152数据管治--何锦华 IBM全球服务部亚太区信息安全经理

IBM全球信息科技服务部©2006IBMCorporation2019/10/17DataGovernance数据管治TransformingGovernanceandOperationalRiskManagement何锦华CISM、CISA、CISSPIBM全球服务部亚太区信息安全经理管治转换与运营风险管理IBM数据管治©2004IBMCorporation22019/10/17主要内容1.信息安全面对的威胁与挑战2.IBM数据管治策略3.数据管治协会DataGovernanceCouncil4.结论IBM数据管治©2004IBMCorporation32019/10/17存在的威胁及其来源受保护资源Protectedresources外国政府foreigngovernment诈骗bilk竞争对手rival有组织犯罪Organizedcrime内部威胁Internalthreat黑客攻击Hackerattack病毒virus恶意攻击Viciousattack自然灾害naturaldisease事故Accidence人为失误HumanmistakeIBM数据管治©2004IBMCorporation42019/10/17美数据处理公司遭入侵四千万张信用卡资料外涉[18/06/2005]美国一间为信用卡公司结算的公司，计算机系统被入侵，可能有多达四千万名信用卡客户数据外泄，主要是客户姓名及银行账号资料。当中一千四百万是万事达卡，二千二百万张是VISA卡，联邦调查局正调查。万事达卡说，他们有七万名客户资料失去，并已发现部份诈骗个案，怀疑同事件有关。汇丰及恒生银行都说，若本港客户资料外泄，会为他们更换信用卡。金管局表示会向银行了解。万事达国际组织(MasterCardInternational)表示,信用卡付款资料遭到入侵，导致四千万张各品牌的信用卡信息被外涉。有分析家认为今次是有史以来最大宗侵犯私隐案件。公司发言人向《路透社》表示，公司的保安人员发现CardSystemsSolutions公司的数据遭到计算机入侵，这家公司是万事达国际的合作伙伴，代表金融机构与商家处理交易事宜。发言人指，至今已发现少量因今次安全漏洞而引起的诈骗事件，但比例相当小，联邦调查局正展开调查。金管局会了解信用卡资料外泄[18/06/2005]IBM数据管治©2004IBMCorporation52019/10/17香港市民忧电子资料外泄2006-4-7【大公报讯】警监会资料外泄事件发生後，一项调查发现，有近四成受访者表示，此事影响他们使用电子服务的信心，也有近三成受访者担心资料外泄。三月中警监会发生投诉人资料外泄事件，引起各界对网上资料保密措施的讨论。有见及此，新论坛联同正荆社进行一个有关「市民使用政府网页」的调查，旨在了解市民对使用电子服务的习惯及对警监会资料外泄事件的意见。调查发现，有近八成市民知道警监会资料外泄事件，有约四成表示此事会降低他们使用电子服务的信心。此外，在使用网上服务的人士中，近半数不会在网上提供个人资料，也有近三成市民担心资料外泄。负责调查机构建议，政府应加强监察内部资料储存的程序和守则，并尽量减少外判服务，尤其是涉及敏感资料及个人私隐的服务，避免市民资料外泄。IBM数据管治©2004IBMCorporation62019/10/17个人资料隐私与安全PersonalDataPrivacyandSecurity美国参议院在2005年提出「个人资料隐私与安全法案」–(PersonalDataPrivacyandSecurityAct)，藉由制定与企业资料安全相关的法规及对资讯窃取行为的相关罚则，希望能降低资安事件对企业营运与民生经济的影响。香港亦已於1996年起实施「个人资料(私隐)条例」–条例的目的，是在个人资料方面保障在世人士的私隐，并保障个人资料得以不受限制地从已实施资料保障法例的国家和地区自由流入香港，这有助促进本港经济的持续发展。针对近来多项重大资料外洩事件，不论是由政府立法、或由民间企业主动发起，国际间已采取许多具体行动因应。IBM数据管治©2004IBMCorporation72019/10/17美国参议院在2005年提出「个人资料隐私与安全法案」PersonalDataPrivacyandSecurityAct「个人资料隐私与安全法」的要点如下：1.以严密的法规架构规範「资料经纪者」(databrokr)，也就是「蒐ΐ集、传输或以其他方式提供5,000笔以上足以辨识非顾客或员工身分之个人资料」的公司或非营利机构。资料经纪者必须遵守一套仿欧洲式的规定，包括强制向相关的个人公开纪录。2.修改电脑犯罪防治法，对入侵资料库者处以新的惩罚。入侵资料经纪人的系统，得处以罚款和十年徒刑。若某公司或个人「蓄意」隐瞒某些类型的重大资料外洩事件，得处五年徒刑。3.强制身为资料专有者(solpropritor)的大多数企业与个人遵守「广泛的个人资料隐私与安全计画」--类似Gramm-Lach-Blily法的规定。4.命令身为资料专有者的企业与个人，在电脑安全系统遭入侵事件「影响上万人」的情况下，必须通知相关人士。5.要求检讨联邦判刑规章，对滥用个人身分辨识资料者加重处罚，并授权司法部准钗{政府加强对身分诈欺相关犯罪行为的执法工作。6.若某联邦机构依赖内含以美国公民个人资料为主的商业资料库，必须进一步做「隐私影响评估」。如果该资料库的内容涵盖全球，不以美国公民的资料为主，则此要求并不适用。另外，联邦机构的个人资料过滤计画，必须取得国会明确授权始能为之。Source数据管治©2004IBMCorporation82019/10/17香港「个人资料(私隐)条例」1996保障资料原则1.收集资料的目的及方式:订明须以合法及公平的方式收集个人资料，以及列明资料使用者在向资料当事人收集个人资料时，应向该当事人提供的资料。2.个人资料的准确性及保留期间:订明所保存的个人资料必须是准确和最新的资料，而保存期间不得超过实际需要。3.个人资料的使用:订明除非获得资料当事人同意，否则个人资料只可用於在收集资料时所述明的用途或与其直接有关的用途。4.个人资料的保安:订明须采取适当保安措施保障个人资料［包括其存在形式令查阅或处理并非切实可行的资料］。5.资讯须在一般情况下可提供订明资料使用者须公开所持有的个人资料类别，以及该等个人资料所作的主要用途。6.查阅个人资料:订明资料当事人有权查阅及改正其个人资料。罪行及补偿条例订明各项罪行，例如不遵守私隐专员发出的执行通知，可被处第5级罚款(目前是50,000元)及监禁2年。条例亦订明，任何个人如因资料使用者违反条例的规定而蒙受损害，包括感情的伤害，则有权向有关资料使用者要求补偿。Source数据管治©2004IBMCorporation92019/10/17数据管治与其面临的挑战1.安全、隐私、符合性和风险方面的挑战，需要用通用的方案予以解决。2.人事组织与IT角色、行为之间的脱节。3.鲜有技术手段可以在正确的时间为正确的人员获的正确的信息以做出正确的抉择。4.没有统一的方法来量化运营风险。5.政策与规定之间的混乱。6.非结构化与非标准的政策手段。7.政策与IT系统和管治模型之间没有关联。8.业务规定与政策或业务流程之间没有关联。9.对原始数据的分类和IT整合缺乏通用的手段10.在未对结果定性之前，应对措施就已经布置到位。挑战数据管治是众多公司用于掌控适当访问其关键数据的过程。这个过程通过衡量并减轻运营上和安全上的与访问相关的风险来达到掌控的目的。IBM数据管治©2004IBMCorporation102019/10/17主要内容1.信息安全面对的威胁与挑战2.IBM数据管治策略3.数据管治协会DataGovernanceCouncil4.结论IBM数据管治©2004IBMCorporation112019/10/17IBM的数据管治–基本原则制定数据管治规定和政策以符合合约所规定的职责，并且保护股东和与各方面的关系，包括与客户、供应商和处理公司信息的第三方公司。在有效地访问数据与恰当地使用数据之间寻求平衡点。–谁对于某种信息拥有所有权–谁可以使用这些信息，为了何种目的使用技术手段使得控制模型具有强制执行力。改进一成不变的数据管治原则与框架，使之与政府的法规相符，并能正确地应用于IBM收集或产生的信息。采用一种跨公司的控制模型来掌控信息的使用方式，提高所有数据的安全性和整合性，同时在个人与公司两个层面上保护隐私权。Source:数据管治©2004IBMCorporation122019/10/17IBM的数据管治–关键的成功要素所有的IBM员工都必须定期对我们的业务行为准则进行认证。这些准则除了有很多指导和禁令以外，还管治着我们对于多种信息的使用情况：如员工隐私；所有权；知识产权；记录、报告和保存方面的信息；他人所拥有的信息；内部信息与内部交易。为增强IBM的数据管治能力，我们对客户数据库进行了巩固，使得我们可以从更多方面了解客户，以及对于客户的数据有更深入的理解。利用IBM的认证与访问控制技术，如Tivoli系列的产品，我们可以限制对敏感信息的访问，使之只向特定人群开放。在满足基本原则的基础上，有效的数据管治最终决于三方面要素（人员、流程和技术）能够有机而自主地协同工作。IBM始终致力于开发能够在整个企业范围内更好地整合这三方面要素的方法。Source:数据管治©2004IBMCorporation132019/10/17主要内容1.信息安全面对的威胁与挑战2.IBM数据管治策略3.数据管治协会DataGovernanceCouncil4.结论IBM数据管治©2004IBMCorporation142019/10/17数据管治协会DataGovernanceCouncil于2005年，IBM宣布与几十个企业集团合作，共同成立一个称之为数据管治协会(DataGovernanceCouncil)的机构，在这份与IBM合作的名单上有像荷兰银行(ABNAmro)、美国运通(AmericanExpress)、德意志银行(DeutscheBank)、美林(MerrillLynch)、世界银行(WorldBank),美国全美教师保险及年金协会(TIAA-CREF)告示国际知名的企业集团。数据管治协会:明确和解决通用的数据管治问题，为安全、隐私、信任和公司执行问题寻找解决方案。专注于如下几方面的管理事务：数据管治政策，政策方针对于业务流程和业务活动的影响，IT基础架构、内容和组织行为方面政策的强制执行力。在企业内部与企业之间，建立起一个管治与保护个人数据和组织数据的蓝图，并且利用IBM和IBM业务合作伙伴的解决方案与概念，明确这个数据管治蓝图将如何应用于各种企业和组织。Source:数据管治©2004IBMCorporation152019/10/17IBM数据管治蓝图DataGovernanceBlueprint有一整套通用的工具通力协作以支持决策数据管治的人员和业务流程1.政策的规定涵盖了整个企业范围2.数据是被分类、赋值和保护的3.政策由逐条的规定构成，并且被整合进了业务流程中。4.运