IBM全球服务部亚太区信息安全经理

1、IBM 全球信息科技服务部 2006 IBM Corporation2022/4/18Data Governance数据管治Transforming Governance and Operational Risk Management CISM、CISA、CISSP IBM全球服务部亚太区信息安全经理管治转换与运营风险管理IBM 数据管治 2004 IBM Corporation22022/4/18主要内容 信息信息安安全全面面对对的的威威胁胁与与挑挑战战IBM IBM 数据管治数据管治策略策略数据管治协会数据管治协会 Data Governance Data Governance Counc

2、ilCouncil结论结论IBM 数据管治 2004 IBM Corporation32022/4/18存在的威胁及其来源受保护资源受保护资源Protected resources外国政府外国政府 foreign government诈骗诈骗bilk竞争对手竞争对手 rival有组织犯罪有组织犯罪Organized crime内部威胁内部威胁Internal threat黑客攻击黑客攻击Hacker attack病毒病毒virus恶意攻击恶意攻击Vicious attack自然灾害自然灾害natural disease事故事故Accidence人为失误人为失误Human mistakeIBM

3、数据管治 2004 IBM Corporation42022/4/18美数据处理公司遭入侵四千万张信用卡资料外涉 18/06/2005美国一间为信用卡公司结算的公司，计算机系统被入侵，可能有多达四千万名信用卡客户数据外泄，主要是客户姓名及银行账号资料。当中一千四百万是万事达卡，二千二百万张是VISA卡，联邦调查局正调查。万事达卡说，他们有七万名客户资料失去，并已发现部份诈骗个案，怀疑同事件有关。汇丰及恒生银行都说，若本港客户资料外泄，会为他们更换信用卡。金管局表示会向银行了解。万事达国际组织(MasterCardInternational)表示,信用卡付款资料遭到入侵，导致四千万张各品牌的信用

4、卡信息被外涉。有分析家认为今次是有史以来最大宗侵犯私隐案件。公司发言人向路透社表示，公司的保安人员发现 CardSystems Solutions公司的数据遭到计算机入侵，这家公司是万事达国际的合作伙伴，代表金融机构与商家处理交易事宜。发言人指，至今已发现少量因今次安全漏洞而引起的诈骗事件，但比例相当小，联邦调查局正展开调查。 金管局会了解信用卡资料外泄 18/06/2005IBM 数据管治 2004 IBM Corporation52022/4/18香港市民忧电子资料外泄香港市民忧电子资料外泄2006-4-7【大公报讯】警监会资料外泄事件发生後，一项调查发现，有近四成受访者表示，此事影响他们

5、使用电子服务的信心，也有近三成受访者担心资料外泄。三月中警监会发生投诉人资料外泄事件，引起各界对网上资料保密措施的讨论。有见及此，新论坛联同正荆社进行一个有关市民使用政府网页的调查，旨在了解市民对使用电子服务的习惯及对警监会资料外泄事件的意见。调查发现，有近八成市民知道警监会资料外泄事件，有约四成表示此事会降低他们使用电子服务的信心。此外，在使用网上服务的人士中，近半数不会在网上提供个人资料，也有近三成市民担心资料外泄。负责调查机构建议，政府应加强监察内部资料储存的程序和守则，并尽量减少外判服务，尤其是涉及敏感资料及个人私隐的服务，避免市民资料外泄。IBM 数据管治 2004 IBM Corp

6、oration62022/4/18个人资料隐私与安全Personal Data Privacy and Security美国参议院在美国参议院在2005年提出个人资料隐私与安全法案年提出个人资料隐私与安全法案 (Personal Data Privacy and Security Act) ，藉由制定与企业资料安全相关的法规及对资讯窃取行为的相关罚则，希望能降低资安事件对企业营运与民生经济的影响。香港亦已於香港亦已於1996年起实施个人资料年起实施个人资料(私隐私隐)条例条例 条例的目的，是在个人资料方面保障在世人士的私隐，并保障个人资料得以不受限制地从已实施资料保障法例的国家和地区自由流入香

7、港，这有助促进本港经济的持续发展 。针对近来多项重大资料外针对近来多项重大资料外洩洩事件，不论是由政府立法、或由民事件，不论是由政府立法、或由民间企业主动发起，国际间已采取许多具体行动因应。间企业主动发起，国际间已采取许多具体行动因应。IBM 数据管治 2004 IBM Corporation72022/4/18美国参议院在2005年提出个人资料隐私与安全法案Personal Data Privacy and Security Act个人资料隐私与安全法的要点如下：个人资料隐私与安全法的要点如下：以严密的法规架构规範资料经纪者(data brokr)，也就是蒐集、传输或以其他方式提供5,000

8、笔以上足以辨识非顾客或员工身分之个人资料的公司或非营利机构。资料经纪者必须遵守一套仿欧洲式的规定，包括强制向相关的个人公开纪录。修改电脑犯罪防治法，对入侵资料库者处以新的惩罚。入侵资料经纪人的系统，得处以罚款和十年徒刑。若某公司或个人蓄意隐瞒某些类型的重大资料外洩事件，得处五年徒刑。 强制身为资料专有者(sol propritor)的大多数企业与个人遵守广泛的个人资料隐私与安全计画-类似Gramm-Lach-Blily法的规定。命令身为资料专有者的企业与个人，在电脑安全系统遭入侵事件影响上万人的情况下，必须通知相关人士。 要求检讨联邦判刑规章，对滥用个人身分辨识资料者加重处罚，并授权司法部准钗

9、政府加强对身分诈欺相关犯罪行为的执法工作。 1.若某联邦机构依赖内含以美国公民个人资料为主的商业资料库，必须进一步做隐私影响评估。如果该资料库的内容涵盖全球，不以美国公民的资料为主，则此要求并不适用。另外，联邦机构的个人资料过滤计画，必须取得国会明确授权始能为之。Source http:/ 数据管治 2004 IBM Corporation82022/4/18香港个人资料(私隐)条例1996保保 障障 资资 料料 原原 则则收 集 资 料 的 目 的 及 方 式 : 订 明 须 以 合 法 及 公 平 的 方 式 收 集 个 人 资 料 ， 以 及 列 明 资 料 使 用 者 在 向 资 料

10、当 事 人 收集 个 人 资 料 时 ， 应 向 该 当 事 人 提 供 的 资 料 。个 人 资 料 的 准 确 性 及 保 留 期 间 : 订 明 所 保 存 的 个 人 资 料 必 须 是 准 确 和 最 新 的 资 料 ， 而 保 存 期 间 不 得 超 过 实 际 需 要 。个 人 资 料 的 使 用 : 订 明 除 非 获 得 资 料 当 事 人 同 意 ， 否 则 个 人 资 料 只 可 用 於 在 收 集 资 料 时 所 述 明 的 用 途 或 与 其 直 接 有 关 的 用 途 。个 人 资 料 的 保 安 : 订 明 须 采 取 适 当 保 安 措 施 保 障 个 人 资

11、料 包 括 其 存 在 形 式 令 查 阅 或 处 理 并 非 切 实 可 行 的 资 料 。资 讯 须 在 一 般 情 况 下 可 提 供 订 明 资 料 使 用 者 须 公 开 所 持 有 的 个 人 资 料 类 别 ， 以 及 该 等 个 人 资 料 所 作 的 主 要 用 途 。查 阅 个 人 资 料 : 订 明 资 料 当 事 人 有 权 查 阅 及 改 正 其 个 人 资 料 。 罪罪 行行 及及 补补 偿偿条 例 订 明 各 项 罪 行 ， 例 如 不 遵 守 私 隐 专 员 发 出 的 执 行 通 知 ， 可 被 处 第 5级 罚 款 (目 前 是 50,000元 )及 监 禁

12、 2年 。1.条 例 亦 订 明 ， 任 何 个 人 如 因 资 料 使 用 者 违 反 条 例 的 规 定 而 蒙 受 损 害 ， 包 括 感 情 的 伤 害 ， 则 有 权 向 有 关 资 料 使 用 者 要 求 补 偿 。Source .hk/chinese/ordinance/ordglance1.htmlIBM 数据管治 2004 IBM Corporation92022/4/18数据管治与其面临的挑战安全、隐私、符合性和风险方面的挑战，需要用通用的方案予以解决。安全、隐私、符合性和风险方面的挑战，需要用通用的方案予以解决。人事组织与人事组织与IT角

13、色、行为之间的脱节。角色、行为之间的脱节。鲜有技术手段可以在正确的时间为正确的人员获的正确的信息以做出正确的抉鲜有技术手段可以在正确的时间为正确的人员获的正确的信息以做出正确的抉择。择。没有统一的方法来量化运营风险。没有统一的方法来量化运营风险。政策与规定之间的混乱。政策与规定之间的混乱。非结构化与非标准的政策手段。非结构化与非标准的政策手段。政策与政策与IT系统和管治模型之间没有关联。系统和管治模型之间没有关联。业务规定与政策或业务流程之间没有关联。业务规定与政策或业务流程之间没有关联。对原始数据的分类和对原始数据的分类和IT整合缺乏通用的手段整合缺乏通用的手段在未对结果定性之前，应对措施就

14、已经布置到位。在未对结果定性之前，应对措施就已经布置到位。挑战数据管治是众多公司用于掌控适当访问其关键数据的过程。这个过程通过衡量并减轻运营上和安全上的与访问相关的风险来达到掌控的目的。IBM 数据管治 2004 IBM Corporation102022/4/18主要内容 信息信息安安全全面面对对的的威威胁胁与与挑挑战战IBM IBM 数据管治数据管治策略策略数据管治协会数据管治协会 Data Governance Data Governance CouncilCouncil结论结论IBM 数据管治 2004 IBM Corporation112022/4/18IBM的数据管治 基本原则制定

15、数据管治规定和政策以符合合约所规定的职责，并且保护股东和与制定数据管治规定和政策以符合合约所规定的职责，并且保护股东和与各方面的关系，包括与客户、供应商和处理公司信息的第三方公司。各方面的关系，包括与客户、供应商和处理公司信息的第三方公司。在有效地访问数据与恰当地使用数据之间寻求平衡点。在有效地访问数据与恰当地使用数据之间寻求平衡点。 谁对于某种信息拥有所有权 谁可以使用这些信息，为了何种目的 使用技术手段使得控制模型具有强制执行力。使用技术手段使得控制模型具有强制执行力。改进一成不变的数据管治原则与框架，使之与政府的法规相符，并能正改进一成不变的数据管治原则与框架，使之与政府的法规相符，并能

16、正确地应用于确地应用于IBM收集或产生的信息。收集或产生的信息。采用一种跨公司的控制模型来掌控信息的使用方式，提高所有数据的安全采用一种跨公司的控制模型来掌控信息的使用方式，提高所有数据的安全性和整合性，同时在个人与公司两个层面上保护隐私权。性和整合性，同时在个人与公司两个层面上保护隐私权。Source: http:/ 数据管治 2004 IBM Corporation122022/4/18IBM的数据管治 关键的成功要素所有的所有的IBM员工都必须定期对我们的业务行为准则进行认证。这些准则除了员工都必须定期对我们的业务行为准则进行认证。这些准则除了有很多指导和禁令以外，还管治着我们对于多种信

17、息的使用情况：如员工隐有很多指导和禁令以外，还管治着我们对于多种信息的使用情况：如员工隐私；所有权；知识产权；记录、报告和保存方面的信息；他人所拥有的信息；私；所有权；知识产权；记录、报告和保存方面的信息；他人所拥有的信息；内部信息与内部交易。内部信息与内部交易。为增强为增强IBM的数据管治能力，我们对客户数据库进行了巩固，使得我们可以的数据管治能力，我们对客户数据库进行了巩固，使得我们可以从更多方面了解客户，以及对于客户的数据有更深入的理解。从更多方面了解客户，以及对于客户的数据有更深入的理解。利用利用IBM的认证与访问控制技术，如的认证与访问控制技术，如Tivoli系列的产品，我们可以限制

18、对敏感系列的产品，我们可以限制对敏感信息的访问，使之只向特定人群开放。信息的访问，使之只向特定人群开放。在满足基本原则的基础上，有效的数据管治最终决于三方面要素（人员、在满足基本原则的基础上，有效的数据管治最终决于三方面要素（人员、流程和技术）能够有机而自主地协同工作。流程和技术）能够有机而自主地协同工作。IBM始终致力于开发能够在整个始终致力于开发能够在整个企业范围内更好地整合这三方面要素的方法。企业范围内更好地整合这三方面要素的方法。Source: http:/ 数据管治 2004 IBM Corporation132022/4/18主要内容 信息信息安安全全面面对对的的威威胁胁与与挑挑战

19、战IBM IBM 数据管治数据管治策略策略数据管治协会数据管治协会 Data Governance Data Governance CouncilCouncil结论结论IBM 数据管治 2004 IBM Corporation142022/4/18数据管治协会 Data Governance Council 于于2005年年，IBM宣布与几十个企业集团合作，共同成立一个称之为数据管治协会宣布与几十个企业集团合作，共同成立一个称之为数据管治协会 (Data Governance Council)的机构，在这份与的机构，在这份与IBM合作的名单上有像荷兰银行合作的名单上有像荷兰银行(ABN Amr

20、o)、美、美国运通国运通(American Express)、德意志银行、德意志银行(Deutsche Bank)、美林、美林(Merrill Lynch)、世界、世界银行银行(World Bank), 美国全美教师保险及年金协会美国全美教师保险及年金协会(TIAA-CREF)告示国际知名的企业集团。告示国际知名的企业集团。数据管治协会数据管治协会:明确和解决通用的数据管治问题，为安全、隐私、信任和公司执行问题寻明确和解决通用的数据管治问题，为安全、隐私、信任和公司执行问题寻找解决方案。找解决方案。专注于如下几方面的管理事务：数据管治政策，政策方针对于业务流程和专注于如下几方面的管理事务：数据

21、管治政策，政策方针对于业务流程和业务活动的影响，业务活动的影响，IT基础架构、内容和组织行为方面政策的强制执行力。基础架构、内容和组织行为方面政策的强制执行力。在企业内部与企业之间，建立起一个管治与保护个人数据和组织数据的蓝在企业内部与企业之间，建立起一个管治与保护个人数据和组织数据的蓝图，并且利用图，并且利用IBM和和IBM业务合作伙伴的解决方案与概念，明确这个数据业务合作伙伴的解决方案与概念，明确这个数据管治蓝图将如何应用于各种企业和组织。管治蓝图将如何应用于各种企业和组织。Source: http:/ 数据管治 2004 IBM Corporation152022/4/18IBM数据管治

22、蓝图 Data Governance Blueprint 有一整套通用的工具通有一整套通用的工具通力协作以支持决策数据力协作以支持决策数据管治的人员和业务流程管治的人员和业务流程 政策的规定涵盖了整个企业范围 数据是被分类、赋值和保护的 政策由逐条的规定构成，并且被整合进了业务流程中。 运营风险被量化进业务流程中 事件会被管控，损失会被记录 最终情况会被显示在终端面板上，并随时间而更新请注意：以上这些是属请注意：以上这些是属于并发而且会反复更新于并发而且会反复更新的过程。的过程。NoImage.5.6.IBM 数据管治 2004 IBM Corporation162022/4/1

23、8IBM与业务伙伴用于数据管控蓝图的产品政策部署原始数据建模业务规定管理业务、运营风险和管治处理建模事件管理与稽核记录onDemand 管治终端面板.5.6. IBM Rational ReqPro IBM Workplace for Business Controls IBM Rational Data Architect IBM DB2 Database Integrator Corticon Business Rules Modeling Studio IBM Websphere Business Integration Modeler IBM Tivoli Identit

24、y Management DB2 Anonymous Resolution Mitratech TeamConnect IBM Tivoli Audit Logging IBM Rational ClearQuest IBM Workplace for Business Strategy Execution IBM Websphere Portal Server IBM DB2 Content ManagerIBM 数据管治 2004 IBM Corporation172022/4/18主要内容 信息信息安安全全面面对对的的威威胁胁与与挑挑战战IBM IBM 数据管治数据管治策略策略数据管治协会数据管治协会 Data Governance Data Governance CouncilCouncil结论结论IBM 数据管治 2004 IBM Corporation182022/4