数据安全管理是计划、制定、执行相关安全策略和规程,确保数据和信息资产在使用过程中有恰当的认证、授权、访问和审计等措施。关联图:
一、概念
数据安全管理的最终目标是保护信息资产符合隐私及保密要求。主要基于以下几方面的考虑:
1)利益相关者的要求:作为数据的最终拥有者,组织必须保证利益相关者的隐私和保密要求;
2)政策法规要求;
3)特定业务要求:保护特定数据,比如知识产权,商业机密等;
4)合法访问要求:按组织的业务战略和规则、流程要求来确定特定角色对数据的访问权限;
数据安全要求4A:认证(Authentication)、授权(Authorization)、访问(Access)、审计(Audit);
二、活动
开展数据安全活动首先要理解数据安全需求和监管要求。这其中需要区分业务规则和程序,以及应用软件产品的规划。
企业内部数据安全首先要理解业务要求,企业使命和业务战略影响着数据战略,也是规划数据安全策略的因素。业务要求定义了数据安全要求的严格程度。同时,企业规模和所属行业也具有重大影响。可以在业务规则和流程定义中设置安全点,执行安全要求和策略。可以通过数据到流程、数据到角色的关系矩阵来管理要求,从而定义数据安全角色、参数和权限的定义。
在每个系统开发的分析阶段就识别具体的应用安全要求,也包括企业使用的其他软件工具、应用程序包、IT系统管理等。
面对全球化的趋势,还应当及时识别和遵守各类组织的政策法规要求,并关注这些法律法规的变化更新。
1、定义数据安全策略
基于数据安全要求定义数据安全策略,需要各类角色的协同努力。
企业IT战略和标准通常确定了访问企业数据资产的高级策略。数据治理委员会评审和批准高层次的数据安全策略。
IT安全策略和数据安全策略同属于企业综合安全策略。与IT安全策略相比,数据安全策略是以数据为中心,包括定义目录结构和身份管理框架、定义应用程序、数据库角色、用户组和密码标准等。
2、定义数据安全标准
目前并没有国际上统一的数据安全标准,组织需要设计自己的安全控制措施。这些安全措施需要符合法律法规要求,同时记录这些措施的执行情况。
组织在制定安全标准时应注重实用性和可执行性,安全标准的工作重点应当是策略的质量和一致性,以同一格式呈现,便于相关方访问。策略执行需要满足4A要求。
数据治理委员会评审和批准这些策略,数据安全策略由数据管理执行官和IT安全管理员负责。
3、定义数据安全控制和措施
实施和管理数据安全策略主要是安全管理员的职责。数据库安全往往是数据库管理员DBA的职责。组织可通过实施控制流程实现数据安全控制。
组织必须实施适当的控制,这种控制需要实施一个流程,结合跟踪所有用户权限请求的变更管理系统,用以验证分配权限。可能还需要以工作流审批或签署文件的形式、记录和归档每一个请求。
4、管理用户、密码和用户组成员
通过角色(角色组、岗位等)把访问和更新权限等数据安全控制权限进行分类,授予一类用户。可以通过子角色进一步进行复杂的权限控制管理,如下图:
需要注意的是安全管理员也需要按照一定级别来设定权限,执行不同的管理职能。整个过程需要通过变更管理系统进行跟踪。在异构系统中,用户和角色组等管理的一致性难度较大,容易形成数据孤岛,造成冲突,可以采用集中管理用户身份和角色数据的方式。
密码标准和规程:
- 按照安全标准设置密码复杂性要求;
- 注意不同平台、应用系统和工作站的不同账户和密码,可以通过建立同步机制来减少管理复杂度;(单点登录)
- 建立密码使用时间(到期更换)、初始密码设置为立即过期等规则;
5、管理数据访问视图和权限
数据安全管理有两方面:防止不适当的数据访问;建立有效适当的数据存取。大部分的数据不限制访问权限,对于敏感数据应通过授权控制访问。上面已经提到可以通过角色和组的方式对不同访问权限的用户进行授权限制。在关系数据库中,还可以通过视图进行基于数据行和列的限制访问。
要特别注意系统的管理员帐户和共享服务帐户,这类账户往往具备特权,且一般会忽略对这类账户的监控,需要仔细评估这类账户的使用情况。
6、监控用户身份认证和访问行为
监控是为了检测异常和可疑行为,便于管理类员进一步调查和解决问题。可以是主动行为,也可以是被动行为。自动化监控配合一定的人工检查,是最佳的监控方式。自动监控会增加系统的开销,影响系统性能,所以对于需要监控什么内容,监控多久,以及在报警后采取什么样的行为,需要仔细分析,找到最佳监控配置。
在安排监控工作时,对于财务、工资等保密信息通常采取实时积极的监控措施(主动监控),可以及时提醒安全管理员或数据管理专员。
对于跟踪系统随着时间推移产生的变化,可以定期抓取系统状态快照,对照基准或标准进行趋势分析(被动监控)。
7、划分信息密级
可以根据组织对数据和信息的安全要求不同划分密级,以下是一个典型的密级分类模式:
- 公众级:信息可以提供给任何人,包括普通公众。这个一般作为默认分类;
- 内部使用:信息限制在雇员或组织成员中,共享给组织外风险也不大;
- 机密:资料不应共享至组织外部。客户机密信息不应该共享给其他客户;
- 受限机密:信息受限,承担某些角色的个人按需知密;
- 注册机密:这类信息需要接触人员签订一份法律协议才能访问,并承担保密责任;
8、审计数据安全
审计数据也是安全性的控制活动,负责分析、验证、讨论,据以建议数据安全管理政策、标准和活动。审计是基于实际工作细节进行的分析工作,审计工作可以由组织内部和外部的人员来执行,但审计人员必须独立于数据管理工作之外,以确保审计结果的公平性。
数据安全策略声明、标准文档、实施指南、变更请求、访问监控日志、报表,以及其他书面和电子记录都是审计工作的基础。除了评审已有的这些信息外,审计活动还包括执行一些测试和检查。如:
- 按照最佳实践和需求,分析数据安全策略和标准;
- 分析规程和实际做法的差异,确保数据安全目标、策略、标准、指导方针和预期效果一致;
- 评标标准和规程是否恰当,是否满足业务和技术要求;
- 验证机构是否符合监管法规要求;
- 数据安全行为监控的上报规程和通知机制;
- 评审合同、数据共享协议、确保外包和外部供应商切实履行他们的数据安全义务,同时保证组织自己也要履行自己的义务;
- 向相关方报告组织内的数据安全状态,以及组织的数据安全实践成熟度;
- 推荐数据安全的设计、操作和合规改进工作;
审计是一项支持性的、重复性的工作,应该有序、高效、规律持续的执行。
三、外包项目的数据安全
对于组织选择外包某些IT职能的(甚至是数据安全管理职能),需要特别关注外包项目的数据安全。因为与这些工作相关的责任是由组织自己承担的。
任何形式的外包都会给组织带来额外的风险和挑战,因此任何数据安全措施和流程都必须考虑到外包厂商的风险,做为内部风险来对待。不仅仅是问责机制,还包括更严格的风险管理和控制机制,比如在外包合同中规定有限责任条款和审计权利等。
在外包环境中,保持和跟踪完整的监管链条很关键,可以建立CRUD(创建、读取、更新和删除)矩阵,该矩阵绘制了跨业务流程、应用、角色、组织的数据职责,跟踪信息流和监管链。RACI矩阵有助于澄清角色职责,把数据安全管理需求中不同角色的责任和义务分开。可以在合同中明确双方责任和所有权,从而为数据安全策略以及实施提供支持。
在外包IT运营中,组织仍然有维护数据的责任,但关键是为外包协议的各方建立适当的履约机制和明确的工作期望。
四、数据操作管理的指导原则
数据安全管理职能的15个指导原则:
- 要做一个各方信任、负责任的数据管理专员,对数据的组织要理解和尊重所有利益相关者的隐私和保密需求;
- 了解并遵守所有相关法规和指引;
- 数据到流程和数据到角色的关系矩阵(CRUID)有助于绘制数据访问需要,并指导数据安全角色组、参数和权限的设置;
- 明确数据安全要求和数据安全策略是一项协同工作,涉及IT安全管理员、数据管理专员、内部和外部审计团队以及法律等,数据治理委员会应评审和批准高层次的数据安全策略;
- 在每个系统开发项目的分析阶段,识别具体的应用系统安全要求;
- 对比简单的密码分级模式,对组织所有的数据和信息进行分类;
- 每个账户都应由用户自己设置密码,并遵照密码复杂度要求,定期进行更新;
- 创建角色组,定义角色权限,并通过角色为用户分配权限,尽可能的给每个用户分配到唯一的角色组;
- 对用户和组进行初始授权,以及后续的授权变更等需要得到正式请求、跟踪、批准;
- 为避免安全访问信息的数据完整性问题,要求集中管理用户身份数据和组成员数据;
- 使用关系型数据库视图来限制对敏感行和列的访问;
- 严格限制并仔细考虑每一个共享账户和管理账户的使用;
- 积极监控对某些信息数据访问行为,并利用数据访问活动定期快照,了解发展的趋势与管理标准的差异;
- 定期进行客观独立的数据安全审计,以核实合规性和对标准的符合性,并分析数据安全策略有效性和数据安全实践成熟度;
- 在外包环境中,要明确界定数据安全的角色和职责,并理解跨组织和角色的数据监控链;
五、过程总结
六、组织和文化的影响
大部分的组织不是积极主动,而是消极被动的应对数据安全管理问题。成功的数据安全管理是安全理念深入到企业文化中。
在一个具有过程管理和企业文化的组织内,会有强大的安全数据管理框架支持,很少会遭遇到安全挑战。定期评估数据安全策略、规程和活动,在数据安全和所有利益相关者的需求间获得平衡,这是一个艰巨的任务。
数据安全对于不同的组织和不同的人存在差异,不恰当和不一致的数据安全措施也会带来负面影响。应该让客户和员工积极参与到数据安全活动中,在符合数据安全规定和措施中,充分考虑人的观点,建立数据安全意识,自觉遵守数据安全规程和标准。
