经过二十多年信息化和互联网经济的发展,数据成为继现金和技术之后又一核心价值资产;数据黑产在过去十年里蓬勃发展,让每个人、每个企业和国家的数据面临着巨大威胁;只有合理地处理好数据资产的使用与安全,企业与国家才能在新的数据时代稳健而高速发展。对于敏感数据的安全管理和使用,是数据安全治理的核心主题。
针对数据使用的不同方面,需要完成对数据使用的原则和控制策略,中国数据安全治理理念的提出和先行者安华金和根据自身的专业经验和客户的数据安全治理实践,总结了数据访问的账号和权限管理相关的原则和控制内容,一般包括如下方面:
(1)专人账号管理
(2)账号独立原则
(3)账号授权审批
(4)最小授权原则
(5)账号回收管理
(6)管理行为审计记录
(7)定期账号稽核
数据使用过程管理中,相关的原则和控制内容包括:
(1)业务需要访问原则
(2)批量操作审批原则
(3)高敏感访问审批原则
(4)批量操作和高敏感访问指定设备、地点原则
(5)访问过程审计记录
(6)开发测试访问模糊化原则
(7)访问行为定期稽核
数据共享(提取)管理,相关的原则和控制内容包括:
(1)最小共享和模糊化原则
(2)共享(提取)审批原则
(3)最小使用范围原则
(4)责任传递原则
(5)定期稽核
数据存储管理,相关的原则和控制内容包括:
(1)涉密数据存储的网络区隔
(2)敏感数据存储加密
(3)备份访问管理
(4)存储设备的移动管理
(5)存储设备的销毁管理
建立健全完善的数据访问账号和权限管理相关的原则和控制内容是数据安全治理过程中重要的一步,只有针对所有访问敏感数据的账号和账号访问敏感信息内容权限进行合理的授权,才能实现敏感数据的合理访问,实现数据的合规性使用。