數(shù)據(jù)管治何錦華IBM全球服務(wù)部亞太區(qū)信息安全經(jīng)理

數(shù)據(jù)管治何錦華IBM全球服務(wù)部亞太區(qū)信息安全經(jīng)理2023/5/27數(shù)據(jù)管治何錦華IBM全球服務(wù)部亞太區(qū)信息安全經(jīng)理主要內(nèi)容信息安全面對(duì)的威脅與挑戰(zhàn)IBM數(shù)據(jù)管治策略數(shù)據(jù)管治協(xié)會(huì)DataGovernanceCouncil結(jié)論2023/5/27數(shù)據(jù)管治何錦華IBM全球服務(wù)部亞太區(qū)信息安全經(jīng)理存在的威脅及其來(lái)源受保護(hù)資源Protectedresources外國(guó)政府foreigngovernment詐騙bilk競(jìng)爭(zhēng)對(duì)手rival有組織犯罪Organizedcrime內(nèi)部威脅Internalthreat黑客攻擊Hackerattack病毒virus惡意攻擊Viciousattack自然災(zāi)害naturaldisease事故Accidence人為失誤Humanmistake2023/5/27數(shù)據(jù)管治何錦華IBM全球服務(wù)部亞太區(qū)信息安全經(jīng)理美數(shù)據(jù)處理公司遭入侵四千萬(wàn)張信用卡資料外涉[18/06/2005]美國(guó)一間為信用卡公司結(jié)算的公司，計(jì)算機(jī)系統(tǒng)被入侵，可能有多達(dá)四千萬(wàn)名信用卡客戶數(shù)據(jù)外泄，主要是客戶姓名及銀行賬號(hào)資料。當(dāng)中一千四百萬(wàn)是萬(wàn)事達(dá)卡，二千二百萬(wàn)張是VISA卡，聯(lián)邦調(diào)查局正調(diào)查。萬(wàn)事達(dá)卡說(shuō)，他們有七萬(wàn)名客戶資料失去，并已發(fā)現(xiàn)部份詐騙個(gè)案，懷疑同事件有關(guān)。

匯豐及恒生銀行都說(shuō)，若本港客戶資料外泄，會(huì)為他們更換信用卡。金管局表示會(huì)向銀行了解。萬(wàn)事達(dá)國(guó)際組織(MasterCardInternational)表示,信用卡付款資料遭到入侵，導(dǎo)致四千萬(wàn)張各品牌的信用卡信息被外涉。有分析家認(rèn)為今次是有史以來(lái)最大宗侵犯私隱案件。公司發(fā)言人向《路透社》表示，公司的保安人員發(fā)現(xiàn)CardSystemsSolutions公司的數(shù)據(jù)遭到計(jì)算機(jī)入侵，這家公司是萬(wàn)事達(dá)國(guó)際的合作伙伴，代表金融機(jī)構(gòu)與商家處理交易事宜。發(fā)言人指，至今已發(fā)現(xiàn)少量因今次安全漏洞而引起的詐騙事件，但比例相當(dāng)小，聯(lián)邦調(diào)查局正展開(kāi)調(diào)查。

金管局會(huì)了解信用卡資料外泄[18/06/2005]2023/5/27數(shù)據(jù)管治何錦華IBM全球服務(wù)部亞太區(qū)信息安全經(jīng)理香港市民憂電子資料外泄2006-4-7【大公報(bào)訊】警監(jiān)會(huì)資料外泄事件發(fā)生後，一項(xiàng)調(diào)查發(fā)現(xiàn)，有近四成受訪者表示，此事影響他們使用電子服務(wù)的信心，也有近三成受訪者擔(dān)心資料外泄。三月中警監(jiān)會(huì)發(fā)生投訴人資料外泄事件，引起各界對(duì)網(wǎng)上資料保密措施的討論。有見(jiàn)及此，新論壇聯(lián)同正荊社進(jìn)行一個(gè)有關(guān)「市民使用政府網(wǎng)頁(yè)」的調(diào)查，旨在了解市民對(duì)使用電子服務(wù)的習(xí)慣及對(duì)警監(jiān)會(huì)資料外泄事件的意見(jiàn)。調(diào)查發(fā)現(xiàn)，有近八成市民知道警監(jiān)會(huì)資料外泄事件，有約四成表示此事會(huì)降低他們使用電子服務(wù)的信心。此外，在使用網(wǎng)上服務(wù)的人士中，近半數(shù)不會(huì)在網(wǎng)上提供個(gè)人資料，也有近三成市民擔(dān)心資料外泄。負(fù)責(zé)調(diào)查機(jī)構(gòu)建議，政府應(yīng)加強(qiáng)監(jiān)察內(nèi)部資料儲(chǔ)存的程序和守則，并盡量減少外判服務(wù)，尤其是涉及敏感資料及個(gè)人私隱的服務(wù)，避免市民資料外泄。2023/5/27數(shù)據(jù)管治何錦華IBM全球服務(wù)部亞太區(qū)信息安全經(jīng)理個(gè)人資料隱私與安全PersonalDataPrivacyandSecurity美國(guó)參議院在2005年提出「?jìng)€(gè)人資料隱私與安全法案」(PersonalDataPrivacyandSecurityAct)，藉由制定與企業(yè)資料安全相關(guān)的法規(guī)及對(duì)資訊竊取行為的相關(guān)罰則，希望能降低資安事件對(duì)企業(yè)營(yíng)運(yùn)與民生經(jīng)濟(jì)的影響。香港亦已於1996年起實(shí)施「?jìng)€(gè)人資料(私隱)條例」條例的目的，是在個(gè)人資料方面保障在世人士的私隱，并保障個(gè)人資料得以不受限制地從已實(shí)施資料保障法例的國(guó)家和地區(qū)自由流入香港，這有助促進(jìn)本港經(jīng)濟(jì)的持續(xù)發(fā)展。針對(duì)近來(lái)多項(xiàng)重大資料外洩事件，不論是由政府立法、或由民間企業(yè)主動(dòng)發(fā)起，國(guó)際間已采取許多具體行動(dòng)因應(yīng)。2023/5/27數(shù)據(jù)管治何錦華IBM全球服務(wù)部亞太區(qū)信息安全經(jīng)理美國(guó)參議院在2005年提出「?jìng)€(gè)人資料隱私與安全法案」PersonalDataPrivacyandSecurityAct「?jìng)€(gè)人資料隱私與安全法」的要點(diǎn)如下：以嚴(yán)密的法規(guī)架構(gòu)規(guī)範(fàn)「資料經(jīng)紀(jì)者」(databrokr)，也就是「蒐?集、傳輸或以其他方式提供5,000筆以上足以辨識(shí)非顧客或員工身分之個(gè)人資料」的公司或非營(yíng)利機(jī)構(gòu)。資料經(jīng)紀(jì)者必須遵守一套仿歐洲式的規(guī)定，包括強(qiáng)制向相關(guān)的個(gè)人公開(kāi)紀(jì)錄。修改電腦犯罪防治法，對(duì)入侵資料庫(kù)者處以新的懲罰。入侵資料經(jīng)紀(jì)人的系統(tǒng)，得處以罰款和十年徒刑。若某公司或個(gè)人「蓄意」隱瞞某些類(lèi)型的重大資料外洩事件，得處五年徒刑。強(qiáng)制身為資料專(zhuān)有者(solpropritor)的大多數(shù)企業(yè)與個(gè)人遵守「廣泛的個(gè)人資料隱私與安全計(jì)畫(huà)」--類(lèi)似Gramm-Lach-Blily法的規(guī)定。命令身為資料專(zhuān)有者的企業(yè)與個(gè)人，在電腦安全系統(tǒng)遭入侵事件「影響上萬(wàn)人」的情況下，必須通知相關(guān)人士。要求檢討聯(lián)邦判刑規(guī)章，對(duì)濫用個(gè)人身分辨識(shí)資料者加重處罰，并授權(quán)司法部準(zhǔn)釵{政府加強(qiáng)對(duì)身分詐欺相關(guān)犯罪行為的執(zhí)法工作。若某聯(lián)邦機(jī)構(gòu)依賴內(nèi)含以美國(guó)公民個(gè)人資料為主的商業(yè)資料庫(kù)，必須進(jìn)一步做「隱私影響評(píng)估」。如果該資料庫(kù)的內(nèi)容涵蓋全球，不以美國(guó)公民的資料為主，則此要求并不適用。另外，聯(lián)邦機(jī)構(gòu)的個(gè)人資料過(guò)濾計(jì)畫(huà)，必須取得國(guó)會(huì)明確授權(quán)始能為之。Source/news/software/0,2000064574,20100051,00.htm2023/5/27數(shù)據(jù)管治何錦華IBM全球服務(wù)部亞太區(qū)信息安全經(jīng)理香港「?jìng)€(gè)人資料(私隱)條例」1996保障資料原則收集資料的目的及方式:訂明須以合法及公平的方式收集個(gè)人資料，以及列明資料使用者在向資料當(dāng)事人收集個(gè)人資料時(shí)，應(yīng)向該當(dāng)事人提供的資料。個(gè)人資料的準(zhǔn)確性及保留期間:訂明所保存的個(gè)人資料必須是準(zhǔn)確和最新的資料，而保存期間不得超過(guò)實(shí)際需要。個(gè)人資料的使用:訂明除非獲得資料當(dāng)事人同意，否則個(gè)人資料只可用於在收集資料時(shí)所述明的用途或與其直接有關(guān)的用途。個(gè)人資料的保安:訂明須采取適當(dāng)保安措施保障個(gè)人資料［包括其存在形式令查閱或處理并非切實(shí)可行的資料］。資訊須在一般情況下可提供訂明資料使用者須公開(kāi)所持有的個(gè)人資料類(lèi)別，以及該等個(gè)人資料所作的主要用途。查閱個(gè)人資料:訂明資料當(dāng)事人有權(quán)查閱及改正其個(gè)人資料。罪行及補(bǔ)償條例訂明各項(xiàng)罪行，例如不遵守私隱專(zhuān)員發(fā)出的執(zhí)行通知，可被處第5級(jí)罰款(目前是50,000元)及監(jiān)禁2年。條例亦訂明，任何個(gè)人如因資料使用者違反條例的規(guī)定而蒙受損害，包括感情的傷害，則有權(quán)向有關(guān)資料使用者要求補(bǔ)償。Source.hk/chinese/ordinance/ordglance1.html2023/5/27數(shù)據(jù)管治何錦華IBM全球服務(wù)部亞太區(qū)信息安全經(jīng)理數(shù)據(jù)管治與其面臨的挑戰(zhàn)安全、隱私、符合性和風(fēng)險(xiǎn)方面的挑戰(zhàn)，需要用通用的方案予以解決。人事組織與IT角色、行為之間的脫節(jié)。鮮有技術(shù)手段可以在正確的時(shí)間為正確的人員獲的正確的信息以做出正確的抉擇。沒(méi)有統(tǒng)一的方法來(lái)量化運(yùn)營(yíng)風(fēng)險(xiǎn)。政策與規(guī)定之間的混亂。非結(jié)構(gòu)化與非標(biāo)準(zhǔn)的政策手段。政策與IT系統(tǒng)和管治模型之間沒(méi)有關(guān)聯(lián)。業(yè)務(wù)規(guī)定與政策或業(yè)務(wù)流程之間沒(méi)有關(guān)聯(lián)。對(duì)原始數(shù)據(jù)的分類(lèi)和IT整合缺乏通用的手段在未對(duì)結(jié)果定性之前，應(yīng)對(duì)措施就已經(jīng)布置到位。挑戰(zhàn)數(shù)據(jù)管治是眾多公司用于掌控適當(dāng)訪問(wèn)其關(guān)鍵數(shù)據(jù)的過(guò)程。這個(gè)過(guò)程通過(guò)衡量并減輕運(yùn)營(yíng)上和安全上的與訪問(wèn)相關(guān)的風(fēng)險(xiǎn)來(lái)達(dá)到掌控的目的。2023/5/27數(shù)據(jù)管治何錦華IBM全球服務(wù)部亞太區(qū)信息安全經(jīng)理主要內(nèi)容信息安全面對(duì)的威脅與挑戰(zhàn)IBM數(shù)據(jù)管治策略數(shù)據(jù)管治協(xié)會(huì)DataGovernanceCouncil結(jié)論2023/5/27數(shù)據(jù)管治何錦華IBM全球服務(wù)部亞太區(qū)信息安全經(jīng)理IBM的數(shù)據(jù)管治–基本原則制定數(shù)據(jù)管治規(guī)定和政策以符合合約所規(guī)定的職責(zé)，并且保護(hù)股東和與各方面的關(guān)系，包括與客戶、供應(yīng)商和處理公司信息的第三方公司。在有效地訪問(wèn)數(shù)據(jù)與恰當(dāng)?shù)厥褂脭?shù)據(jù)之間尋求平衡點(diǎn)。

誰(shuí)對(duì)于某種信息擁有所有權(quán)

誰(shuí)可以使用這些信息，為了何種目的

使用技術(shù)手段使得控制模型具有強(qiáng)制執(zhí)行力。改進(jìn)一成不變的數(shù)據(jù)管治原則與框架，使之與政府的法規(guī)相符，并能正確地應(yīng)用于IBM收集或產(chǎn)生的信息。采用一種跨公司的控制模型來(lái)掌控信息的使用方式，提高所有數(shù)據(jù)的安全性和整合性，同時(shí)在個(gè)人與公司兩個(gè)層面上保護(hù)隱私權(quán)。Source:/ibm/responsibility/world/security/data-governance.shtml2023/5/27數(shù)據(jù)管治何錦華IBM全球服務(wù)部亞太區(qū)信息安全經(jīng)理IBM的數(shù)據(jù)管治–關(guān)鍵的成功要素所有的IBM員工都必須定期對(duì)我們的業(yè)務(wù)行為準(zhǔn)則進(jìn)行認(rèn)證。這些準(zhǔn)則除了有很多指導(dǎo)和禁令以外，還管治著我們對(duì)于多種信息的使用情況：如員工隱私；所有權(quán)；知識(shí)產(chǎn)權(quán)；記錄、報(bào)告和保存方面的信息；他人所擁有的信息；內(nèi)部信息與內(nèi)部交易。為增強(qiáng)IBM的數(shù)據(jù)管治能力，我們對(duì)客戶數(shù)據(jù)庫(kù)進(jìn)行了鞏固，使得我們可以從更多方面了解客戶，以及對(duì)于客戶的數(shù)據(jù)有更深入的理解。利用IBM的認(rèn)證與訪問(wèn)控制技術(shù)，如Tivoli系列的產(chǎn)品，我們可以限制對(duì)敏感信息的訪問(wèn)，使之只向特定人群開(kāi)放。在滿足基本原則的基礎(chǔ)上，有效的數(shù)據(jù)管治最終決于三方面要素（人員、流程和技術(shù)）能夠有機(jī)而自主地協(xié)同工作。IBM始終致力于開(kāi)發(fā)能夠在整個(gè)企業(yè)范圍內(nèi)更好地整合這三方面要素的方法。Source:/ibm/responsibility/world/security/data-governance.shtml2023/5/27數(shù)據(jù)管治何錦華IBM全球服務(wù)部亞太區(qū)信息安全經(jīng)理主要內(nèi)容信息安全面對(duì)的威脅與挑戰(zhàn)IBM數(shù)據(jù)管治策略數(shù)據(jù)管治協(xié)會(huì)DataGovernanceCouncil結(jié)論2023/5/27數(shù)據(jù)管治何錦華IBM全球服務(wù)部亞太區(qū)信息安全經(jīng)理數(shù)據(jù)管治協(xié)會(huì)DataGovernanceCouncil

于2005年，IBM宣布與幾十個(gè)企業(yè)集團(tuán)合作，共同成立一個(gè)稱之為數(shù)據(jù)管治協(xié)會(huì)(DataGovernanceCouncil)的機(jī)構(gòu)，在這份與IBM合作的名單上有像荷蘭銀行(ABNAmro)、美國(guó)運(yùn)通(AmericanExpress)、德意志銀行(DeutscheBank)、美林(MerrillLynch)、世界銀行(WorldBank),美國(guó)全美教師保險(xiǎn)及年金協(xié)會(huì)(TIAA-CREF)告示國(guó)際知名的企業(yè)集團(tuán)。數(shù)據(jù)管治協(xié)會(huì):明確和解決通用的數(shù)據(jù)管治問(wèn)題，為安全、隱私、信任和公司執(zhí)行問(wèn)題尋找解決方案。專(zhuān)注于如下幾方面的管理事務(wù)：數(shù)據(jù)管治政策，政策方針對(duì)于業(yè)務(wù)流程和業(yè)務(wù)活動(dòng)的影響，IT基礎(chǔ)架構(gòu)、內(nèi)容和組織行為方面政策的強(qiáng)制執(zhí)行力。在企業(yè)內(nèi)部與企業(yè)之間，建立起一個(gè)管治與保護(hù)個(gè)人數(shù)據(jù)和組織數(shù)據(jù)的藍(lán)圖，并且利用IBM和IBM業(yè)務(wù)合作伙伴的解決方案與概念，明確這個(gè)數(shù)據(jù)管治藍(lán)圖將如何應(yīng)用于各種企業(yè)和組織。Source:/ibm/responsibility/world/security/data-governance.shtml2023/5/27數(shù)據(jù)管治何錦華IBM全球服務(wù)部亞太區(qū)信息安全經(jīng)理IBM數(shù)據(jù)管治藍(lán)圖

DataGovernanceBlueprint有一整套通用的工具通力協(xié)作以支持決策數(shù)據(jù)管治的人員和業(yè)務(wù)流程政策的規(guī)定涵蓋了整個(gè)企業(yè)范圍數(shù)據(jù)是被分類(lèi)、賦值和保護(hù)的政策由逐條的規(guī)定構(gòu)成，并且被整合進(jìn)了業(yè)務(wù)流程中。運(yùn)營(yíng)風(fēng)險(xiǎn)被量化進(jìn)業(yè)務(wù)流程中事件會(huì)被管控，損失會(huì)被記錄最終情況會(huì)被顯示在終端面板上，并隨時(shí)間而更新請(qǐng)注意：以上這些是屬于并發(fā)而且會(huì)反復(fù)更新的過(guò)程。.5.6.2023/5/27數(shù)據(jù)管治何錦華IBM全球服務(wù)部亞太區(qū)信息安全經(jīng)理IBM與業(yè)務(wù)伙伴用于數(shù)據(jù)管控藍(lán)圖的產(chǎn)品政策部署原始數(shù)據(jù)建模業(yè)務(wù)規(guī)定管理業(yè)務(wù)、運(yùn)營(yíng)風(fēng)險(xiǎn)和管治處理建模事件管理與稽核記錄onDemand管治終端面板.5.6.IBMRationalReqProIBMWorkplaceforBusinessControlsIBMRationalDataArchitectIBMDB2DatabaseIntegratorCorticonBusinessRulesModelingStudioIBMWebsphereBusinessIntegrationModelerIBMTivoliIdentityManagementDB2AnonymousResolutionMitratechTeamConnectIBMTivoliAuditLoggingIBMRationalClearQuestIBMWorkplaceforBusinessStrategyExecutionIBMWebsphereP