《数据管治何锦华 IBM全球服务部亚太区信息安全经理课件》由会员分享,可在线阅读,更多相关《数据管治何锦华 IBM全球服务部亚太区信息安全经理课件(19页珍藏版)》请在金锄头文库上搜索。
1、2020/9/13,Data Governance数据管治,Transforming Governance and Operational Risk Management,何锦华 CISM、CISA、CISSP IBM全球服务部亚太区信息安全经理,管治转换与运营风险管理,2,2020/9/13,主要内容,信息安全面对的威胁与挑战 IBM 数据管治策略 数据管治协会 Data Governance Council 结论,3,2020/9/13,存在的威胁及其来源,4,2020/9/13,美数据处理公司遭入侵四千万张信用卡资料外涉 18/06/2005,美国一间为信用卡公司结算的公司,计算机系统被
2、入侵,可能有多达四千万名信用卡客户数据外泄,主要是客户姓名及银行账号资料。当中一千四百万是万事达卡,二千二百万张是VISA卡,联邦调查局正调查。万事达卡说,他们有七万名客户资料失去,并已发现部份诈骗个案,怀疑同事件有关。 汇丰及恒生银行都说,若本港客户资料外泄,会为他们更换信用卡。金管局表示会向银行了解。,万事达国际组织(MasterCardInternational)表示,信用卡付款资料遭到入侵,导致四千万张各品牌的信用卡信息被外涉。有分析家认为今次是有史以来最大宗侵犯私隐案件。 公司发言人向路透社表示,公司的保安人员发现 CardSystems Solutions公司的数据遭到计算机入侵,
3、这家公司是万事达国际的合作伙伴,代表金融机构与商家处理交易事宜。发言人指,至今已发现少量因今次安全漏洞而引起的诈骗事件,但比例相当小,联邦调查局正展开调查。,金管局会了解信用卡资料外泄 18/06/2005,5,2020/9/13,香港市民忧电子资料外泄,2006-4-7 【大公报讯】警监会资料外泄事件发生後,一项调查发现,有近四成受访者表示,此事影响他们使用电子服务的信心,也有近三成受访者担心资料外泄。 三月中警监会发生投诉人资料外泄事件,引起各界对网上资料保密措施的讨论。有见及此,新论坛联同正荆社进行一个有关市民使用政府网页的调查,旨在了解市民对使用电子服务的习惯及对警监会资料外泄事件的意
4、见。 调查发现,有近八成市民知道警监会资料外泄事件,有约四成表示此事会降低他们使用电子服务的信心。此外,在使用网上服务的人士中,近半数不会在网上提供个人资料,也有近三成市民担心资料外泄。 负责调查机构建议,政府应加强监察内部资料储存的程序和守则,并尽量减少外判服务,尤其是涉及敏感资料及个人私隐的服务,避免市民资料外泄。,6,2020/9/13,个人资料隐私与安全Personal Data Privacy and Security,美国参议院在2005年提出个人资料隐私与安全法案 (Personal Data Privacy and Security Act) ,藉由制定与企业资料安全相关的法规
5、及对资讯窃取行为的相关罚则,希望能降低资安事件对企业营运与民生经济的影响。 香港亦已於1996年起实施个人资料(私隐)条例 条例的目的,是在个人资料方面保障在世人士的私隐,并保障个人资料得以不受限制地从已实施资料保障法例的国家和地区自由流入香港,这有助促进本港经济的持续发展 。,针对近来多项重大资料外洩事件,不论是由政府立法、或由民间企业主动发起,国际间已采取许多具体行动因应。,7,2020/9/13,美国参议院在2005年提出个人资料隐私与安全法案Personal Data Privacy and Security Act,个人资料隐私与安全法的要点如下: 以严密的法规架构规範资料经纪者(d
6、ata brokr),也就是蒐集、传输或以其他方式提供5,000笔以上足以辨识非顾客或员工身分之个人资料的公司或非营利机构。资料经纪者必须遵守一套仿欧洲式的规定,包括强制向相关的个人公开纪录。 修改电脑犯罪防治法,对入侵资料库者处以新的惩罚。入侵资料经纪人的系统,得处以罚款和十年徒刑。若某公司或个人蓄意隐瞒某些类型的重大资料外洩事件,得处五年徒刑。 强制身为资料专有者(sol propritor)的大多数企业与个人遵守广泛的个人资料隐私与安全计画-类似Gramm-Lach-Blily法的规定。 命令身为资料专有者的企业与个人,在电脑安全系统遭入侵事件影响上万人的情况下,必须通知相关人士。 要求
7、检讨联邦判刑规章,对滥用个人身分辨识资料者加重处罚,并授权司法部准钗政府加强对身分诈欺相关犯罪行为的执法工作。 若某联邦机构依赖内含以美国公民个人资料为主的商业资料库,必须进一步做隐私影响评估。如果该资料库的内容涵盖全球,不以美国公民的资料为主,则此要求并不适用。另外,联邦机构的个人资料过滤计画,必须取得国会明确授权始能为之。,Source ,8,2020/9/13,香港个人资料(私隐)条例1996,保 障 资 料 原 则 收 集 资 料 的 目 的 及 方 式 : 订 明 须 以 合 法 及 公 平 的 方 式 收 集 个 人 资 料 , 以 及 列 明 资 料 使 用 者 在 向 资 料
8、当 事 人 收集 个 人 资 料 时 , 应 向 该 当 事 人 提 供 的 资 料 。 个 人 资 料 的 准 确 性 及 保 留 期 间 : 订 明 所 保 存 的 个 人 资 料 必 须 是 准 确 和 最 新 的 资 料 , 而 保 存 期 间 不 得 超 过 实 际 需 要 。 个 人 资 料 的 使 用 : 订 明 除 非 获 得 资 料 当 事 人 同 意 , 否 则 个 人 资 料 只 可 用 於 在 收 集 资 料 时 所 述 明 的 用 途 或 与 其 直 接 有 关 的 用 途 。 个 人 资 料 的 保 安 : 订 明 须 采 取 适 当 保 安 措 施 保 障 个 人
9、 资 料 包 括 其 存 在 形 式 令 查 阅 或 处 理 并 非 切 实 可 行 的 资 料 。 资 讯 须 在 一 般 情 况 下 可 提 供 订 明 资 料 使 用 者 须 公 开 所 持 有 的 个 人 资 料 类 别 , 以 及 该 等 个 人 资 料 所 作 的 主 要 用 途 。 查 阅 个 人 资 料 : 订 明 资 料 当 事 人 有 权 查 阅 及 改 正 其 个 人 资 料 。 罪 行 及 补 偿 条 例 订 明 各 项 罪 行 , 例 如 不 遵 守 私 隐 专 员 发 出 的 执 行 通 知 , 可 被 处 第 5级 罚 款 (目 前 是 50,000元 )及 监
10、禁 2年 。 条 例 亦 订 明 , 任 何 个 人 如 因 资 料 使 用 者 违 反 条 例 的 规 定 而 蒙 受 损 害 , 包 括 感 情 的 伤 害 , 则 有 权 向 有 关 资 料 使 用 者 要 求 补 偿 。,Source http:/www.pco.org.hk/chinese/ordinance/ordglance1.html,9,2020/9/13,数据管治与其面临的挑战,安全、隐私、符合性和风险方面的挑战,需要用通用的方案予以解决。 人事组织与IT角色、行为之间的脱节。 鲜有技术手段可以在正确的时间为正确的人员获的正确的信息以做出正确的抉择。 没有统一的方法来量化运
11、营风险。 政策与规定之间的混乱。 非结构化与非标准的政策手段。 政策与IT系统和管治模型之间没有关联。 业务规定与政策或业务流程之间没有关联。 对原始数据的分类和IT整合缺乏通用的手段 在未对结果定性之前,应对措施就已经布置到位。,挑战,数据管治是众多公司用于掌控适当访问其关键数据的过程。这个过程通过衡量并减轻运营上和安全上的与访问相关的风险来达到掌控的目的。,10,2020/9/13,主要内容,信息安全面对的威胁与挑战 IBM 数据管治策略 数据管治协会 Data Governance Council 结论,11,2020/9/13,IBM的数据管治 基本原则,制定数据管治规定和政策以符合合
12、约所规定的职责,并且保护股东和与各方面的关系,包括与客户、供应商和处理公司信息的第三方公司。 在有效地访问数据与恰当地使用数据之间寻求平衡点。 谁对于某种信息拥有所有权 谁可以使用这些信息,为了何种目的 使用技术手段使得控制模型具有强制执行力。 改进一成不变的数据管治原则与框架,使之与政府的法规相符,并能正确地应用于IBM收集或产生的信息。,采用一种跨公司的控制模型来掌控信息的使用方式,提高所有数据的安全性和整合性,同时在个人与公司两个层面上保护隐私权。,Source: ,12,2020/9/13,IBM的数据管治 关键的成功要素,所有的IBM员工都必须定期对我们的业务行为准则进行认证。这些准
13、则除了有很多指导和禁令以外,还管治着我们对于多种信息的使用情况:如员工隐私;所有权;知识产权;记录、报告和保存方面的信息;他人所拥有的信息;内部信息与内部交易。 为增强IBM的数据管治能力,我们对客户数据库进行了巩固,使得我们可以从更多方面了解客户,以及对于客户的数据有更深入的理解。 利用IBM的认证与访问控制技术,如Tivoli系列的产品,我们可以限制对敏感信息的访问,使之只向特定人群开放。,在满足基本原则的基础上,有效的数据管治最终决于三方面要素(人员、流程和技术)能够有机而自主地协同工作。IBM始终致力于开发能够在整个企业范围内更好地整合这三方面要素的方法。,Source: ,13,20
14、20/9/13,主要内容,信息安全面对的威胁与挑战 IBM 数据管治策略 数据管治协会 Data Governance Council 结论,14,2020/9/13,数据管治协会 Data Governance Council,于2005年,IBM宣布与几十个企业集团合作,共同成立一个称之为数据管治协会 (Data Governance Council)的机构,在这份与IBM合作的名单上有像荷兰银行(ABN Amro)、美国运通(American Express)、德意志银行(Deutsche Bank)、美林(Merrill Lynch)、世界银行(World Bank), 美国全美教师保
15、险及年金协会(TIAA-CREF)告示国际知名的企业集团。 数据管治协会:,明确和解决通用的数据管治问题,为安全、隐私、信任和公司执行问题寻找解决方案。 专注于如下几方面的管理事务:数据管治政策,政策方针对于业务流程和业务活动的影响,IT基础架构、内容和组织行为方面政策的强制执行力。 在企业内部与企业之间,建立起一个管治与保护个人数据和组织数据的蓝图,并且利用IBM和IBM业务合作伙伴的解决方案与概念,明确这个数据管治蓝图将如何应用于各种企业和组织。,Source: ,15,2020/9/13,IBM数据管治蓝图 Data Governance Blueprint,有一整套通用的工具通力协作以
16、支持决策数据管治的人员和业务流程 政策的规定涵盖了整个企业范围 数据是被分类、赋值和保护的 政策由逐条的规定构成,并且被整合进了业务流程中。 运营风险被量化进业务流程中 事件会被管控,损失会被记录 最终情况会被显示在终端面板上,并随时间而更新 请注意:以上这些是属于并发而且会反复更新的过程。,16,2020/9/13,IBM与业务伙伴用于数据管控蓝图的产品,政策部署,原始数据建模,业务规定管理,业务、运营风险和管治处理建模,事件管理与稽核记录,onDemand 管治终端面板,1.,2.,3.,4.,5.,6.,IBM Rational ReqPro IBM Workplace for Business Controls,IBM Rational Data Architect IBM DB2 Database Integrator,Corticon Business Rules Modeling Studio,IBM Websphere Business Integration Modeler IBM Tivoli Identity Management DB