資料安全治理中的資料訪問控制原則
阿新 • • 發佈:2018-11-30
經過二十多年資訊化和網際網路經濟的發展,資料成為繼現金和技術之後又一核心價值資產;資料黑產在過去十年裡蓬勃發展,讓每個人、每個企業和國家的資料面臨著巨大威脅;只有合理地處理好資料資產的使用與安全,企業與國家才能在新的資料時代穩健而高速發展。對於敏感資料的安全管理和使用,是資料安全治理的核心主題。
針對資料使用的不同方面,需要完成對資料使用的原則和控制策略,中國資料安全治理理念的提出和先行者安華金和根據自身的專業經驗和客戶的資料安全治理實踐,總結了資料訪問的賬號和許可權管理相關的原則和控制內容,一般包括如下方面:
(1)專人賬號管理
(2)賬號獨立原則
(3)賬號授權審批
(4)最小授權原則
(5)賬號回收管理
(6)管理行為審計記錄
(7)定期賬號稽核
資料使用過程管理中,相關的原則和控制內容包括:
(1)業務需要訪問原則
(2)批量操作審批原則
(3)高敏感訪問審批原則
(4)批量操作和高敏感訪問指定裝置、地點原則
(5)訪問過程審計記錄
(6)開發測試訪問模糊化原則
(7)訪問行為定期稽核
資料共享(提取)管理,相關的原則和控制內容包括:
(1)最小共享和模糊化原則
(2)共享(提取)審批原則
(3)最小使用範圍原則
(4)責任傳遞原則
(5)定期稽核
資料儲存管理,相關的原則和控制內容包括:
(1)涉密資料儲存的網路區隔
(2)敏感資料儲存加密
(3)備份訪問管理
(4)儲存裝置的移動管理
(5)儲存裝置的銷燬管理
建立健全完善的資料訪問賬號和許可權管理相關的原則和控制內容是資料安全治理過程中重要的一步,只有針對所有訪問敏感資料的賬號和賬號訪問敏感資訊內容許可權進行合理的授權,才能實現敏感資料的合理訪問,實現資料的合規性使用。