152数据管治--何锦华 IBM全球服务部亚太区信息安全经理

1、Data Governance数据管治Transforming Governance and Operational Risk Management CISM、CISA、CISSP IBM全球效劳部亚太区信息平安经理管治转换与运营风险管理2022/7/11主要内容 信息平安面对的威胁与挑战IBM 数据管治策略数据管治协会 Data Governance Council结论2022/7/112存在的威胁及其来源受保护资源Protected resources外国政府 foreign government诈骗bilk竞争对手 rival有组织犯罪Organized crime内部威胁Interna

2、l threat黑客攻击Hacker attack病毒virus恶意攻击Vicious attack自然灾害natural disease事故Accidence人为失误Human mistake2022/7/113美数据处理公司遭入侵四千万张信用卡资料外涉 18/06/2005美国一间为信用卡公司结算的公司,计算机系统被入侵,可能有多达四千万名信用卡客户数据外泄,主要是客户姓名及银行账号资料。当中一千四百万是万事达卡,二千二百万张是VISA卡,联邦调查局正调查。万事达卡说,他们有七万名客户资料失去,并已发现部份诈骗个案,疑心同事件有关。汇丰及恒生银行都说,假设本港客户资料外泄,会为他们更换信用

3、卡。金管局表示会向银行了解。万事达国际组织(MasterCardInternational)表示,信用卡付款资料遭到入侵,导致四千万张各品牌的信用卡信息被外涉。有分析家认为今次是有史以来最大宗侵犯私隐案件。公司发言人向路透社表示,公司的保安人员发现 CardSystems Solutions公司的数据遭到计算机入侵,这家公司是万事达国际的合作伙伴,代表金融机构与商家处理交易事宜。发言人指,至今已发现少量因今次平安漏洞而引起的诈骗事件,但比例相当小,联邦调查局正展开调查。 金管局会了解信用卡资料外泄 18/06/20052022/7/114香港市民忧电子资料外泄2006-4-7【大公报讯】警监会

4、资料外泄事件发生後,一项调查发现,有近四成受访者表示,此事影响他们使用电子效劳的信心,也有近三成受访者担忧资料外泄。三月中警监会发生投诉人资料外泄事件,引起各界对网上资料保密措施的讨论。有见及此,新论坛联同正荆社进行一个有关市民使用政府网页的调查,旨在了解市民对使用电子效劳的习惯及对警监会资料外泄事件的意见。调查发现,有近八成市民知道警监会资料外泄事件,有约四成表示此事会降低他们使用电子效劳的信心。此外,在使用网上效劳的人士中,近半数不会在网上提供个人资料,也有近三成市民担忧资料外泄。负责调查机构建议,政府应加强监察内部资料储存的程序和守则,并尽量减少外判效劳,尤其是涉及敏感资料及个人私隐的效

5、劳,防止市民资料外泄。2022/7/115个人资料隐私与平安Personal Data Privacy and Security美国参议院在2005年提出个人资料隐私与平安法案 (Personal Data Privacy and Security Act) ,藉由制定与企业资料平安相关的法规及对资讯窃取行为的相关罚则,希望能降低资安事件对企业营运与民生经济的影响。香港亦已於1996年起实施个人资料(私隐)条例条例的目的,是在个人资料方面保障在世人士的私隐,并保障个人资料得以不受限制地从已实施资料保障法例的国家和地区自由流入香港,这有助促进本港经济的持续开展 。针对近来多项重大资料外洩事件,不

6、管是由政府立法、或由民间企业主动发起,国际间已采取许多具体行动因应。2022/7/116美国参议院在2005年提出个人资料隐私与平安法案Personal Data Privacy and Security Act个人资料隐私与平安法的要点如下：以严密的法规架构规範资料经纪者(data brokr),也就是蒐集、传输或以其他方式提供5,000笔以上足以辨识非顾客或员工身分之个人资料的公司或非营利机构。资料经纪者必须遵守一套仿欧洲式的规定,包括强制向相关的个人公开纪录。修改电脑犯罪防治法,对入侵资料库者处以新的惩罚。入侵资料经纪人的系统,得处以罚款和十年徒刑。假设某公司或个人蓄意隐瞒某些类型的重大

7、资料外洩事件,得处五年徒刑。 强制身为资料专有者(sol propritor)的大多数企业与个人遵守广泛的个人资料隐私与平安计画-类似Gramm-Lach-Blily法的规定。命令身为资料专有者的企业与个人,在电脑平安系统遭入侵事件影响上万人的情况下,必须通知相关人士。 要求检讨联邦判刑规章,对滥用个人身分辨识资料者加重处分,并授权司法部准钗政府加强对身分诈欺相关犯罪行为的执法工作。 假设某联邦机构依赖内含以美国公民个人资料为主的商业资料库,必须进一步做隐私影响评估。如果该资料库的内容涵盖全球,不以美国公民的资料为主,则此要求并不适用。另外,联邦机构的个人资料过滤计画,必须取得国会明确授权始能

8、为之。Source 2022/7/117香港个人资料(私隐)条例1996保 障 资 料 原 则收 集 资 料 的 目 的 及 方 式 : 订 明 须 以 合 法 及 公 平 的 方 式 收 集 个 人 资 料 , 以 及 列 明 资 料 使 用 者 在 向 资 料 当 事 人 收集 个 人 资 料 时 , 应 向 该 当 事 人 提 供 的 资 料 。个 人 资 料 的 准 确 性 及 保 留 期 间 : 订 明 所 保 存 的 个 人 资 料 必 须 是 准 确 和 最 新 的 资 料 , 而 保 存 期 间 不 得 超 过 实 际 需 要 。个 人 资 料 的 使 用 : 订 明 除 非

9、获 得 资 料 当 事 人 同 意 , 否 则 个 人 资 料 只 可 用 於 在 收 集 资 料 时 所 述 明 的 用 途 或 与 其 直 接 有 关 的 用 途 。个 人 资 料 的 保 安 : 订 明 须 采 取 适 当 保 安 措 施 保 障 个 人 资 料 包 括 其 存 在 形 式 令 查 阅 或 处 理 并 非 切 实 可 行 的 资 料 。资 讯 须 在 一 般 情 况 下 可 提 供 订 明 资 料 使 用 者 须 公 开 所 持 有 的 个 人 资 料 类 别 , 以 及 该 等 个 人 资 料 所 作 的 主 要 用 途 。查 阅 个 人 资 料 : 订 明 资 料 当

10、 事 人 有 权 查 阅 及 改 正 其 个 人 资 料 。 罪 行 及 补 偿条 例 订 明 各 项 罪 行 , 例 如 不 遵 守 私 隐 专 员 发 出 的 执 行 通 知 , 可 被 处 第 5级 罚 款 (目 前 是 50,000元 )及 监 禁 2年 。条 例 亦 订 明 , 任 何 个 人 如 因 资 料 使 用 者 违 反 条 例 的 规 定 而 蒙 受 损 害 , 包 括 感 情 的 伤 害 , 则 有 权 向 有 关 资 料 使 用 者 要 求 补 偿 。Source 2022/7/118数据管治与其面临的挑战平安、隐私、符合性和风险方面的挑战,需要用通用的方案予以解决。人

11、事组织与IT角色、行为之间的脱节。鲜有技术手段可以在正确的时间为正确的人员获的正确的信息以做出正确的抉择。没有统一的方法来量化运营风险。政策与规定之间的混乱。非结构化与非标准的政策手段。政策与IT系统和管治模型之间没有关联。业务规定与政策或业务流程之间没有关联。对原始数据的分类和IT整合缺乏通用的手段在未对结果定性之前,应对措施就已经布置到位。挑战数据管治是众多公司用于掌控适当访问其关键数据的过程。这个过程通过衡量并减轻运营上和平安上的与访问相关的风险来到达掌控的目的。2022/7/119主要内容 信息平安面对的威胁与挑战IBM 数据管治策略数据管治协会 Data Governance Cou

12、ncil结论2022/7/1110IBM的数据管治 根本原则制定数据管治规定和政策以符合合约所规定的职责,并且保护股东和与各方面的关系,包括与客户、供给商和处理公司信息的第三方公司。在有效地访问数据与恰当地使用数据之间寻求平衡点。 谁对于某种信息拥有所有权 谁可以使用这些信息,为了何种目的 使用技术手段使得控制模型具有强制执行力。改进一成不变的数据管治原则与框架,使之与政府的法规相符,并能正确地应用于IBM收集或产生的信息。采用一种跨公司的控制模型来掌控信息的使用方式,提高所有数据的平安性和整合性,同时在个人与公司两个层面上保护隐私权。Source: 2022/7/1111IBM的数据管治 关

13、键的成功要素所有的IBM员工都必须定期对我们的业务行为准则进行认证。这些准则除了有很多指导和禁令以外,还管治着我们对于多种信息的使用情况：如员工隐私；所有权；知识产权；记录、报告和保存方面的信息；他人所拥有的信息；内部信息与内部交易。为增强IBM的数据管治能力,我们对客户数据库进行了稳固,使得我们可以从更多方面了解客户,以及对于客户的数据有更深入的理解。利用IBM的认证与访问控制技术,如Tivoli系列的产品,我们可以限制对敏感信息的访问,使之只向特定人群开放。在满足根本原则的根底上,有效的数据管治最终决于三方面要素（人员、流程和技术）能够有机而自主地协同工作。IBM始终致力于开发能够在整个企

14、业范围内更好地整合这三方面要素的方法。Source: 2022/7/1112主要内容 信息平安面对的威胁与挑战IBM 数据管治策略数据管治协会 Data Governance Council结论2022/7/1113数据管治协会 Data Governance Council 于2005年,IBM宣布与几十个企业集团合作,共同成立一个称之为数据管治协会 (Data Governance Council)的机构,在这份与IBM合作的名单上有像荷兰银行(ABN Amro)、美国运通(American Express)、德意志银行(Deutsche Bank)、美林(Merrill Lynch)、世

15、界银行(World Bank), 美国全美教师保险及年金协会(TIAA-CREF)告示国际知名的企业集团。数据管治协会:明确和解决通用的数据管治问题,为平安、隐私、信任和公司执行问题寻找解决方案。专注于如下几方面的管理事务：数据管治政策,政策方针对于业务流程和业务活动的影响,IT根底架构、内容和组织行为方面政策的强制执行力。在企业内部与企业之间,建立起一个管治与保护个人数据和组织数据的蓝图,并且利用IBM和IBM业务合作伙伴的解决方案与概念,明确这个数据管治蓝图将如何应用于各种企业和组织。Source: 2022/7/1114IBM数据管治蓝图 Data Governance Blueprin

16、t 有一整套通用的工具通力协作以支持决策数据管治的人员和业务流程政策的规定涵盖了整个企业范围数据是被分类、赋值和保护的政策由逐条的规定构成,并且被整合进了业务流程中。运营风险被量化进业务流程中事件会被管控,损失会被记录最终情况会被显示在终端面板上,并随时间而更新请注意：以上这些是属于并发而且会反复更新的过程。1.2.3.4.5.6.2022/7/1115IBM与业务伙伴用于数据管控蓝图的产品政策部署原始数据建模业务规定管理业务、运营风险和管治处理建模事件管理与稽核记录onDemand 管治终端面板1.2.3.4.5.6. IBM Rational ReqPro IBM Workplace fo

17、r Business Controls IBM Rational Data Architect IBM DB2 Database Integrator Corticon Business Rules Modeling Studio IBM Websphere Business Integration Modeler IBM Tivoli Identity Management DB2 Anonymous Resolution Mitratech TeamConnect IBM Tivoli Audit Logging IBM Rational ClearQuest IBM Workplace

18、for Business Strategy Execution IBM Websphere Portal Server IBM DB2 Content Manager2022/7/1116主要内容 信息平安面对的威胁与挑战IBM 数据管治策略数据管治协会 Data Governance Council结论2022/7/1117结论 为了到达法规遵从的要求,企业不得不对数据进行有效地管理,但是在这个过程中,企业还面临文化上的挑战。要有效地处理数据,关键是要公司内部每个人都对管治数据承担起相应的责任,这不只是专属于公司某一些人的事情,而是每个人的事情。当前的平安管理措施只能解决一些局部问题,而不能解决所有的