152数据管治--何锦华_IBM全球服务部亚太区信息安全经理.pptVIP

Data Governance Customer Council Meeting Trip Report - Feb. 2005 Data Governance数据管治 主要内容 存在的威胁及其来源 美数据处理公司遭入侵四千万张信用卡资料外涉 [18/06/2005] 香港市民忧电子资料外泄 个人资料隐私与安全Personal Data Privacy and Security 美国参议院在2005年提出「个人资料隐私与安全法案」 (Personal Data Privacy and Security Act) ，藉由制定与企业资料安全相关的法规及对资讯窃取行为的相关罚则，希望能降低资安事件对企业营运与民生经济的影响。 香港亦已於1996年起实施「个人资料(私隐)条例」 条例的目的，是在个人资料方面保障在世人士的私隐，并保障个人资料得以不受限制地从已实施资料保障法例的国家和地区自由流入香港，这有助促进本港经济的持续发展 。 美国参议院在2005年提出「个人资料隐私与安全法案」Personal Data Privacy and Security Act 香港「个人资料(私隐)条例」1996 保 障 资 料 原 则 收 集 资 料 的 目 的 及 方 式 : 订 明 须 以 合 法 及 公 平 的 方 式 收 集 个 人 资 料 ， 以 及 列 明 资 料 使 用 者 在 向 资 料 当 事 人 收集 个 人 资 料 时 ， 应 向 该 当 事 人 提 供 的 资 料 。 个 人 资 料 的 准 确 性 及 保 留 期 间 : 订 明 所 保 存 的 个 人 资 料 必 须 是 准 确 和 最 新 的 资 料 ， 而 保 存 期 间 不 得 超 过 实 际 需 要 。 个 人 资 料 的 使 用 : 订 明 除 非 获 得 资 料 当 事 人 同 意 ， 否 则 个 人 资 料 只 可 用 於 在 收 集 资 料 时 所 述 明 的 用 途 或 与 其 直 接 有 关 的 用 途 。 个 人 资 料 的 保 安 : 订 明 须 采 取 适 当 保 安 措 施 保 障 个 人 资 料 ［ 包 括 其 存 在 形 式 令 查 阅 或 处 理 并 非 切 实 可 行 的 资 料 ］ 。 资 讯 须 在 一 般 情 况 下 可 提 供 订 明 资 料 使 用 者 须 公 开 所 持 有 的 个 人 资 料 类 别 ， 以 及 该 等 个 人 资 料 所 作 的 主 要 用 途 。 查 阅 个 人 资 料 : 订 明 资 料 当 事 人 有 权 查 阅 及 改 正 其 个 人 资 料 。 罪 行 及 补 偿 条 例 订 明 各 项 罪 行 ， 例 如 不 遵 守 私 隐 专 员 发 出 的 执 行 通 知 ， 可 被 处 第 5级 罚 款 (目 前 是 50,000元 )及 监 禁 2年 。 条 例 亦 订 明 ， 任 何 个 人 如 因 资 料 使 用 者 违 反 条 例 的 规 定 而 蒙 受 损 害 ， 包 括 感 情 的 伤 害 ， 则 有 权 向 有 关 资 料 使 用 者 要 求 补 偿 。 数据管治与其面临的挑战 安全、隐私、符合性和风险方面的挑战，需要用通用的方案予以解决。 人事组织与IT角色、行为之间的脱节。 鲜有技术手段可以在正确的时间为正确的人员获的正确的信息以做出正确的抉择。 没有统一的方法来量化运营风险。 政策与规定之间的混乱。 非结构化与非标准的政策手段。 政策与IT系统和管治模型之间没有关联。 业务规定与政策或业务流程之间没有关联。 对原始数据的分类和IT整合缺乏通用的手段 在未对结果定性之前，应对措施就已经布置到位。 主要内容 IBM的数据管治 – 基本原则 制定数据管治规定和政策以符合合约所规定的职责，并且保护股东和与各方面的关系，包括与客户、供应商和处理公司信息的第三方公司。 在有效地访问数据与恰当地使用数据之间寻求平衡点。 谁对于某种信息拥有所有权 谁可以使用这些信息，为了何种目的 使用技术手段使得控制模型具有强制执行力。 改进一成不变的数据管治原则与框架，使之与政府的法规相符，并能正确地应用于IBM收集或产生的信息。 IBM的数据管治 – 关键的成功要素 所有的IBM员工都必须定期对我们的业务行为准则进行认证。这些准则除了有很多指导和禁令以外，还管治着我们对于多种信息的使用情况：如员工隐私；所有权；知识产权；记录、报告和保存方面的信息；他人所拥有的信息；内部信息与内部交易。 为增强IBM的数据管治能力，我们对客户数据库进行了巩固，使得我们可以从更多方面了解客户，以及对于客户的数据有更深入的理解。 利用IBM的认证与访问控制技术，如Tivoli系列的产品，我们可以限制对敏感信息的访问