IBM全球服務部亞太區(qū)信息安全經(jīng)理(共19頁).ppt

1、IBM 全球信息科技服務部 2006 IBM Corporation2022/3/3Data Governance數(shù)據(jù)管治Transforming Governance and Operational Risk Management何錦華 CISM、CISA、CISSP IBM全球服務部亞太區(qū)信息安全經(jīng)理管治轉換與運營風險管理IBM 數(shù)據(jù)管治 2004 IBM Corporation22022/3/3主要內容 信息信息安安全全面面對對的的威威脅脅與與挑挑戰(zhàn)戰(zhàn)IBM IBM 數(shù)據(jù)管治數(shù)據(jù)管治策略策略數(shù)據(jù)管治協(xié)會數(shù)據(jù)管治協(xié)會 Data Governance Data Governance Coun

2、cilCouncil結論結論IBM 數(shù)據(jù)管治 2004 IBM Corporation32022/3/3存在的威脅及其來源受保護資源受保護資源Protected resources外國政府外國政府 foreign government詐騙詐騙bilk競爭對手競爭對手 rival有組織犯罪有組織犯罪Organized crime內部威脅內部威脅Internal threat黑客攻擊黑客攻擊Hacker attack病毒病毒virus惡意攻擊惡意攻擊Vicious attack自然災害自然災害natural disease事故事故Accidence人為失誤人為失誤Human mistakeIBM

3、數(shù)據(jù)管治 2004 IBM Corporation42022/3/3美數(shù)據(jù)處理公司遭入侵四千萬張信用卡資料外涉 18/06/2005美國一間為信用卡公司結算的公司，計算機系統(tǒng)被入侵，可能有多達四千萬名信用卡客戶數(shù)據(jù)外泄，主要是客戶姓名及銀行賬號資料。當中一千四百萬是萬事達卡，二千二百萬張是VISA卡，聯(lián)邦調查局正調查。萬事達卡說，他們有七萬名客戶資料失去，并已發(fā)現(xiàn)部份詐騙個案，懷疑同事件有關。匯豐及恒生銀行都說，若本港客戶資料外泄，會為他們更換信用卡。金管局表示會向銀行了解。萬事達國際組織(MasterCardInternational)表示,信用卡付款資料遭到入侵，導致四千萬張各品牌的信用卡

4、信息被外涉。有分析家認為今次是有史以來最大宗侵犯私隱案件。公司發(fā)言人向路透社表示，公司的保安人員發(fā)現(xiàn) CardSystems Solutions公司的數(shù)據(jù)遭到計算機入侵，這家公司是萬事達國際的合作伙伴，代表金融機構與商家處理交易事宜。發(fā)言人指，至今已發(fā)現(xiàn)少量因今次安全漏洞而引起的詐騙事件，但比例相當小，聯(lián)邦調查局正展開調查。 金管局會了解信用卡資料外泄 18/06/2005IBM 數(shù)據(jù)管治 2004 IBM Corporation52022/3/3香港市民憂電子資料外泄香港市民憂電子資料外泄2006-4-7【大公報訊】警監(jiān)會資料外泄事件發(fā)生後，一項調查發(fā)現(xiàn)，有近四成受訪者表示，此事影響他們使用

5、電子服務的信心，也有近三成受訪者擔心資料外泄。三月中警監(jiān)會發(fā)生投訴人資料外泄事件，引起各界對網(wǎng)上資料保密措施的討論。有見及此，新論壇聯(lián)同正荊社進行一個有關市民使用政府網(wǎng)頁的調查，旨在了解市民對使用電子服務的習慣及對警監(jiān)會資料外泄事件的意見。調查發(fā)現(xiàn)，有近八成市民知道警監(jiān)會資料外泄事件，有約四成表示此事會降低他們使用電子服務的信心。此外，在使用網(wǎng)上服務的人士中，近半數(shù)不會在網(wǎng)上提供個人資料，也有近三成市民擔心資料外泄。負責調查機構建議，政府應加強監(jiān)察內部資料儲存的程序和守則，并盡量減少外判服務，尤其是涉及敏感資料及個人私隱的服務，避免市民資料外泄。IBM 數(shù)據(jù)管治 2004 IBM Corpor

6、ation62022/3/3個人資料隱私與安全Personal Data Privacy and Security美國參議院在美國參議院在2005年提出個人資料隱私與安全法案年提出個人資料隱私與安全法案 (Personal Data Privacy and Security Act) ，藉由制定與企業(yè)資料安全相關的法規(guī)及對資訊竊取行為的相關罰則，希望能降低資安事件對企業(yè)營運與民生經(jīng)濟的影響。香港亦已於香港亦已於1996年起實施個人資料年起實施個人資料(私隱私隱)條例條例 條例的目的，是在個人資料方面保障在世人士的私隱，并保障個人資料得以不受限制地從已實施資料保障法例的國家和地區(qū)自由流入香港，這

7、有助促進本港經(jīng)濟的持續(xù)發(fā)展 。針對近來多項重大資料外針對近來多項重大資料外洩洩事件，不論是由政府立法、或由民事件，不論是由政府立法、或由民間企業(yè)主動發(fā)起，國際間已采取許多具體行動因應。間企業(yè)主動發(fā)起，國際間已采取許多具體行動因應。IBM 數(shù)據(jù)管治 2004 IBM Corporation72022/3/3美國參議院在2005年提出個人資料隱私與安全法案Personal Data Privacy and Security Act個人資料隱私與安全法的要點如下：個人資料隱私與安全法的要點如下：以嚴密的法規(guī)架構規(guī)範資料經(jīng)紀者(data brokr)，也就是蒐集、傳輸或以其他方式提供5,000筆以上足

8、以辨識非顧客或員工身分之個人資料的公司或非營利機構。資料經(jīng)紀者必須遵守一套仿歐洲式的規(guī)定，包括強制向相關的個人公開紀錄。修改電腦犯罪防治法，對入侵資料庫者處以新的懲罰。入侵資料經(jīng)紀人的系統(tǒng)，得處以罰款和十年徒刑。若某公司或個人蓄意隱瞞某些類型的重大資料外洩事件，得處五年徒刑。 強制身為資料專有者(sol propritor)的大多數(shù)企業(yè)與個人遵守廣泛的個人資料隱私與安全計畫-類似Gramm-Lach-Blily法的規(guī)定。命令身為資料專有者的企業(yè)與個人，在電腦安全系統(tǒng)遭入侵事件影響上萬人的情況下，必須通知相關人士。 要求檢討聯(lián)邦判刑規(guī)章，對濫用個人身分辨識資料者加重處罰，并授權司法部準釵政府加強

9、對身分詐欺相關犯罪行為的執(zhí)法工作。 1.若某聯(lián)邦機構依賴內含以美國公民個人資料為主的商業(yè)資料庫，必須進一步做隱私影響評估。如果該資料庫的內容涵蓋全球，不以美國公民的資料為主，則此要求并不適用。另外，聯(lián)邦機構的個人資料過濾計畫，必須取得國會明確授權始能為之。IBM 數(shù)據(jù)管治 2004 IBM Corporation82022/3/3香港個人資料(私隱)條例1996保保 障障 資資 料料 原原 則則收 集 資 料 的 目 的 及 方 式 : 訂 明 須 以 合 法 及 公 平 的 方 式 收 集 個 人 資 料 ， 以 及 列 明 資 料 使 用 者 在 向 資 料 當 事 人 收集 個 人 資

10、料 時 ， 應 向 該 當 事 人 提 供 的 資 料 。個 人 資 料 的 準 確 性 及 保 留 期 間 : 訂 明 所 保 存 的 個 人 資 料 必 須 是 準 確 和 最 新 的 資 料 ， 而 保 存 期 間 不 得 超 過 實 際 需 要 。個 人 資 料 的 使 用 : 訂 明 除 非 獲 得 資 料 當 事 人 同 意 ， 否 則 個 人 資 料 只 可 用 於 在 收 集 資 料 時 所 述 明 的 用 途 或 與 其 直 接 有 關 的 用 途 。個 人 資 料 的 保 安 : 訂 明 須 采 取 適 當 保 安 措 施 保 障 個 人 資 料 包 括 其 存 在 形 式

11、 令 查 閱 或 處 理 并 非 切 實 可 行 的 資 料 。資 訊 須 在 一 般 情 況 下 可 提 供 訂 明 資 料 使 用 者 須 公 開 所 持 有 的 個 人 資 料 類 別 ， 以 及 該 等 個 人 資 料 所 作 的 主 要 用 途 。查 閱 個 人 資 料 : 訂 明 資 料 當 事 人 有 權 查 閱 及 改 正 其 個 人 資 料 。 罪罪 行行 及及 補補 償償條 例 訂 明 各 項 罪 行 ， 例 如 不 遵 守 私 隱 專 員 發(fā) 出 的 執(zhí) 行 通 知 ， 可 被 處 第 5級 罰 款 (目 前 是 50,000元 )及 監(jiān) 禁 2年 。1.條 例 亦 訂

12、明 ， 任 何 個 人 如 因 資 料 使 用 者 違 反 條 例 的 規(guī) 定 而 蒙 受 損 害 ， 包 括 感 情 的 傷 害 ， 則 有 權 向 有 關 資 料 使 用 者 要 求 補 償 。IBM 數(shù)據(jù)管治 2004 IBM Corporation92022/3/3數(shù)據(jù)管治與其面臨的挑戰(zhàn)安全、隱私、符合性和風險方面的挑戰(zhàn)，需要用通用的方案予以解決。安全、隱私、符合性和風險方面的挑戰(zhàn)，需要用通用的方案予以解決。人事組織與人事組織與IT角色、行為之間的脫節(jié)。角色、行為之間的脫節(jié)。鮮有技術手段可以在正確的時間為正確的人員獲的正確的信息以做出正確的抉鮮有技術手段可以在正確的時間為正確的人員獲的

13、正確的信息以做出正確的抉擇。擇。沒有統(tǒng)一的方法來量化運營風險。沒有統(tǒng)一的方法來量化運營風險。政策與規(guī)定之間的混亂。政策與規(guī)定之間的混亂。非結構化與非標準的政策手段。非結構化與非標準的政策手段。政策與政策與IT系統(tǒng)和管治模型之間沒有關聯(lián)。系統(tǒng)和管治模型之間沒有關聯(lián)。業(yè)務規(guī)定與政策或業(yè)務流程之間沒有關聯(lián)。業(yè)務規(guī)定與政策或業(yè)務流程之間沒有關聯(lián)。對原始數(shù)據(jù)的分類和對原始數(shù)據(jù)的分類和IT整合缺乏通用的手段整合缺乏通用的手段在未對結果定性之前，應對措施就已經(jīng)布置到位。在未對結果定性之前，應對措施就已經(jīng)布置到位。挑戰(zhàn)數(shù)據(jù)管治是眾多公司用于掌控適當訪問其關鍵數(shù)據(jù)的過程。這個過程通過衡量并減輕運營上和安全上的與

14、訪問相關的風險來達到掌控的目的。IBM 數(shù)據(jù)管治 2004 IBM Corporation102022/3/3主要內容 信息信息安安全全面面對對的的威威脅脅與與挑挑戰(zhàn)戰(zhàn)IBM IBM 數(shù)據(jù)管治數(shù)據(jù)管治策略策略數(shù)據(jù)管治協(xié)會數(shù)據(jù)管治協(xié)會 Data Governance Data Governance CouncilCouncil結論結論IBM 數(shù)據(jù)管治 2004 IBM Corporation112022/3/3IBM的數(shù)據(jù)管治 基本原則制定數(shù)據(jù)管治規(guī)定和政策以符合合約所規(guī)定的職責，并且保護股東和與制定數(shù)據(jù)管治規(guī)定和政策以符合合約所規(guī)定的職責，并且保護股東和與各方面的關系，包括與客戶、供應商和處理

15、公司信息的第三方公司。各方面的關系，包括與客戶、供應商和處理公司信息的第三方公司。在有效地訪問數(shù)據(jù)與恰當?shù)厥褂脭?shù)據(jù)之間尋求平衡點。在有效地訪問數(shù)據(jù)與恰當?shù)厥褂脭?shù)據(jù)之間尋求平衡點。 誰對于某種信息擁有所有權 誰可以使用這些信息，為了何種目的 使用技術手段使得控制模型具有強制執(zhí)行力。使用技術手段使得控制模型具有強制執(zhí)行力。改進一成不變的數(shù)據(jù)管治原則與框架，使之與政府的法規(guī)相符，并能正改進一成不變的數(shù)據(jù)管治原則與框架，使之與政府的法規(guī)相符，并能正確地應用于確地應用于IBM收集或產生的信息。收集或產生的信息。采用一種跨公司的控制模型來掌控信息的使用方式，提高所有數(shù)據(jù)的安全采用一種跨公司的控制模型來掌控

16、信息的使用方式，提高所有數(shù)據(jù)的安全性和整合性，同時在個人與公司兩個層面上保護隱私權。性和整合性，同時在個人與公司兩個層面上保護隱私權。Source: IBM 數(shù)據(jù)管治 2004 IBM Corporation122022/3/3IBM的數(shù)據(jù)管治 關鍵的成功要素所有的所有的IBM員工都必須定期對我們的業(yè)務行為準則進行認證。這些準則除了員工都必須定期對我們的業(yè)務行為準則進行認證。這些準則除了有很多指導和禁令以外，還管治著我們對于多種信息的使用情況：如員工隱有很多指導和禁令以外，還管治著我們對于多種信息的使用情況：如員工隱私；所有權；知識產權；記錄、報告和保存方面的信息；他人所擁有的信息；私；所有權

17、；知識產權；記錄、報告和保存方面的信息；他人所擁有的信息；內部信息與內部交易。內部信息與內部交易。為增強為增強IBM的數(shù)據(jù)管治能力，我們對客戶數(shù)據(jù)庫進行了鞏固，使得我們可以的數(shù)據(jù)管治能力，我們對客戶數(shù)據(jù)庫進行了鞏固，使得我們可以從更多方面了解客戶，以及對于客戶的數(shù)據(jù)有更深入的理解。從更多方面了解客戶，以及對于客戶的數(shù)據(jù)有更深入的理解。利用利用IBM的認證與訪問控制技術，如的認證與訪問控制技術，如Tivoli系列的產品，我們可以限制對敏感系列的產品，我們可以限制對敏感信息的訪問，使之只向特定人群開放。信息的訪問，使之只向特定人群開放。在滿足基本原則的基礎上，有效的數(shù)據(jù)管治最終決于三方面要素（人員

18、、在滿足基本原則的基礎上，有效的數(shù)據(jù)管治最終決于三方面要素（人員、流程和技術）能夠有機而自主地協(xié)同工作。流程和技術）能夠有機而自主地協(xié)同工作。IBM始終致力于開發(fā)能夠在整個始終致力于開發(fā)能夠在整個企業(yè)范圍內更好地整合這三方面要素的方法。企業(yè)范圍內更好地整合這三方面要素的方法。Source: IBM 數(shù)據(jù)管治 2004 IBM Corporation132022/3/3主要內容 信息信息安安全全面面對對的的威威脅脅與與挑挑戰(zhàn)戰(zhàn)IBM IBM 數(shù)據(jù)管治數(shù)據(jù)管治策略策略數(shù)據(jù)管治協(xié)會數(shù)據(jù)管治協(xié)會 Data Governance Data Governance CouncilCouncil結論結論IBM

19、 數(shù)據(jù)管治 2004 IBM Corporation142022/3/3數(shù)據(jù)管治協(xié)會 Data Governance Council 于于2005年年，IBM宣布與幾十個企業(yè)集團合作，共同成立一個稱之為數(shù)據(jù)管治協(xié)會宣布與幾十個企業(yè)集團合作，共同成立一個稱之為數(shù)據(jù)管治協(xié)會 (Data Governance Council)的機構，在這份與的機構，在這份與IBM合作的名單上有像荷蘭銀行合作的名單上有像荷蘭銀行(ABN Amro)、美、美國運通國運通(American Express)、德意志銀行、德意志銀行(Deutsche Bank)、美林、美林(Merrill Lynch)、世界、世界銀行銀行

20、(World Bank), 美國全美教師保險及年金協(xié)會美國全美教師保險及年金協(xié)會(TIAA-CREF)告示國際知名的企業(yè)集團。告示國際知名的企業(yè)集團。數(shù)據(jù)管治協(xié)會數(shù)據(jù)管治協(xié)會:明確和解決通用的數(shù)據(jù)管治問題，為安全、隱私、信任和公司執(zhí)行問題尋明確和解決通用的數(shù)據(jù)管治問題，為安全、隱私、信任和公司執(zhí)行問題尋找解決方案。找解決方案。專注于如下幾方面的管理事務：數(shù)據(jù)管治政策，政策方針對于業(yè)務流程和專注于如下幾方面的管理事務：數(shù)據(jù)管治政策，政策方針對于業(yè)務流程和業(yè)務活動的影響，業(yè)務活動的影響，IT基礎架構、內容和組織行為方面政策的強制執(zhí)行力?；A架構、內容和組織行為方面政策的強制執(zhí)行力。在企業(yè)內部與企業(yè)

21、之間，建立起一個管治與保護個人數(shù)據(jù)和組織數(shù)據(jù)的藍在企業(yè)內部與企業(yè)之間，建立起一個管治與保護個人數(shù)據(jù)和組織數(shù)據(jù)的藍圖，并且利用圖，并且利用IBM和和IBM業(yè)務合作伙伴的解決方案與概念，明確這個數(shù)據(jù)業(yè)務合作伙伴的解決方案與概念，明確這個數(shù)據(jù)管治藍圖將如何應用于各種企業(yè)和組織。管治藍圖將如何應用于各種企業(yè)和組織。Source: IBM 數(shù)據(jù)管治 2004 IBM Corporation152022/3/3IBM數(shù)據(jù)管治藍圖 Data Governance Blueprint 有一整套通用的工具通有一整套通用的工具通力協(xié)作以支持決策數(shù)據(jù)力協(xié)作以支持決策數(shù)據(jù)管治的人員和業(yè)務流程管治的人員和業(yè)務流程 政策

22、的規(guī)定涵蓋了整個企業(yè)范圍 數(shù)據(jù)是被分類、賦值和保護的 政策由逐條的規(guī)定構成，并且被整合進了業(yè)務流程中。 運營風險被量化進業(yè)務流程中 事件會被管控，損失會被記錄 最終情況會被顯示在終端面板上，并隨時間而更新請注意：以上這些是屬請注意：以上這些是屬于并發(fā)而且會反復更新于并發(fā)而且會反復更新的過程。的過程。1.2.3.4.5.6.IBM 數(shù)據(jù)管治 2004 IBM Corporation162022/3/3IBM與業(yè)務伙伴用于數(shù)據(jù)管控藍圖的產品政策部署原始數(shù)據(jù)建模業(yè)務規(guī)定管理業(yè)務、運營風險和管治處理建模事件管理與稽核記錄onDemand 管治終端面板1.2.3.4.5.6. IBM Rational

23、ReqPro IBM Workplace for Business Controls IBM Rational Data Architect IBM DB2 Database Integrator Corticon Business Rules Modeling Studio IBM Websphere Business Integration Modeler IBM Tivoli Identity Management DB2 Anonymous Resolution Mitratech TeamConnect IBM Tivoli Audit Logging IBM Rational Cl

24、earQuest IBM Workplace for Business Strategy Execution IBM Websphere Portal Server IBM DB2 Content ManagerIBM 數(shù)據(jù)管治 2004 IBM Corporation172022/3/3主要內容 信息信息安安全全面面對對的的威威脅脅與與挑挑戰(zhàn)戰(zhàn)IBM IBM 數(shù)據(jù)管治數(shù)據(jù)管治策略策略數(shù)據(jù)管治協(xié)會數(shù)據(jù)管治協(xié)會 Data Governance Data Governance CouncilCouncil結論結論IBM 數(shù)據(jù)管治 2004 IBM Corporation182022/3/3結論結論 為