敏感級(jí)別劃分。 

數(shù)據(jù)分級(jí)分類方式：

根據(jù)梳理出的備案數(shù)據(jù)資產(chǎn),進(jìn)行敏感數(shù)據(jù)的自動(dòng)探測(cè),通過特征探測(cè)定位敏感數(shù)據(jù)分布在哪些數(shù)據(jù)資產(chǎn)中;針對(duì)敏感的數(shù)據(jù)資產(chǎn)進(jìn)行分級(jí)分類標(biāo)記,分類出敏感數(shù)據(jù)所有者（部門、系統(tǒng)、管理人員等）；根據(jù)已分類的數(shù)據(jù)資產(chǎn)由業(yè)務(wù)部門進(jìn)行敏感分級(jí),將分類的數(shù)據(jù)資產(chǎn)劃分公開、內(nèi)部、敏感等不同的敏感級(jí)別。

以下分別為數(shù)據(jù)分類表和數(shù)據(jù)分級(jí)表：

3.某運(yùn)營(yíng)商對(duì)敏感系統(tǒng)分布的梳理結(jié)果

數(shù)據(jù)使用部門和角色梳理

對(duì)于數(shù)據(jù)治理的角色與分工，需要明確關(guān)鍵部門內(nèi)不同角色的職責(zé)，一般包括:安全管理部門：政策制定者、檢查與審計(jì)管理、技術(shù)導(dǎo)入者業(yè)務(wù)部門:根據(jù)單位的業(yè)務(wù)職能劃分運(yùn)維部門：運(yùn)行維護(hù)、開發(fā)測(cè)試、生產(chǎn)支撐。

數(shù)據(jù)的存儲(chǔ)與分布梳理

敏感數(shù)據(jù)分布在哪里,是實(shí)現(xiàn)管控的關(guān)鍵。只有清楚敏感數(shù)據(jù)分布在哪里，才能知道需要實(shí)現(xiàn)怎樣的管控策略；比如，針對(duì)數(shù)據(jù)庫這個(gè)層面，掌握數(shù)據(jù)分布在哪個(gè)庫、什么樣的庫，才能知道對(duì)該庫的運(yùn)維人員實(shí)現(xiàn)怎樣樣的管控措施；對(duì)該庫的數(shù)據(jù)導(dǎo)出實(shí)現(xiàn)怎樣的模糊化策略；對(duì)該庫數(shù)據(jù)的存儲(chǔ)實(shí)現(xiàn)怎樣的加密要求。

數(shù)據(jù)的使用狀況梳理

在清楚了數(shù)據(jù)的存儲(chǔ)分布的基礎(chǔ)上，還需要掌握數(shù)據(jù)被什么業(yè)務(wù)系統(tǒng)訪問。只有明確了數(shù)據(jù)被什么業(yè)務(wù)系統(tǒng)訪問，才能更準(zhǔn)確地制訂這些業(yè)務(wù)系統(tǒng)的工作人員對(duì)敏感數(shù)據(jù)訪問的權(quán)限策略和管控措施。

在數(shù)據(jù)資產(chǎn)的梳理中,需要明確這些數(shù)據(jù)如何被存儲(chǔ),需要明確數(shù)據(jù)被哪些部門、系統(tǒng)、 人員使用,數(shù)據(jù)被這些部門、系統(tǒng)和人員如何使用。對(duì)于數(shù)據(jù)的存儲(chǔ)和系統(tǒng)的使用,往往需 要通過自動(dòng)化的工具進(jìn)行;而對(duì)于部門和人員的角色梳理,更多是要在管理規(guī)范文件中體現(xiàn)。

對(duì)于數(shù)據(jù)資產(chǎn)使用角色的梳理,關(guān)鍵是要明確在數(shù)據(jù)安全治理中不同受眾的分工、權(quán)利和職責(zé)。

組織與職責(zé)，明確安全管理相關(guān)部門的角色和責(zé)任，一般包括：

安全管理部門：制度制定、安全檢查、技術(shù)導(dǎo)入、事件監(jiān)控與處理；

業(yè)務(wù)部門：業(yè)務(wù)人員安全管理、業(yè)務(wù)人員行為審計(jì)、業(yè)務(wù)合作方管理；

運(yùn)維部門：運(yùn)維人員行為規(guī)范與管理、運(yùn)維行為審計(jì)、運(yùn)維第三方管理：

其它：第三方外包、人事、采購、審計(jì)等部門管理。 

以運(yùn)營(yíng)商行業(yè)上述梳理結(jié)果為例，這僅僅是一個(gè)數(shù)據(jù)梳理的基礎(chǔ),更重要的是要梳理出不同的業(yè)務(wù)系統(tǒng)對(duì)這些敏感信息訪問的基本特征，如訪問的時(shí)間、IP、訪問的次數(shù)、操作行 為類型、數(shù)據(jù)操作批量行為等，在這些基本特征的基礎(chǔ)上，完成數(shù)據(jù)管控策略的制訂。 

點(diǎn)擊獲取完整報(bào)告下載地址。

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。