雷鋒網編者按：5 月 22 日，在第二屆中國數(shù)據(jù)安全治理高峰論壇上，由數(shù)據(jù)安全治理委員會編寫、數(shù)據(jù)安全公司安華金和出品的一份《數(shù)據(jù)安全治理白皮書》正式發(fā)布。雷鋒網在梳理該白皮書時，發(fā)現(xiàn)一個某運營商如何使用用戶數(shù)據(jù)的實例，幾天前，一則新聞稱，“美國四大電信運營商均中招，網站漏洞會泄露手機用戶位置”，在敏感的數(shù)據(jù)時代，用戶數(shù)據(jù)究竟如何被相關機構使用？雷鋒網從中摘出若干信息，以饗讀者。

1.某運營商的數(shù)據(jù)安全治理的相關組織和角色結構圖

注：其中深色是部門，淺色是角色，這個結構中可以看到覆蓋了業(yè)務、安全、運維和企業(yè)的相關管理支撐部門。 

2.某運營商對數(shù)據(jù)分級分類的結果

只有對數(shù)據(jù)進行有效分類，才能避免一刀切的控制方式，在數(shù)據(jù)的安全管理上采用更加精細的措施，使數(shù)據(jù)在共享使用和安全使用之間獲得平衡。

數(shù)據(jù)分級分類的原則:
分類：依據(jù)數(shù)據(jù)的來源、內容和用途對數(shù)據(jù)進行分類; 分級:按照數(shù)據(jù)的價值、內容敏感程度、影響和分發(fā)范圍不同對數(shù)據(jù)進行敏感級別劃分。 

數(shù)據(jù)分級分類方式：

根據(jù)梳理出的備案數(shù)據(jù)資產,進行敏感數(shù)據(jù)的自動探測,通過特征探測定位敏感數(shù)據(jù)分布在哪些數(shù)據(jù)資產中;針對敏感的數(shù)據(jù)資產進行分級分類標記,分類出敏感數(shù)據(jù)所有者（部門、系統(tǒng)、管理人員等）；根據(jù)已分類的數(shù)據(jù)資產由業(yè)務部門進行敏感分級,將分類的數(shù)據(jù)資產劃分公開、內部、敏感等不同的敏感級別。

以下分別為數(shù)據(jù)分類表和數(shù)據(jù)分級表：

3.某運營商對敏感系統(tǒng)分布的梳理結果

數(shù)據(jù)使用部門和角色梳理

對于數(shù)據(jù)治理的角色與分工，需要明確關鍵部門內不同角色的職責，一般包括:安全管理部門：政策制定者、檢查與審計管理、技術導入者業(yè)務部門:根據(jù)單位的業(yè)務職能劃分運維部門：運行維護、開發(fā)測試、生產支撐。

數(shù)據(jù)的存儲與分布梳理

敏感數(shù)據(jù)分布在哪里,是實現(xiàn)管控的關鍵。只有清楚敏感數(shù)據(jù)分布在哪里，才能知道需要實現(xiàn)怎樣的管控策略；比如，針對數(shù)據(jù)庫這個層面，掌握數(shù)據(jù)分布在哪個庫、什么樣的庫，才能知道對該庫的運維人員實現(xiàn)怎樣樣的管控措施；對該庫的數(shù)據(jù)導出實現(xiàn)怎樣的模糊化策略；對該庫數(shù)據(jù)的存儲實現(xiàn)怎樣的加密要求。

數(shù)據(jù)的使用狀況梳理

在清楚了數(shù)據(jù)的存儲分布的基礎上，還需要掌握數(shù)據(jù)被什么業(yè)務系統(tǒng)訪問。只有明確了數(shù)據(jù)被什么業(yè)務系統(tǒng)訪問，才能更準確地制訂這些業(yè)務系統(tǒng)的工作人員對敏感數(shù)據(jù)訪問的權限策略和管控措施。

在數(shù)據(jù)資產的梳理中,需要明確這些數(shù)據(jù)如何被存儲,需要明確數(shù)據(jù)被哪些部門、系統(tǒng)、 人員使用,數(shù)據(jù)被這些部門、系統(tǒng)和人員如何使用。對于數(shù)據(jù)的存儲和系統(tǒng)的使用,往往需 要通過自動化的工具進行;而對于部門和人員的角色梳理,更多是要在管理規(guī)范文件中體現(xiàn)。

對于數(shù)據(jù)資產使用角色的梳理,關鍵是要明確在數(shù)據(jù)安全治理中不同受眾的分工、權利和職責。

組織與職責，明確安全管理相關部門的角色和責任，一般包括：

安全管理部門：制度制定、安全檢查、技術導入、事件監(jiān)控與處理；

業(yè)務部門：業(yè)務人員安全管理、業(yè)務人員行為審計、業(yè)務合作方管理；

運維部門：運維人員行為規(guī)范與管理、運維行為審計、運維第三方管理：

其它：第三方外包、人事、采購、審計等部門管理。 

以運營商行業(yè)上述梳理結果為例，這僅僅是一個數(shù)據(jù)梳理的基礎,更重要的是要梳理出不同的業(yè)務系統(tǒng)對這些敏感信息訪問的基本特征，如訪問的時間、IP、訪問的次數(shù)、操作行 為類型、數(shù)據(jù)操作批量行為等，在這些基本特征的基礎上，完成數(shù)據(jù)管控策略的制訂。 

點擊獲取完整報告下載地址。

雷峰網版權文章，未經授權禁止轉載。詳情見轉載須知。