本篇介紹[數據知識]DAMA數據管理知識體系—數據安全管理篇的學習心得，供大家學習和參考。

[核心要點]

數據安全管理是計劃、制定、執行相關安全策略和規程，確保數據和信息資產在使用過程中有恰當的認證、授權、訪問和審計等措施。

目標：

1.為數據資產讀取和變更提供合適的方法、阻止不合適的方法；

2.實現監管對隱私性和機密性的要求；

3.確保實現所有利益相關者隱私性和機密性需求。

概念和活動

數據安全管理的最終目標是保護信息資產符合隱私及保密法規要求，并與業務要求相一致。相關要求來源于：利益相關者的關注、政府法規、特定業務關注、合法訪問需求。

數據安全要求和相關規程（4A）：認證、授權、訪問、審計。

1.理解數據安全需要和監管要求。包括：業務要求和法規要求。業務要求重點對業務規則和流程定義了安全接觸點，業務流程中對事件提出安全要求，數據到流程和數據到角色的關系矩陣，可以引導數據安全角色、參數、權限定義。法規要求，則提出對相關信息安全法案的遵從。

2.定義數據安全策略。數據安全策略，是以數據為中心，其性質更為精細，例如：定義個別應用程序、數據庫角色、用戶組和密碼標準。

3.定義數據安全標準。組織應結合自身的安全控制策略，制定數據安全執行標準，滿足4A要求，提供執行策略和手段。

4.定義數據安全控制及措施。通常是DBA的工作職責，保障組織實施適當的控制滿足相關法規目標。

5.管理用戶密碼和用戶組成員。制定安全角色層級，對用戶和用戶組進行角色授權、管理、維護、變更等，構建密碼標準和相關規程。

6.管理數據訪問視圖和權限。結合數據需求和托管權限，采用基于角色的訪問控制授權機制。

7.監控用戶身份認證和訪問行為。目的在于符合合規審計要求、彌補數據安全規劃、設計和實施中的漏洞。

8.劃分信息密級。典型5級：公眾級、內部使用、機密、受限機密、注冊機密。信息機密劃分是元數據的最重要屬性，指導賦予用戶存取權限。

9.審計數據安全。是一項控制活動，負責經常性分析、驗證、討論、建議數據安全管理相關的政策、標準和活動。審計是一項支持性、重復性的過程，審計人員獨立于審計所涉及的數據和流程。

外包項目的數據安全

任何形式的外包都增加了組織風險，工作的責任必然由組織自行承擔。需要有嚴格的風險管理和控制機制，可以通過構建CRUD（創建、讀取、更新和刪除）矩陣，對業務流程、應用、角色、組織的數據進行信息流的追蹤和監管。RACI（執行、負責、咨詢、知會）矩陣，對角色職責進行澄清和數據安全管理需求責任劃分，明確各方責任和所有權，為整體數據安全策略及其實施提供支持。

綜述

指導原則：15項原則。

過程總結：9個管理活動。重點包括數據安全數據、策略、標準、控制措施、角色、視圖與權限、訪問控制、信息密級、審計幾個方面。

組織和文化問題。消極被動的應付數據安全問題；需要平衡數據安全和利益相關者的需求；成功的數據安全管理依賴克服管理變革的文化瓶頸。

[觀點解讀]

通過對以上內容的學習，現對于要點補充解讀如下：

書中強調數據安全管理是計劃、制定、執行相關安全策略和規程，確保數據和信息資產在使用過程中有恰當的認證、授權、訪問和審計等措施。重點討論了數據安全的管理方法、要求和相關規程。相關管理活動從定義數據安全需求入手、定義數據安全策略、標準、控制及措施，并應用用戶角色、密碼標準、訪問控制、信息密級以及數據安全審計，從管理角度提出重點管控環節。目的是通過業務戰略、業務目標、數據戰略的理解，制定數據安全政策、數據機密和保密標準，獲得用戶成員檔案及權限、控制、訪問視圖，制定常規數據安全審計控制活動等。

結合近日，2017數博會"大數據安全產業實踐高峰論壇"上，全國信息安全標準化技術委員會等部門制定了用于組織機構數據安全能力的評估標準—《大數據安全能力成熟度模型》 該標準由"阿里巴巴"提出，進行擴展。國家提出"大數據安全成熟度"圍繞數據全生命周期（數據采集、存儲、傳輸、處理、交換、銷毀），在數據安全制度流程、人員能力、組織建設、技術工具四個維度上不斷提升企業數據能力，定義了5級：1-非正式執行；2-計劃跟蹤；3-充分定義；4-量化控制；5-持續優化。

其數據安全能力成熟度模型是基于能力成熟度(CMM)思想構建的。成熟度模型對數據生命周期各個階段的企業數據安全能力進行成熟度等級評價，獲得基于數據生命周期的各個階段的數據安全過程域的四個維度上的能力度量，進而獲得組織體的數據安全成熟度狀態，遵循"木桶"理論的短板原則，對組織體的數據安全進行綜合評價。配套標準可參考《大數據安全能力成熟度測評指南》和《大數據安全能力成熟度提升指南》。

DAMA在數據安全管理方面提出基于計劃、制定、執行的過程化數據安全策略是基于PDCA的管控思想，而國家大數據安全能力成熟度的圍繞全生命周期與和4個維度的構建，則是從企業數據資產全生命周期的活動與組織體的制度、流程、人員、技術工具角度構建。

[經驗體會]

通過本章的學習，結合自身工作經驗，談一談理解：

當前，企業信息安全與數據安全管理方面混淆。較多企業仍基于"信息安全管理實用規則ISO/IEC27001"和"國家信息安全保護相關政策"包括：《計算機信息安全保護等級劃分準則》（GB 17859-1999，以下簡稱《劃分準則》）、《信息系統安全保護等級定級指南》（GB/T 22240-2008，以下簡稱《定級指南》）、《信息系統安全等級保護基本要求》（GB/T 22239-2008,以下簡稱《基本要求》）等技術標準和《信息安全等級保護管理辦法》（公通字[2007]43號，以下簡稱《管理辦法》）、《關于開展信息安全等級保護安全建設整改工作的指導意見》（公信安[2009]1429號）等文件，組織開展企業自身的數據安全管理體系構建，對于數據安全管理系統的構建，缺乏深入的理解和認識，還混淆在以上的信息安全體系構建中。

相信隨著企業數據資產的不斷開發和利用，企業對從數據安全管理視角，確保組織內的數據資產在開發、利用的生命周期中有效受控，確保企業數據隱私及保密的利益需求會更為突出，在數據安全管理的能力建設方面CDO首席數據官的職責會更為突出。

本文來源于微信公眾號“CDO首席數據官”，轉載請聯系原作者。