iT邦幫忙

2023 iThome 鐵人賽

DAY 21
0
Security

【 30 天成為 DAM 達人】系列 第 21

Day 21 技術篇:資料安全技術、人員與流程

  • 分享至 

  • xImage
  •  

技術篇的最後一篇,要來看到比較概念型的介紹,
也就是除了資料安全保護的技術之外,關於人員與流程面向。
技術固然是直接協助我們實現控制與保護的手段,
但相關的人員與流程,也都與資料安全息息相關。

資料安全的流程面向

流程面向可以區分兩個角度來看待,
一個是資料安全保護措施的實施流程,例如相關的資料安全框架
一個則是組織資料應用的流程,如何適切的導入資訊安全措施。

前者比較像是之前談及的「識別、保護、偵測與回應」的概念,
透過在不同階段實施的資料安全措施,來提供上述四個面向的措施保護。
而後者,則像是「資料治理」的過程,如何安全地存取資料進行分析,
或者是資料分析產生的有價應用資訊或秘密資料,如何進行妥善保護。

再者即是有些流程設計的關係,導致有時必須層級較低的人員,
但接觸到層級較高的資料內容,例如特助、秘書與其高階主管情形,
或 IT 工程師會主管檢修電腦資產時所接觸到重要資料等。

資料安全的人員面向

在組織技術與流程之外,最大風險因子即為資料操作的人員面向,
無論多縝密的安全技術與流程,最終仍需通過最後的防火牆:人。
因為任何內部產生的威脅,均可能是在技術措施核可通過的情況,
因被授權的對象產生的危險活動而導致相關的資料外洩問題。

人員或所謂身份的管控,也有所謂「最小權限」或「最小開放」原則,
讓每一層級需要接觸的資料權限都能剛剛好,
而隨著層級人員位階的提升,也需要考量一旦資料外洩所導致的不同層級的影響。

資料安全的技術、流程與人員整合

完善的資料安全技術、流程與人員是互不可少,
流程需要人員執行,人員需要技術控管,技術需要流程規範,
三者就像循環圈一樣,都是在除了考慮技術面的資料安全議題之外,
需要被考慮進來的環節與措施,一旦哪一環成為缺口,即會影響其他二者。

在接下來鐵人文章區塊,即將進入到「當資料安全在產業時」,
即是除了看完這十天的技術控制項目之後,
就要來看看在各個產業,例如政府、金融、醫療、流通與製造領域,
關於資料安全的法規、產業標準與相關規範有何特殊之處,
在落實到實際行業時,又如何結合各個產業特性進行資料安全的落實。

小結

總結這十天技術篇,我們談及了關於資料使用與安全、
敏感資料掌握與發掘、資料存取活動監控、安全政策、
稽核記錄、保存與儲存環境、加密與去識別化、
動態風險的持續橫量、資料安全與資安監控整合,
到今天即將完成 2/3 鐵人賽的賽程的技術篇的結尾。

最後十天的兩個區塊,分別為「產業篇」與「趨勢篇」,
希望透過整理一些貼近產業與趨勢的資料安全資訊,
作為整體「成為 DAM 達人」的最後系列連載文章。


上一篇
Day 20 技術篇:資料安全與資安監控整合
下一篇
Day 22 產業篇:資料安全在金融產業領域
系列文
【 30 天成為 DAM 達人】30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言