本篇介紹[數(shù)據(jù)知識(shí)]DAMA數(shù)據(jù)管理知識(shí)體系—數(shù)據(jù)安全管理篇的學(xué)習(xí)心得，供大家學(xué)習(xí)和參考。

[核心要點(diǎn)]

數(shù)據(jù)安全管理是計(jì)劃、制定、執(zhí)行相關(guān)安全策略和規(guī)程，確保數(shù)據(jù)和信息資產(chǎn)在使用過(guò)程中有恰當(dāng)?shù)恼J(rèn)證、授權(quán)、訪(fǎng)問(wèn)和審計(jì)等措施。

目標(biāo)：

1.為數(shù)據(jù)資產(chǎn)讀取和變更提供合適的方法、阻止不合適的方法；

2.實(shí)現(xiàn)監(jiān)管對(duì)隱私性和機(jī)密性的要求；

3.確保實(shí)現(xiàn)所有利益相關(guān)者隱私性和機(jī)密性需求。

概念和活動(dòng)

數(shù)據(jù)安全管理的最終目標(biāo)是保護(hù)信息資產(chǎn)符合隱私及保密法規(guī)要求，并與業(yè)務(wù)要求相一致。相關(guān)要求來(lái)源于：利益相關(guān)者的關(guān)注、政府法規(guī)、特定業(yè)務(wù)關(guān)注、合法訪(fǎng)問(wèn)需求。

數(shù)據(jù)安全要求和相關(guān)規(guī)程（4A）：認(rèn)證、授權(quán)、訪(fǎng)問(wèn)、審計(jì)。

1.理解數(shù)據(jù)安全需要和監(jiān)管要求。包括：業(yè)務(wù)要求和法規(guī)要求。業(yè)務(wù)要求重點(diǎn)對(duì)業(yè)務(wù)規(guī)則和流程定義了安全接觸點(diǎn)，業(yè)務(wù)流程中對(duì)事件提出安全要求，數(shù)據(jù)到流程和數(shù)據(jù)到角色的關(guān)系矩陣，可以引導(dǎo)數(shù)據(jù)安全角色、參數(shù)、權(quán)限定義。法規(guī)要求，則提出對(duì)相關(guān)信息安全法案的遵從。

2.定義數(shù)據(jù)安全策略。數(shù)據(jù)安全策略，是以數(shù)據(jù)為中心，其性質(zhì)更為精細(xì)，例如：定義個(gè)別應(yīng)用程序、數(shù)據(jù)庫(kù)角色、用戶(hù)組和密碼標(biāo)準(zhǔn)。

3.定義數(shù)據(jù)安全標(biāo)準(zhǔn)。組織應(yīng)結(jié)合自身的安全控制策略，制定數(shù)據(jù)安全執(zhí)行標(biāo)準(zhǔn)，滿(mǎn)足4A要求，提供執(zhí)行策略和手段。

4.定義數(shù)據(jù)安全控制及措施。通常是DBA的工作職責(zé)，保障組織實(shí)施適當(dāng)?shù)目刂茲M(mǎn)足相關(guān)法規(guī)目標(biāo)。

5.管理用戶(hù)密碼和用戶(hù)組成員。制定安全角色層級(jí)，對(duì)用戶(hù)和用戶(hù)組進(jìn)行角色授權(quán)、管理、維護(hù)、變更等，構(gòu)建密碼標(biāo)準(zhǔn)和相關(guān)規(guī)程。

6.管理數(shù)據(jù)訪(fǎng)問(wèn)視圖和權(quán)限。結(jié)合數(shù)據(jù)需求和托管權(quán)限，采用基于角色的訪(fǎng)問(wèn)控制授權(quán)機(jī)制。

7.監(jiān)控用戶(hù)身份認(rèn)證和訪(fǎng)問(wèn)行為。目的在于符合合規(guī)審計(jì)要求、彌補(bǔ)數(shù)據(jù)安全規(guī)劃、設(shè)計(jì)和實(shí)施中的漏洞。

8.劃分信息密級(jí)。典型5級(jí)：公眾級(jí)、內(nèi)部使用、機(jī)密、受限機(jī)密、注冊(cè)機(jī)密。信息機(jī)密劃分是元數(shù)據(jù)的最重要屬性，指導(dǎo)賦予用戶(hù)存取權(quán)限。

9.審計(jì)數(shù)據(jù)安全。是一項(xiàng)控制活動(dòng)，負(fù)責(zé)經(jīng)常性分析、驗(yàn)證、討論、建議數(shù)據(jù)安全管理相關(guān)的政策、標(biāo)準(zhǔn)和活動(dòng)。審計(jì)是一項(xiàng)支持性、重復(fù)性的過(guò)程，審計(jì)人員獨(dú)立于審計(jì)所涉及的數(shù)據(jù)和流程。

外包項(xiàng)目的數(shù)據(jù)安全

任何形式的外包都增加了組織風(fēng)險(xiǎn)，工作的責(zé)任必然由組織自行承擔(dān)。需要有嚴(yán)格的風(fēng)險(xiǎn)管理和控制機(jī)制，可以通過(guò)構(gòu)建CRUD（創(chuàng)建、讀取、更新和刪除）矩陣，對(duì)業(yè)務(wù)流程、應(yīng)用、角色、組織的數(shù)據(jù)進(jìn)行信息流的追蹤和監(jiān)管。RACI（執(zhí)行、負(fù)責(zé)、咨詢(xún)、知會(huì)）矩陣，對(duì)角色職責(zé)進(jìn)行澄清和數(shù)據(jù)安全管理需求責(zé)任劃分，明確各方責(zé)任和所有權(quán)，為整體數(shù)據(jù)安全策略及其實(shí)施提供支持。

綜述

指導(dǎo)原則：15項(xiàng)原則。

過(guò)程總結(jié)：9個(gè)管理活動(dòng)。重點(diǎn)包括數(shù)據(jù)安全數(shù)據(jù)、策略、標(biāo)準(zhǔn)、控制措施、角色、視圖與權(quán)限、訪(fǎng)問(wèn)控制、信息密級(jí)、審計(jì)幾個(gè)方面。

組織和文化問(wèn)題。消極被動(dòng)的應(yīng)付數(shù)據(jù)安全問(wèn)題；需要平衡數(shù)據(jù)安全和利益相關(guān)者的需求；成功的數(shù)據(jù)安全管理依賴(lài)克服管理變革的文化瓶頸。

[觀點(diǎn)解讀]

通過(guò)對(duì)以上內(nèi)容的學(xué)習(xí)，現(xiàn)對(duì)于要點(diǎn)補(bǔ)充解讀如下：

書(shū)中強(qiáng)調(diào)數(shù)據(jù)安全管理是計(jì)劃、制定、執(zhí)行相關(guān)安全策略和規(guī)程，確保數(shù)據(jù)和信息資產(chǎn)在使用過(guò)程中有恰當(dāng)?shù)恼J(rèn)證、授權(quán)、訪(fǎng)問(wèn)和審計(jì)等措施。重點(diǎn)討論了數(shù)據(jù)安全的管理方法、要求和相關(guān)規(guī)程。相關(guān)管理活動(dòng)從定義數(shù)據(jù)安全需求入手、定義數(shù)據(jù)安全策略、標(biāo)準(zhǔn)、控制及措施，并應(yīng)用用戶(hù)角色、密碼標(biāo)準(zhǔn)、訪(fǎng)問(wèn)控制、信息密級(jí)以及數(shù)據(jù)安全審計(jì)，從管理角度提出重點(diǎn)管控環(huán)節(jié)。目的是通過(guò)業(yè)務(wù)戰(zhàn)略、業(yè)務(wù)目標(biāo)、數(shù)據(jù)戰(zhàn)略的理解，制定數(shù)據(jù)安全政策、數(shù)據(jù)機(jī)密和保密標(biāo)準(zhǔn)，獲得用戶(hù)成員檔案及權(quán)限、控制、訪(fǎng)問(wèn)視圖，制定常規(guī)數(shù)據(jù)安全審計(jì)控制活動(dòng)等。

結(jié)合近日，2017數(shù)博會(huì)"大數(shù)據(jù)安全產(chǎn)業(yè)實(shí)踐高峰論壇"上，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)等部門(mén)制定了用于組織機(jī)構(gòu)數(shù)據(jù)安全能力的評(píng)估標(biāo)準(zhǔn)—《大數(shù)據(jù)安全能力成熟度模型》 該標(biāo)準(zhǔn)由"阿里巴巴"提出，進(jìn)行擴(kuò)展。國(guó)家提出"大數(shù)據(jù)安全成熟度"圍繞數(shù)據(jù)全生命周期（數(shù)據(jù)采集、存儲(chǔ)、傳輸、處理、交換、銷(xiāo)毀），在數(shù)據(jù)安全制度流程、人員能力、組織建設(shè)、技術(shù)工具四個(gè)維度上不斷提升企業(yè)數(shù)據(jù)能力，定義了5級(jí)：1-非正式執(zhí)行；2-計(jì)劃跟蹤；3-充分定義；4-量化控制；5-持續(xù)優(yōu)化。

其數(shù)據(jù)安全能力成熟度模型是基于能力成熟度(CMM)思想構(gòu)建的。成熟度模型對(duì)數(shù)據(jù)生命周期各個(gè)階段的企業(yè)數(shù)據(jù)安全能力進(jìn)行成熟度等級(jí)評(píng)價(jià)，獲得基于數(shù)據(jù)生命周期的各個(gè)階段的數(shù)據(jù)安全過(guò)程域的四個(gè)維度上的能力度量，進(jìn)而獲得組織體的數(shù)據(jù)安全成熟度狀態(tài)，遵循"木桶"理論的短板原則，對(duì)組織體的數(shù)據(jù)安全進(jìn)行綜合評(píng)價(jià)。配套標(biāo)準(zhǔn)可參考《大數(shù)據(jù)安全能力成熟度測(cè)評(píng)指南》和《大數(shù)據(jù)安全能力成熟度提升指南》。

DAMA在數(shù)據(jù)安全管理方面提出基于計(jì)劃、制定、執(zhí)行的過(guò)程化數(shù)據(jù)安全策略是基于PDCA的管控思想，而國(guó)家大數(shù)據(jù)安全能力成熟度的圍繞全生命周期與和4個(gè)維度的構(gòu)建，則是從企業(yè)數(shù)據(jù)資產(chǎn)全生命周期的活動(dòng)與組織體的制度、流程、人員、技術(shù)工具角度構(gòu)建。

[經(jīng)驗(yàn)體會(huì)]

通過(guò)本章的學(xué)習(xí)，結(jié)合自身工作經(jīng)驗(yàn)，談一談理解：

當(dāng)前，企業(yè)信息安全與數(shù)據(jù)安全管理方面混淆。較多企業(yè)仍基于"信息安全管理實(shí)用規(guī)則ISO/IEC27001"和"國(guó)家信息安全保護(hù)相關(guān)政策"包括：《計(jì)算機(jī)信息安全保護(hù)等級(jí)劃分準(zhǔn)則》（GB 17859-1999，以下簡(jiǎn)稱(chēng)《劃分準(zhǔn)則》）、《信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南》（GB/T 22240-2008，以下簡(jiǎn)稱(chēng)《定級(jí)指南》）、《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（GB/T 22239-2008,以下簡(jiǎn)稱(chēng)《基本要求》）等技術(shù)標(biāo)準(zhǔn)和《信息安全等級(jí)保護(hù)管理辦法》（公通字[2007]43號(hào)，以下簡(jiǎn)稱(chēng)《管理辦法》）、《關(guān)于開(kāi)展信息安全等級(jí)保護(hù)安全建設(shè)整改工作的指導(dǎo)意見(jiàn)》（公信安[2009]1429號(hào)）等文件，組織開(kāi)展企業(yè)自身的數(shù)據(jù)安全管理體系構(gòu)建，對(duì)于數(shù)據(jù)安全管理系統(tǒng)的構(gòu)建，缺乏深入的理解和認(rèn)識(shí)，還混淆在以上的信息安全體系構(gòu)建中。

相信隨著企業(yè)數(shù)據(jù)資產(chǎn)的不斷開(kāi)發(fā)和利用，企業(yè)對(duì)從數(shù)據(jù)安全管理視角，確保組織內(nèi)的數(shù)據(jù)資產(chǎn)在開(kāi)發(fā)、利用的生命周期中有效受控，確保企業(yè)數(shù)據(jù)隱私及保密的利益需求會(huì)更為突出，在數(shù)據(jù)安全管理的能力建設(shè)方面CDO首席數(shù)據(jù)官的職責(zé)會(huì)更為突出。

本文來(lái)源于微信公眾號(hào)“CDO首席數(shù)據(jù)官”，轉(zhuǎn)載請(qǐng)聯(lián)系原作者。