CISSP筆記心得 8-(淺談資料保護)

前面談完資料的盤點與分類,接下來要談的就是保護(因為 資產就是在講盤點分類保護),在CISSP中保護的東西以資訊資產為主其中又以資料為主,但是其實是有8根毛。

那麼所謂的資料安全又稱為(Data Security),可以從很多種角度來看,從擁有者角度來看。 可以簡要分成個人企業

個人 

個人資料(個資):「個資」是「個人資料」的簡稱。根據多數的資料保護法規,個人資料的定義大致是指可以直接或間接地識別特定自然人身分的任何資訊。這包括但不限於:

    1. 姓名
    2. 地址
    3. 電子郵件地址
    4. 身分證號或其他政府發放的識別號碼
    5. 出生日期
    6. 電話號碼
    7. 銀行賬戶或信用卡資訊
    8. 健康或醫療紀錄

簡單說就是可直接或間接追溯到當事人的資料

    • 角色

a) 資料當事人(Data Subject):

通常指的是被某些個人資料所描述或識別的自然人。簡而言之,資料當事人就是個人資料的「擁有者」或「主體」。當我們談論到資料的收集、處理、儲存和傳輸時,資料當事人應該是能夠行使某些權利(如查看、更正或刪除其資料的權利)的人。

例如,如果一家公司存儲了有關其員工的資訊(如姓名、地址、生日等),那麼這些員工就是這些資料的「資料當事人」。他們有權知道這些資料如何被使用,以及在某些情境下可能還有其他的資料保護權利。

b) 資料控制者(Data Controller):

資料控制者指的是確定個人資料處理方式和目的的法人或自然人。換句話說,它是決定「為何」以及「如何」處理該個人資料的實體或個體。這包括但不限於決定哪些資料應該被收集、資料如何應該被儲存、與誰分享、以及何時刪除。

舉例來說,如果一家公司決定收集其顧客的電子郵件地址以發送促銷資訊,那麼該公司就是該電子郵件地址的資料控制者,因為它決定了收集資料的目的和方式。

c) 資料處理者(Data Processor):

資料處理者指的是代表資料控制者處理個人資料的法人或自然人。而「處理」在此上下文中具有廣泛的定義,包括收集、記錄、組織、結構、儲存、調整或更改、擷取、查詢、使用、透露透過傳輸、散播或以其他方式提供、整合或組合、限制、刪除或銷毀。

簡單來說,資料處理者為資料控制者提供某種服務,該服務涉及到個人資料的處理。資料處理者必須僅根據資料控制者的指示進行資料處理。

舉例來說,如果一家公司(作為資料控制者)決定使用第三方的雲服務來儲存其顧客的個人資料,那麼該雲服務提供商就是資料處理者。

隱私權(Privacy):隱私權是指個體在其私生活、家庭、通訊以及個人資料方面,有權不受到未經授權的干擾、存取或揭露的權利。這包括對個人資訊的保護,如生物資訊、通訊記錄、網絡活動和其他與個體有關的敏感資料。

每個人都應保有個人資料被運用的權利

    • 隱私權處理原則(Privacy Principles):告知目的,取得同意,蒐集最小化,開放修改,開放刪除,
    • 做好資安,出事通知,出事負責

去識別化(De-identification):不算個資,因為無法直接或間接識別出特定個人

a) 匿名化(Anonymization):完全匿名

b) 假名化(Pseudonymization):有條件回溯

企業:營業秘密
    • 角色 :

a)資料擁有者(Data Owner):

資料擁有者的角色通常包括決定誰可以訪問其擁有的資料、資料的使用方式,以及資料的保護等級。他們也可能決定資料的保存期限和銷毀政策。當資訊系統或應用程式需要變更時,資料擁有者往往需要進行評估和批准。

值得注意的是,資料擁有者可能並不直接參與日常的資料管理或操作。例如,他們可能會指定IT部門或其他部門來管理和保護他們所擁有的資料,但最終的決策權和責任仍然歸資料擁有者。

簡單來說,資料擁有者是具有最終決策權的實體或個體,負責該資料的整體生命週期,從創建到銷毀。

簡單說就是責任Owner,當責,要做資料分類與授權決策,但不做設定

責任:

          1. 建立適當保護數據/信息的規則
          2. 授權給其他人
          3. 識別以及瓶評估公共安全控制狀況
          4. 像信息所有者提供有關信息所在系統的安全要求和安全控制輸入

b) 資料管家(Data Steward):

資料管家主要負責確保組織中的資料質量、整合性、可用性和安全性。

以下是資料管家的主要職責和角色:

        1. 資料質量:確保資料的準確性、一致性、及時性和完整性。
        2. 資料定義和標準化:參與定義資料標準、規範和定義,確保組織內部的資料定義是一致的。
        3. 資料政策和規則:協助創建、實施和監督資料相關的政策、程序和規則。
        4. 資料整合:確保資料在不同系統、應用程式或資料庫之間能夠有效且一致地流動。
        5. 資料安全和隱私:與資訊安全團隊合作,確保資料的保密性、完整性和可用性,並確保組織遵循相關的資料保護和隱私法律。
        6. 資料的生命週期管理:確保資料在其生命週期的各個階段都得到妥善的管理,從資料的創建、使用、保存到銷毀。

通常,資料管家在組織中會擁有某個特定領域(如財務、銷售、市場營銷等)的資料專業知識,並且他們會與其他業務部門、IT部門以及資料科學家等密切合作,以確保資料的策略和執行都與組織的目標和需求一致。

簡單說就是負責維護資料品質

c) 資料控制者(Data Custodian):

「資料控制者(Data Custodian)」,有時也被稱為「資料守護者」,在資訊管理領域中主要負責資料的實際存取、儲存和維護。他們的職責通常更偏向技術層面,而非策略或業務層面。

以下是資料控制者的主要職責和角色:

          1. 技術實施:資料控制者通常是實施組織的資料政策和規則的技術專家。他們負責確保資料的實際存儲、管理和處理符合組織的規範和要求。

          2. 資料儲存和備份:資料控制者負責確保所有資料都有適當的備份和復原計劃,以保護資料免受損失或毀壞。

          3. 安全控制:根據組織的資料安全策略,資料控制者實施必要的安全控制,如加密、防火牆和訪問控制。

          4. 資料生命週期管理:資料控制者確保資料在其生命週期中的實際操作,如資料創建、更新、刪除和存儲,都得到妥善的技術管理。

          5. 資料訪問:資料控制者可能還負責設定和維護資料的訪問權限,以確保只有獲授權的用戶能夠訪問或修改特定的資料。

簡單說就是依照Data Owner授權決定,在系統上做權限設定

資料狀態(Data State):
  • 資料三態

i. 儲存中(At Rest):存在硬碟

photo of optical disc drive

ii. 傳輸中(In Motion):傳輸中

red and gray train rail

iii. 使用中(In Use):已載入記憶體執行

SODIMM RAM stick

資料生命週期(Data Life Cycle)

資料生命週期(Data Life Cycle)描述了資料從創建到銷毀的整個過程。它涉及資料在其存在期間經歷的各個階段,並強調在每個階段中的資料管理和保護策略。以下是資料生命週期的主要階段:

    1. 創建/產生:這是資料開始的地方。無論是通過自動化系統生成的資料、使用者輸入或外部資料來源,這個階段都是資料進入系統的起點。

    2. 存儲:在資料被創建或獲得後,它會被保存在某處,通常是在資料庫、雲存儲或物理儲存媒介上。

    3. 使用:資料被應用程式、用戶或其他系統所用,以滿足某種業務或操作需求。

    4. 共享/傳輸:資料可能需要在系統、地點或組織之間進行移動。這可能涉及到資料的複製或轉移。

    5. 存檔:對於不再活躍但仍可能需要的資料,它可以被存檔以供未來參考。存檔的資料通常會被移到更經濟的存儲媒介上,並在需要時進行檢索。

    6. 銷毀/刪除:當資料不再需要,或當其保留期限已過時,它應被安全地銷毀或刪除,以確保資料的隱私和安全。

在資料的整個生命週期中,都需要考慮到資料的保護、隱私、質量和整合性。管理資料生命週期的目的是確保資料在其整個存在期間都能夠最大化地為組織帶來價值,同時還要確保資料的安全性和合規性。

發佈留言