Forrester：在充分了解自身数据的基础之上制定可行的策略

ZD至顶网CIO与应用频道 05月03日 北京消息： 由于归根到底并不了解自身所拥有的数据资源，包括拥有的数据类型以及其存储等，机构往往在没有明确可行性和目标的情况之下仓促制定数据策略。这一状态所造成的后果则是，现有的数据策略不仅不能有效发挥作用，甚至有可能阻碍机构业务进程。

Forrester 的数据安全和控制框架将机构的数据保护行动分为以下三大领域：1、数据定义；2、数据分解及分析；3、数据保护。安全专业人士可以在此框架之上进一步制定相应的数据策略。 

识别数据和角色是制定可行策略的基础

机构中存在两种类型的数据：1、有人觊觎想要窃取的数据；2、其他数据。第一种数据通常都包含敏感内容或者是“有毒数据”（Toxic Data），可以通过以下等式识别有毒数据：3P + IP = TD。3P 分别代表“个人可识别信息” （Personally Identifiable Information：PII），“个人健康信息” （Personal Health Information：PSI），以及“个人持卡信息” （Personal Cardholder Information：PCI）；而 IP 则表示知识产权（Intellectual Property）；TD 表示有毒数据（Toxic Data）。 定义数据的原因在于机构不了解自身拥有哪些有毒数据及其存储位置，因此无法实现数据安全和保护。通常人们会认为身份（Identity）这一观念只适用于网络用户。而事实是，用户在网络环境当中使用的某个身份往往在信息包中在整个网络中传输。通过给网络中的数据包重新分配身份信息，我们可以使用身份属性为数据包添加标签，帮助我们确定任何数据的业务重要性并给予相应的有效保护。因此，数据识别是制定可行数据策略的首要步骤，它必须包含以下三部分内容：

● 数据身份

● 数据操作角色

● 数据控制工具

在了解数据操作的潜在影响的基础之上制定切实可行的数据策略

作为企业宝贵资产的数据可能因为处理不当而给企业带来风险。因此机构必须充分了解各种数据处理行为（包括数据使用、数据存储、数据处理等）潜在的影响并进一步制定完善的应对策略。

安全和风险专业人士必须和其他部门合作来完成这项工作。企业需要首席隐私官（Chief Privacy Officer：CPO）或者相应的企业管理者、法务、合规人员和市场营销人员共同参与到策略和客户预期的解读过程中。企业需要考虑包括地区、国家法律和具体行业规范在内的各种法规。此外其他可能的影响因素还包括政府计划、智库信息以及消费者的认知、行为。

确立数据审查机制以保证策略落实

企业可以通过技术手段帮助数据策略落实，包括通过提供审查轨迹（Audit Trail）以及满足合规
要求等。其他可以使用的工具和流程包括：

● 数据发现

● 数据分类

● 数据丢失防护

● 网络分析及可见性（Network Analysis And Visibility：NAV）

制定数据安全策略 避免无谓投入

数据保护的具体工作可以落实到以下四个组成部分：数据获取、数据审查、数据处理和数据销毁。这四个部分都应有相应的数据安全及数据使用策略。为了简化策略制定过程，企业可以以现有的安全标准作为设计自身数据安全控制活动的基点，在此基础之上制定系统化的数据保护策略。ISO/IEC 27002 可以为企业提供宏观的策略范畴指导。具体策略方面，企业可以参考 PCI DSS（支付卡行业数据安全标准：Payment Card Industry Data Security Standard）。

首席数据执行官将主导企业数据安全策略发展

大数据的发展促使企业中新管理岗位的设置，即首席数据官（Chief Data Officer：DCO）。 对于很多机构而言，CDO 目前仍然处于非常初期的阶段，就好比 20 年前刚刚兴起的 CIO 职位，CDO 的核心职责还有待界定。有关 CDO 的相关研究已经表明这一职位将主要负责企业与数据相关的战略，包括数据治理、数据基础设施、企业数据分析以及企业数据资产发展。如今，CDO、CISO（首席信息安全官 Chief Information Security Officer）和 CPO（Chief Privacy Officer：首席隐私官）有各自不同的数据职责范畴。出于种种原因，数据安全还没有被包括在 CDO 的职责当中。Forrester 认为，为了能够更好的保护数据免于数据泄露事故，CDO 必须对数据保护措施进行客观的监控。CISO 和 CDO 的确需要彼此合作，但 CDO 才是企业内部推动数据安全发展的那个人，这是因为：

● CDO 能够将业务价值与数据资产相连接

● CDO 对数据身份和目的最为了解

● CDO 拥有充分的动机来实现数据保护

首席信息安全官负责构建数据安全和隐私控制策略

策略和其执行的责任需要加以区分。正如同 CPO 和 CISO 一起负责执行隐私相关策略和控制措施一样，CDO 也会和 CISO、CPO 一起共同落实相关隐私策略和控制手段。在策略制定阶段，CDO、CPO 和 CISO 之间的职责可能有一定程度的重合且三方会有合作机会。然而，CISO 才是唯一需要负责构架企业必要的安全和隐私控制手段、负责实施策略并且确保控制手段与机构的整体安全策略相一致的那个人。