技術篇的最後一篇，要來看到比較概念型的介紹，
也就是除了資料安全保護的技術之外，關於人員與流程面向。
技術固然是直接協助我們實現控制與保護的手段，
但相關的人員與流程，也都與資料安全息息相關。

資料安全的流程面向

流程面向可以區分兩個角度來看待，
一個是資料安全保護措施的實施流程，例如相關的資料安全框架
一個則是組織資料應用的流程，如何適切的導入資訊安全措施。

前者比較像是之前談及的「識別、保護、偵測與回應」的概念，
透過在不同階段實施的資料安全措施，來提供上述四個面向的措施保護。
而後者，則像是「資料治理」的過程，如何安全地存取資料進行分析，
或者是資料分析產生的有價應用資訊或秘密資料，如何進行妥善保護。

再者即是有些流程設計的關係，導致有時必須層級較低的人員，
但接觸到層級較高的資料內容，例如特助、秘書與其高階主管情形，
或 IT 工程師會主管檢修電腦資產時所接觸到重要資料等。

資料安全的人員面向

在組織技術與流程之外，最大風險因子即為資料操作的人員面向，
無論多縝密的安全技術與流程，最終仍需通過最後的防火牆：人。
因為任何內部產生的威脅，均可能是在技術措施核可通過的情況，
因被授權的對象產生的危險活動而導致相關的資料外洩問題。

人員或所謂身份的管控，也有所謂「最小權限」或「最小開放」原則，
讓每一層級需要接觸的資料權限都能剛剛好，
而隨著層級人員位階的提升，也需要考量一旦資料外洩所導致的不同層級的影響。

資料安全的技術、流程與人員整合

完善的資料安全技術、流程與人員是互不可少，
流程需要人員執行，人員需要技術控管，技術需要流程規範，
三者就像循環圈一樣，都是在除了考慮技術面的資料安全議題之外，
需要被考慮進來的環節與措施，一旦哪一環成為缺口，即會影響其他二者。

在接下來鐵人文章區塊，即將進入到「當資料安全在產業時」，
即是除了看完這十天的技術控制項目之後，
就要來看看在各個產業，例如政府、金融、醫療、流通與製造領域，
關於資料安全的法規、產業標準與相關規範有何特殊之處，
在落實到實際行業時，又如何結合各個產業特性進行資料安全的落實。

小結

總結這十天技術篇，我們談及了關於資料使用與安全、
敏感資料掌握與發掘、資料存取活動監控、安全政策、
稽核記錄、保存與儲存環境、加密與去識別化、
動態風險的持續橫量、資料安全與資安監控整合，
到今天即將完成 2/3 鐵人賽的賽程的技術篇的結尾。

最後十天的兩個區塊，分別為「產業篇」與「趨勢篇」，
希望透過整理一些貼近產業與趨勢的資料安全資訊，
作為整體「成為 DAM 達人」的最後系列連載文章。