理解数据角色
时间:2023年3月14日 星期二
作者:小王
一、数据所有者(Data Owner)
对数据负有最终组织责任的人,如CEO、CFO等,但也不能说数据所有者就是高管,如员工自己写的文档,则数据所有者便是员工。主要职责:
1.识别和分类数据,并确保正确标记;
2.确保安全策略要求有足够的安全控制;
3.决定谁有什么权利访问什么系统;
4.最终背锅侠。
二、资产所有者(Asset Owners)
也称为系统所有者(system owner),处理敏感数据的资产或系统的人员,系统所有者和数据所有者通常是一个人,但也可以不是一个人,如ERP系统是归IT部门管理,但其数据是财务部门的。主要职责:
1.开发和维护系统安全计划;
2.确保安全计划贯彻执行;
3.确保系统用户和支持人员接受适当的安全培训。
三、业务/任务所有者(Business/Mission Owners)
负责业务持续运行,通常是指业务部门,如前面提到的财务部门。主要职责:
1.为组织提供盈利;
2.平衡安全控制要求与业务需求之间的关系,如参考COBIT。COBIT的五项原则是满足利益相关者的需求,涵盖企业的端到端,应用单个集成框架,实现整体方法以及将治理与管理分开。
四、数据处理者和数据控制者 (Data Processors and Data Controllers)
通常数据处理者指的是处理数据的任何系统。
1.GDPR中的概念
数据控制者:控制数据处理的个人或实体,通常是数据所有者。
数据处理者:仅代表数据控制者处理个人数据的自然人或法人、政府当局、机构或其他团体。
2.主要职责
确保数据安全性,如果数据丢失,处理者负经济责任、所有者负最终责任。
五、数据托管员(Data Custodians)
执行数据保护的底层人民,如安全运维人员。所有者只喊口号和确认结果,不干实事。
六、管理员(Administrators)
通常是任何具有分配权力的人,即使没有完全的管理权限。在数据角色的语境中,数据管理员可能是数据托管员或其他数据角色,也就是说主要看语境。
七、用户和主体(User and Subjects)
用户也就是员一般员工。
主体指的是访问对象的任何实体,如用户、程序、流程、服务、计算机等等。
GDPR中定义的数据主体是可以通过标识符识别的人,如人的名字。