普及企業(yè)級數(shù)據(jù)安全管理

? ??

? ? ? 江湖傳言：數(shù)據(jù)玩的溜，牢飯吃的久？眾看官是不是聞風喪膽？

? ? ? ?每個數(shù)據(jù)開發(fā)者都應該非常深刻的明白數(shù)據(jù)安全意味著什么。簡直就是一根紅線，絲毫不能越過。

? ? ? ?近幾年，國家對個人隱私數(shù)據(jù)保護越來越強，企業(yè)在使用數(shù)據(jù)的時候也非常注重數(shù)據(jù)安全，那么，我們應該怎么做，才能保護好自己，保護好公司的數(shù)據(jù)資產(chǎn)呢？

? ? ? ?數(shù)據(jù)安全管理是計劃，制定，執(zhí)行相關安全策略和規(guī)程，確保數(shù)據(jù)和信息資產(chǎn)在使用過程中有恰當?shù)恼J證，授權等措施，最終目標是保護信息資產(chǎn)符合隱私及保密法規(guī)要求，并與業(yè)務要求相一致。

? ? ? ?使用簡單密級分類模式，對企業(yè)數(shù)據(jù)和信息產(chǎn)品進行分類，一般根據(jù)公司業(yè)務實際情況來進行劃分。

? ? ? ?任務責任人或者產(chǎn)品負責人需要對其涉及到的數(shù)據(jù)進行適當?shù)拿芗壴u估，并打上相應的標簽。可以為后續(xù)的權限管理及元數(shù)據(jù)管理打下堅實的基礎。

? ? ? ?數(shù)據(jù)脫敏是保證數(shù)據(jù)安全的最基本的手段，脫敏方法有很多，最常用的就是使用可逆加密算法，對數(shù)倉每一個敏感字段都需要加密。

? ? ?? 需要開發(fā)一套完善的數(shù)據(jù)權限控制體系，最好是能做到字段級別，有些表無關人員是不需要查詢的，所以不需要任何權限，有些表部分人需要查詢，除數(shù)據(jù)工程師外，其他人均需要通過OA流程進行權限審批，需要查看哪些表的哪些字段，為什么需要這個權限等信息都需要審批存檔。

? ? ? 有些字段明顯是敏感數(shù)據(jù)，比如身份證號，手機號等信息，但是業(yè)務庫并沒有加密，而且從字段名來看，也很難看出是敏感信息，所以抽取到數(shù)據(jù)倉庫后需要使用程序去統(tǒng)一檢測是否有敏感數(shù)據(jù)，然后根據(jù)檢測結果讓對應負責人去確認是否真的是敏感字段，是否需要加密等。

? ? ? 流程化主要是體現(xiàn)在公司內(nèi)部取數(shù)或者外部項目數(shù)據(jù)同步，取數(shù)的時候如果數(shù)據(jù)量很大或者包含了敏感信息，是需要提OA ?審批流程的，讓領導及對應數(shù)據(jù)負責人知道誰要取這些數(shù)據(jù)，取這些數(shù)據(jù)的意義在哪，出了問題可以回溯，快速定位到責任人。

? ? ? ??開發(fā)外部項目的時候，不同公司之間的數(shù)據(jù)同步，是需要由甲方出具同意書的，并且需要簽署責任條款，需要不定期出示數(shù)據(jù)安全報告，否則的話風險太大。

? ? ? 及時發(fā)現(xiàn)敏感sql的執(zhí)行并詢問責任人，事后分析操作日志，查出有問題的操作。

? ? ? 數(shù)據(jù)部門需要把數(shù)據(jù)安全當做一項KPI去考核，讓大家積極的參與到數(shù)據(jù)安全管理當中去。

? ? ? 企業(yè)安全部門需要整理數(shù)據(jù)安全規(guī)范文檔，然后發(fā)給大家讓大家系統(tǒng)的了解數(shù)據(jù)安全以及應該如何操作。

? ? ? ?組織內(nèi)部安全部門或者外部審計人員來執(zhí)行數(shù)據(jù)安全審計，其目標是為管理層和數(shù)據(jù)治理委員會提供客觀中肯的評價，合理可行的建議

• ? ? ? ? ?審計范圍大體上包含

• ? ? ? ? ?安全策略聲明

• ? ? ? ? ?標準文檔
  

• ? ?? ? ? 實施指南

• ? ? ? ? ?變更請求

• ? ? ? ? ?訪問監(jiān)控日志
  

• ? ? ?? ? 報表輸出

• ? ? ?? ? 其他電子和書面記錄等

? ? ? ?不要為了一時的利益，泄露公司數(shù)據(jù)資產(chǎn)，輕則行業(yè)名聲敗壞，重則要負法律責任，一定要三思而后行！