IBM全球服務(wù)部亞太區(qū)信息安全經(jīng)理(共19頁).ppt

1、IBM 全球信息科技服務(wù)部 2006 IBM Corporation2022/3/3Data Governance數(shù)據(jù)管治Transforming Governance and Operational Risk Management何錦華 CISM、CISA、CISSP IBM全球服務(wù)部亞太區(qū)信息安全經(jīng)理管治轉(zhuǎn)換與運(yùn)營風(fēng)險管理IBM 數(shù)據(jù)管治 2004 IBM Corporation22022/3/3主要內(nèi)容 信息信息安安全全面面對對的的威威脅脅與與挑挑戰(zhàn)戰(zhàn)IBM IBM 數(shù)據(jù)管治數(shù)據(jù)管治策略策略數(shù)據(jù)管治協(xié)會數(shù)據(jù)管治協(xié)會 Data Governance Data Governance Coun

2、cilCouncil結(jié)論結(jié)論IBM 數(shù)據(jù)管治 2004 IBM Corporation32022/3/3存在的威脅及其來源受保護(hù)資源受保護(hù)資源Protected resources外國政府外國政府 foreign government詐騙詐騙bilk競爭對手競爭對手 rival有組織犯罪有組織犯罪Organized crime內(nèi)部威脅內(nèi)部威脅Internal threat黑客攻擊黑客攻擊Hacker attack病毒病毒virus惡意攻擊惡意攻擊Vicious attack自然災(zāi)害自然災(zāi)害natural disease事故事故Accidence人為失誤人為失誤Human mistakeIBM

3、數(shù)據(jù)管治 2004 IBM Corporation42022/3/3美數(shù)據(jù)處理公司遭入侵四千萬張信用卡資料外涉 18/06/2005美國一間為信用卡公司結(jié)算的公司，計算機(jī)系統(tǒng)被入侵，可能有多達(dá)四千萬名信用卡客戶數(shù)據(jù)外泄，主要是客戶姓名及銀行賬號資料。當(dāng)中一千四百萬是萬事達(dá)卡，二千二百萬張是VISA卡，聯(lián)邦調(diào)查局正調(diào)查。萬事達(dá)卡說，他們有七萬名客戶資料失去，并已發(fā)現(xiàn)部份詐騙個案，懷疑同事件有關(guān)。匯豐及恒生銀行都說，若本港客戶資料外泄，會為他們更換信用卡。金管局表示會向銀行了解。萬事達(dá)國際組織(MasterCardInternational)表示,信用卡付款資料遭到入侵，導(dǎo)致四千萬張各品牌的信用卡

4、信息被外涉。有分析家認(rèn)為今次是有史以來最大宗侵犯私隱案件。公司發(fā)言人向路透社表示，公司的保安人員發(fā)現(xiàn) CardSystems Solutions公司的數(shù)據(jù)遭到計算機(jī)入侵，這家公司是萬事達(dá)國際的合作伙伴，代表金融機(jī)構(gòu)與商家處理交易事宜。發(fā)言人指，至今已發(fā)現(xiàn)少量因今次安全漏洞而引起的詐騙事件，但比例相當(dāng)小，聯(lián)邦調(diào)查局正展開調(diào)查。 金管局會了解信用卡資料外泄 18/06/2005IBM 數(shù)據(jù)管治 2004 IBM Corporation52022/3/3香港市民憂電子資料外泄香港市民憂電子資料外泄2006-4-7【大公報訊】警監(jiān)會資料外泄事件發(fā)生後，一項(xiàng)調(diào)查發(fā)現(xiàn)，有近四成受訪者表示，此事影響他們使用

5、電子服務(wù)的信心，也有近三成受訪者擔(dān)心資料外泄。三月中警監(jiān)會發(fā)生投訴人資料外泄事件，引起各界對網(wǎng)上資料保密措施的討論。有見及此，新論壇聯(lián)同正荊社進(jìn)行一個有關(guān)市民使用政府網(wǎng)頁的調(diào)查，旨在了解市民對使用電子服務(wù)的習(xí)慣及對警監(jiān)會資料外泄事件的意見。調(diào)查發(fā)現(xiàn)，有近八成市民知道警監(jiān)會資料外泄事件，有約四成表示此事會降低他們使用電子服務(wù)的信心。此外，在使用網(wǎng)上服務(wù)的人士中，近半數(shù)不會在網(wǎng)上提供個人資料，也有近三成市民擔(dān)心資料外泄。負(fù)責(zé)調(diào)查機(jī)構(gòu)建議，政府應(yīng)加強(qiáng)監(jiān)察內(nèi)部資料儲存的程序和守則，并盡量減少外判服務(wù)，尤其是涉及敏感資料及個人私隱的服務(wù)，避免市民資料外泄。IBM 數(shù)據(jù)管治 2004 IBM Corpor

6、ation62022/3/3個人資料隱私與安全Personal Data Privacy and Security美國參議院在美國參議院在2005年提出個人資料隱私與安全法案年提出個人資料隱私與安全法案 (Personal Data Privacy and Security Act) ，藉由制定與企業(yè)資料安全相關(guān)的法規(guī)及對資訊竊取行為的相關(guān)罰則，希望能降低資安事件對企業(yè)營運(yùn)與民生經(jīng)濟(jì)的影響。香港亦已於香港亦已於1996年起實(shí)施個人資料年起實(shí)施個人資料(私隱私隱)條例條例 條例的目的，是在個人資料方面保障在世人士的私隱，并保障個人資料得以不受限制地從已實(shí)施資料保障法例的國家和地區(qū)自由流入香港，這

7、有助促進(jìn)本港經(jīng)濟(jì)的持續(xù)發(fā)展 。針對近來多項(xiàng)重大資料外針對近來多項(xiàng)重大資料外洩洩事件，不論是由政府立法、或由民事件，不論是由政府立法、或由民間企業(yè)主動發(fā)起，國際間已采取許多具體行動因應(yīng)。間企業(yè)主動發(fā)起，國際間已采取許多具體行動因應(yīng)。IBM 數(shù)據(jù)管治 2004 IBM Corporation72022/3/3美國參議院在2005年提出個人資料隱私與安全法案Personal Data Privacy and Security Act個人資料隱私與安全法的要點(diǎn)如下：個人資料隱私與安全法的要點(diǎn)如下：以嚴(yán)密的法規(guī)架構(gòu)規(guī)範(fàn)資料經(jīng)紀(jì)者(data brokr)，也就是蒐集、傳輸或以其他方式提供5,000筆以上足

8、以辨識非顧客或員工身分之個人資料的公司或非營利機(jī)構(gòu)。資料經(jīng)紀(jì)者必須遵守一套仿歐洲式的規(guī)定，包括強(qiáng)制向相關(guān)的個人公開紀(jì)錄。修改電腦犯罪防治法，對入侵資料庫者處以新的懲罰。入侵資料經(jīng)紀(jì)人的系統(tǒng)，得處以罰款和十年徒刑。若某公司或個人蓄意隱瞞某些類型的重大資料外洩事件，得處五年徒刑。 強(qiáng)制身為資料專有者(sol propritor)的大多數(shù)企業(yè)與個人遵守廣泛的個人資料隱私與安全計畫-類似Gramm-Lach-Blily法的規(guī)定。命令身為資料專有者的企業(yè)與個人，在電腦安全系統(tǒng)遭入侵事件影響上萬人的情況下，必須通知相關(guān)人士。 要求檢討聯(lián)邦判刑規(guī)章，對濫用個人身分辨識資料者加重處罰，并授權(quán)司法部準(zhǔn)釵政府加強(qiáng)

9、對身分詐欺相關(guān)犯罪行為的執(zhí)法工作。 1.若某聯(lián)邦機(jī)構(gòu)依賴內(nèi)含以美國公民個人資料為主的商業(yè)資料庫，必須進(jìn)一步做隱私影響評估。如果該資料庫的內(nèi)容涵蓋全球，不以美國公民的資料為主，則此要求并不適用。另外，聯(lián)邦機(jī)構(gòu)的個人資料過濾計畫，必須取得國會明確授權(quán)始能為之。IBM 數(shù)據(jù)管治 2004 IBM Corporation82022/3/3香港個人資料(私隱)條例1996保保 障障 資資 料料 原原 則則收 集 資 料 的 目 的 及 方 式 : 訂 明 須 以 合 法 及 公 平 的 方 式 收 集 個 人 資 料 ， 以 及 列 明 資 料 使 用 者 在 向 資 料 當(dāng) 事 人 收集 個 人 資

10、料 時 ， 應(yīng) 向 該 當(dāng) 事 人 提 供 的 資 料 。個 人 資 料 的 準(zhǔn) 確 性 及 保 留 期 間 : 訂 明 所 保 存 的 個 人 資 料 必 須 是 準(zhǔn) 確 和 最 新 的 資 料 ， 而 保 存 期 間 不 得 超 過 實(shí) 際 需 要 。個 人 資 料 的 使 用 : 訂 明 除 非 獲 得 資 料 當(dāng) 事 人 同 意 ， 否 則 個 人 資 料 只 可 用 於 在 收 集 資 料 時 所 述 明 的 用 途 或 與 其 直 接 有 關(guān) 的 用 途 。個 人 資 料 的 保 安 : 訂 明 須 采 取 適 當(dāng) 保 安 措 施 保 障 個 人 資 料 包 括 其 存 在 形 式

11、 令 查 閱 或 處 理 并 非 切 實(shí) 可 行 的 資 料 。資 訊 須 在 一 般 情 況 下 可 提 供 訂 明 資 料 使 用 者 須 公 開 所 持 有 的 個 人 資 料 類 別 ， 以 及 該 等 個 人 資 料 所 作 的 主 要 用 途 。查 閱 個 人 資 料 : 訂 明 資 料 當(dāng) 事 人 有 權(quán) 查 閱 及 改 正 其 個 人 資 料 。 罪罪 行行 及及 補(bǔ)補(bǔ) 償償條 例 訂 明 各 項(xiàng) 罪 行 ， 例 如 不 遵 守 私 隱 專 員 發(fā) 出 的 執(zhí) 行 通 知 ， 可 被 處 第 5級 罰 款 (目 前 是 50,000元 )及 監(jiān) 禁 2年 。1.條 例 亦 訂

12、明 ， 任 何 個 人 如 因 資 料 使 用 者 違 反 條 例 的 規(guī) 定 而 蒙 受 損 害 ， 包 括 感 情 的 傷 害 ， 則 有 權(quán) 向 有 關(guān) 資 料 使 用 者 要 求 補(bǔ) 償 。IBM 數(shù)據(jù)管治 2004 IBM Corporation92022/3/3數(shù)據(jù)管治與其面臨的挑戰(zhàn)安全、隱私、符合性和風(fēng)險方面的挑戰(zhàn)，需要用通用的方案予以解決。安全、隱私、符合性和風(fēng)險方面的挑戰(zhàn)，需要用通用的方案予以解決。人事組織與人事組織與IT角色、行為之間的脫節(jié)。角色、行為之間的脫節(jié)。鮮有技術(shù)手段可以在正確的時間為正確的人員獲的正確的信息以做出正確的抉鮮有技術(shù)手段可以在正確的時間為正確的人員獲的

13、正確的信息以做出正確的抉擇。擇。沒有統(tǒng)一的方法來量化運(yùn)營風(fēng)險。沒有統(tǒng)一的方法來量化運(yùn)營風(fēng)險。政策與規(guī)定之間的混亂。政策與規(guī)定之間的混亂。非結(jié)構(gòu)化與非標(biāo)準(zhǔn)的政策手段。非結(jié)構(gòu)化與非標(biāo)準(zhǔn)的政策手段。政策與政策與IT系統(tǒng)和管治模型之間沒有關(guān)聯(lián)。系統(tǒng)和管治模型之間沒有關(guān)聯(lián)。業(yè)務(wù)規(guī)定與政策或業(yè)務(wù)流程之間沒有關(guān)聯(lián)。業(yè)務(wù)規(guī)定與政策或業(yè)務(wù)流程之間沒有關(guān)聯(lián)。對原始數(shù)據(jù)的分類和對原始數(shù)據(jù)的分類和IT整合缺乏通用的手段整合缺乏通用的手段在未對結(jié)果定性之前，應(yīng)對措施就已經(jīng)布置到位。在未對結(jié)果定性之前，應(yīng)對措施就已經(jīng)布置到位。挑戰(zhàn)數(shù)據(jù)管治是眾多公司用于掌控適當(dāng)訪問其關(guān)鍵數(shù)據(jù)的過程。這個過程通過衡量并減輕運(yùn)營上和安全上的與

14、訪問相關(guān)的風(fēng)險來達(dá)到掌控的目的。IBM 數(shù)據(jù)管治 2004 IBM Corporation102022/3/3主要內(nèi)容 信息信息安安全全面面對對的的威威脅脅與與挑挑戰(zhàn)戰(zhàn)IBM IBM 數(shù)據(jù)管治數(shù)據(jù)管治策略策略數(shù)據(jù)管治協(xié)會數(shù)據(jù)管治協(xié)會 Data Governance Data Governance CouncilCouncil結(jié)論結(jié)論IBM 數(shù)據(jù)管治 2004 IBM Corporation112022/3/3IBM的數(shù)據(jù)管治 基本原則制定數(shù)據(jù)管治規(guī)定和政策以符合合約所規(guī)定的職責(zé)，并且保護(hù)股東和與制定數(shù)據(jù)管治規(guī)定和政策以符合合約所規(guī)定的職責(zé)，并且保護(hù)股東和與各方面的關(guān)系，包括與客戶、供應(yīng)商和處理

15、公司信息的第三方公司。各方面的關(guān)系，包括與客戶、供應(yīng)商和處理公司信息的第三方公司。在有效地訪問數(shù)據(jù)與恰當(dāng)?shù)厥褂脭?shù)據(jù)之間尋求平衡點(diǎn)。在有效地訪問數(shù)據(jù)與恰當(dāng)?shù)厥褂脭?shù)據(jù)之間尋求平衡點(diǎn)。 誰對于某種信息擁有所有權(quán) 誰可以使用這些信息，為了何種目的 使用技術(shù)手段使得控制模型具有強(qiáng)制執(zhí)行力。使用技術(shù)手段使得控制模型具有強(qiáng)制執(zhí)行力。改進(jìn)一成不變的數(shù)據(jù)管治原則與框架，使之與政府的法規(guī)相符，并能正改進(jìn)一成不變的數(shù)據(jù)管治原則與框架，使之與政府的法規(guī)相符，并能正確地應(yīng)用于確地應(yīng)用于IBM收集或產(chǎn)生的信息。收集或產(chǎn)生的信息。采用一種跨公司的控制模型來掌控信息的使用方式，提高所有數(shù)據(jù)的安全采用一種跨公司的控制模型來掌控

16、信息的使用方式，提高所有數(shù)據(jù)的安全性和整合性，同時在個人與公司兩個層面上保護(hù)隱私權(quán)。性和整合性，同時在個人與公司兩個層面上保護(hù)隱私權(quán)。Source: IBM 數(shù)據(jù)管治 2004 IBM Corporation122022/3/3IBM的數(shù)據(jù)管治 關(guān)鍵的成功要素所有的所有的IBM員工都必須定期對我們的業(yè)務(wù)行為準(zhǔn)則進(jìn)行認(rèn)證。這些準(zhǔn)則除了員工都必須定期對我們的業(yè)務(wù)行為準(zhǔn)則進(jìn)行認(rèn)證。這些準(zhǔn)則除了有很多指導(dǎo)和禁令以外，還管治著我們對于多種信息的使用情況：如員工隱有很多指導(dǎo)和禁令以外，還管治著我們對于多種信息的使用情況：如員工隱私；所有權(quán)；知識產(chǎn)權(quán)；記錄、報告和保存方面的信息；他人所擁有的信息；私；所有權(quán)

17、；知識產(chǎn)權(quán)；記錄、報告和保存方面的信息；他人所擁有的信息；內(nèi)部信息與內(nèi)部交易。內(nèi)部信息與內(nèi)部交易。為增強(qiáng)為增強(qiáng)IBM的數(shù)據(jù)管治能力，我們對客戶數(shù)據(jù)庫進(jìn)行了鞏固，使得我們可以的數(shù)據(jù)管治能力，我們對客戶數(shù)據(jù)庫進(jìn)行了鞏固，使得我們可以從更多方面了解客戶，以及對于客戶的數(shù)據(jù)有更深入的理解。從更多方面了解客戶，以及對于客戶的數(shù)據(jù)有更深入的理解。利用利用IBM的認(rèn)證與訪問控制技術(shù)，如的認(rèn)證與訪問控制技術(shù)，如Tivoli系列的產(chǎn)品，我們可以限制對敏感系列的產(chǎn)品，我們可以限制對敏感信息的訪問，使之只向特定人群開放。信息的訪問，使之只向特定人群開放。在滿足基本原則的基礎(chǔ)上，有效的數(shù)據(jù)管治最終決于三方面要素（人員

18、、在滿足基本原則的基礎(chǔ)上，有效的數(shù)據(jù)管治最終決于三方面要素（人員、流程和技術(shù)）能夠有機(jī)而自主地協(xié)同工作。流程和技術(shù)）能夠有機(jī)而自主地協(xié)同工作。IBM始終致力于開發(fā)能夠在整個始終致力于開發(fā)能夠在整個企業(yè)范圍內(nèi)更好地整合這三方面要素的方法。企業(yè)范圍內(nèi)更好地整合這三方面要素的方法。Source: IBM 數(shù)據(jù)管治 2004 IBM Corporation132022/3/3主要內(nèi)容 信息信息安安全全面面對對的的威威脅脅與與挑挑戰(zhàn)戰(zhàn)IBM IBM 數(shù)據(jù)管治數(shù)據(jù)管治策略策略數(shù)據(jù)管治協(xié)會數(shù)據(jù)管治協(xié)會 Data Governance Data Governance CouncilCouncil結(jié)論結(jié)論IBM

19、 數(shù)據(jù)管治 2004 IBM Corporation142022/3/3數(shù)據(jù)管治協(xié)會 Data Governance Council 于于2005年年，IBM宣布與幾十個企業(yè)集團(tuán)合作，共同成立一個稱之為數(shù)據(jù)管治協(xié)會宣布與幾十個企業(yè)集團(tuán)合作，共同成立一個稱之為數(shù)據(jù)管治協(xié)會 (Data Governance Council)的機(jī)構(gòu)，在這份與的機(jī)構(gòu)，在這份與IBM合作的名單上有像荷蘭銀行合作的名單上有像荷蘭銀行(ABN Amro)、美、美國運(yùn)通國運(yùn)通(American Express)、德意志銀行、德意志銀行(Deutsche Bank)、美林、美林(Merrill Lynch)、世界、世界銀行銀行

20、(World Bank), 美國全美教師保險及年金協(xié)會美國全美教師保險及年金協(xié)會(TIAA-CREF)告示國際知名的企業(yè)集團(tuán)。告示國際知名的企業(yè)集團(tuán)。數(shù)據(jù)管治協(xié)會數(shù)據(jù)管治協(xié)會:明確和解決通用的數(shù)據(jù)管治問題，為安全、隱私、信任和公司執(zhí)行問題尋明確和解決通用的數(shù)據(jù)管治問題，為安全、隱私、信任和公司執(zhí)行問題尋找解決方案。找解決方案。專注于如下幾方面的管理事務(wù)：數(shù)據(jù)管治政策，政策方針對于業(yè)務(wù)流程和專注于如下幾方面的管理事務(wù)：數(shù)據(jù)管治政策，政策方針對于業(yè)務(wù)流程和業(yè)務(wù)活動的影響，業(yè)務(wù)活動的影響，IT基礎(chǔ)架構(gòu)、內(nèi)容和組織行為方面政策的強(qiáng)制執(zhí)行力?；A(chǔ)架構(gòu)、內(nèi)容和組織行為方面政策的強(qiáng)制執(zhí)行力。在企業(yè)內(nèi)部與企業(yè)

21、之間，建立起一個管治與保護(hù)個人數(shù)據(jù)和組織數(shù)據(jù)的藍(lán)在企業(yè)內(nèi)部與企業(yè)之間，建立起一個管治與保護(hù)個人數(shù)據(jù)和組織數(shù)據(jù)的藍(lán)圖，并且利用圖，并且利用IBM和和IBM業(yè)務(wù)合作伙伴的解決方案與概念，明確這個數(shù)據(jù)業(yè)務(wù)合作伙伴的解決方案與概念，明確這個數(shù)據(jù)管治藍(lán)圖將如何應(yīng)用于各種企業(yè)和組織。管治藍(lán)圖將如何應(yīng)用于各種企業(yè)和組織。Source: IBM 數(shù)據(jù)管治 2004 IBM Corporation152022/3/3IBM數(shù)據(jù)管治藍(lán)圖 Data Governance Blueprint 有一整套通用的工具通有一整套通用的工具通力協(xié)作以支持決策數(shù)據(jù)力協(xié)作以支持決策數(shù)據(jù)管治的人員和業(yè)務(wù)流程管治的人員和業(yè)務(wù)流程 政策

22、的規(guī)定涵蓋了整個企業(yè)范圍 數(shù)據(jù)是被分類、賦值和保護(hù)的 政策由逐條的規(guī)定構(gòu)成，并且被整合進(jìn)了業(yè)務(wù)流程中。 運(yùn)營風(fēng)險被量化進(jìn)業(yè)務(wù)流程中 事件會被管控，損失會被記錄 最終情況會被顯示在終端面板上，并隨時間而更新請注意：以上這些是屬請注意：以上這些是屬于并發(fā)而且會反復(fù)更新于并發(fā)而且會反復(fù)更新的過程。的過程。1.2.3.4.5.6.IBM 數(shù)據(jù)管治 2004 IBM Corporation162022/3/3IBM與業(yè)務(wù)伙伴用于數(shù)據(jù)管控藍(lán)圖的產(chǎn)品政策部署原始數(shù)據(jù)建模業(yè)務(wù)規(guī)定管理業(yè)務(wù)、運(yùn)營風(fēng)險和管治處理建模事件管理與稽核記錄onDemand 管治終端面板1.2.3.4.5.6. IBM Rational

23、ReqPro IBM Workplace for Business Controls IBM Rational Data Architect IBM DB2 Database Integrator Corticon Business Rules Modeling Studio IBM Websphere Business Integration Modeler IBM Tivoli Identity Management DB2 Anonymous Resolution Mitratech TeamConnect IBM Tivoli Audit Logging IBM Rational Cl

24、earQuest IBM Workplace for Business Strategy Execution IBM Websphere Portal Server IBM DB2 Content ManagerIBM 數(shù)據(jù)管治 2004 IBM Corporation172022/3/3主要內(nèi)容 信息信息安安全全面面對對的的威威脅脅與與挑挑戰(zhàn)戰(zhàn)IBM IBM 數(shù)據(jù)管治數(shù)據(jù)管治策略策略數(shù)據(jù)管治協(xié)會數(shù)據(jù)管治協(xié)會 Data Governance Data Governance CouncilCouncil結(jié)論結(jié)論IBM 數(shù)據(jù)管治 2004 IBM Corporation182022/3/3結(jié)論結(jié)論 為