1、Data Governance數據管治Transforming Governance and Operational Risk Management CISM、CISA、CISSP IBM全球效勞部亞太區信息平安經理管治轉換與運營風險管理2022/7/11主要內容 信息平安面對的威脅與挑戰IBM 數據管治策略數據管治協會 Data Governance Council結論2022/7/112存在的威脅及其來源受保護資源Protected resources外國政府 foreign government詐騙bilk競爭對手 rival有組織犯罪Organized crime內部威脅Interna

2、l threat黑客攻擊Hacker attack病毒virus惡意攻擊Vicious attack自然災害natural disease事故Accidence人為失誤Human mistake2022/7/113美數據處理公司遭入侵四千萬張信用卡資料外涉 18/06/2005美國一間為信用卡公司結算的公司,計算機系統被入侵,可能有多達四千萬名信用卡客戶數據外泄,主要是客戶姓名及銀行賬號資料。當中一千四百萬是萬事達卡,二千二百萬張是VISA卡,聯邦調查局正調查。萬事達卡說,他們有七萬名客戶資料失去,并已發現部份詐騙個案,疑心同事件有關。匯豐及恒生銀行都說,假設本港客戶資料外泄,會為他們更換信用

3、卡。金管局表示會向銀行了解。萬事達國際組織(MasterCardInternational)表示,信用卡付款資料遭到入侵,導致四千萬張各品牌的信用卡信息被外涉。有分析家認為今次是有史以來最大宗侵犯私隱案件。公司發言人向路透社表示,公司的保安人員發現 CardSystems Solutions公司的數據遭到計算機入侵,這家公司是萬事達國際的合作伙伴,代表金融機構與商家處理交易事宜。發言人指,至今已發現少量因今次平安漏洞而引起的詐騙事件,但比例相當小,聯邦調查局正展開調查。 金管局會了解信用卡資料外泄 18/06/20052022/7/114香港市民憂電子資料外泄2006-4-7【大公報訊】警監會

4、資料外泄事件發生後,一項調查發現,有近四成受訪者表示,此事影響他們使用電子效勞的信心,也有近三成受訪者擔憂資料外泄。三月中警監會發生投訴人資料外泄事件,引起各界對網上資料保密措施的討論。有見及此,新論壇聯同正荊社進行一個有關市民使用政府網頁的調查,旨在了解市民對使用電子效勞的習慣及對警監會資料外泄事件的意見。調查發現,有近八成市民知道警監會資料外泄事件,有約四成表示此事會降低他們使用電子效勞的信心。此外,在使用網上效勞的人士中,近半數不會在網上提供個人資料,也有近三成市民擔憂資料外泄。負責調查機構建議,政府應加強監察內部資料儲存的程序和守則,并盡量減少外判效勞,尤其是涉及敏感資料及個人私隱的效

5、勞,防止市民資料外泄。2022/7/115個人資料隱私與平安Personal Data Privacy and Security美國參議院在2005年提出個人資料隱私與平安法案 (Personal Data Privacy and Security Act) ,藉由制定與企業資料平安相關的法規及對資訊竊取行為的相關罰則,希望能降低資安事件對企業營運與民生經濟的影響。香港亦已於1996年起實施個人資料(私隱)條例條例的目的,是在個人資料方面保障在世人士的私隱,并保障個人資料得以不受限制地從已實施資料保障法例的國家和地區自由流入香港,這有助促進本港經濟的持續開展 。針對近來多項重大資料外洩事件,不

6、管是由政府立法、或由民間企業主動發起,國際間已采取許多具體行動因應。2022/7/116美國參議院在2005年提出個人資料隱私與平安法案Personal Data Privacy and Security Act個人資料隱私與平安法的要點如下：以嚴密的法規架構規範資料經紀者(data brokr),也就是蒐集、傳輸或以其他方式提供5,000筆以上足以辨識非顧客或員工身分之個人資料的公司或非營利機構。資料經紀者必須遵守一套仿歐洲式的規定,包括強制向相關的個人公開紀錄。修改電腦犯罪防治法,對入侵資料庫者處以新的懲罰。入侵資料經紀人的系統,得處以罰款和十年徒刑。假設某公司或個人蓄意隱瞞某些類型的重大

7、資料外洩事件,得處五年徒刑。 強制身為資料專有者(sol propritor)的大多數企業與個人遵守廣泛的個人資料隱私與平安計畫-類似Gramm-Lach-Blily法的規定。命令身為資料專有者的企業與個人,在電腦平安系統遭入侵事件影響上萬人的情況下,必須通知相關人士。 要求檢討聯邦判刑規章,對濫用個人身分辨識資料者加重處分,并授權司法部準釵政府加強對身分詐欺相關犯罪行為的執法工作。 假設某聯邦機構依賴內含以美國公民個人資料為主的商業資料庫,必須進一步做隱私影響評估。如果該資料庫的內容涵蓋全球,不以美國公民的資料為主,則此要求并不適用。另外,聯邦機構的個人資料過濾計畫,必須取得國會明確授權始能

8、為之。Source 2022/7/117香港個人資料(私隱)條例1996保 障 資 料 原 則收 集 資 料 的 目 的 及 方 式 : 訂 明 須 以 合 法 及 公 平 的 方 式 收 集 個 人 資 料 , 以 及 列 明 資 料 使 用 者 在 向 資 料 當 事 人 收集 個 人 資 料 時 , 應 向 該 當 事 人 提 供 的 資 料 。個 人 資 料 的 準 確 性 及 保 留 期 間 : 訂 明 所 保 存 的 個 人 資 料 必 須 是 準 確 和 最 新 的 資 料 , 而 保 存 期 間 不 得 超 過 實 際 需 要 。個 人 資 料 的 使 用 : 訂 明 除 非

9、獲 得 資 料 當 事 人 同 意 , 否 則 個 人 資 料 只 可 用 於 在 收 集 資 料 時 所 述 明 的 用 途 或 與 其 直 接 有 關 的 用 途 。個 人 資 料 的 保 安 : 訂 明 須 采 取 適 當 保 安 措 施 保 障 個 人 資 料 包 括 其 存 在 形 式 令 查 閱 或 處 理 并 非 切 實 可 行 的 資 料 。資 訊 須 在 一 般 情 況 下 可 提 供 訂 明 資 料 使 用 者 須 公 開 所 持 有 的 個 人 資 料 類 別 , 以 及 該 等 個 人 資 料 所 作 的 主 要 用 途 。查 閱 個 人 資 料 : 訂 明 資 料 當

10、 事 人 有 權 查 閱 及 改 正 其 個 人 資 料 。 罪 行 及 補 償條 例 訂 明 各 項 罪 行 , 例 如 不 遵 守 私 隱 專 員 發 出 的 執 行 通 知 , 可 被 處 第 5級 罰 款 (目 前 是 50,000元 )及 監 禁 2年 。條 例 亦 訂 明 , 任 何 個 人 如 因 資 料 使 用 者 違 反 條 例 的 規 定 而 蒙 受 損 害 , 包 括 感 情 的 傷 害 , 則 有 權 向 有 關 資 料 使 用 者 要 求 補 償 。Source 2022/7/118數據管治與其面臨的挑戰平安、隱私、符合性和風險方面的挑戰,需要用通用的方案予以解決。人

11、事組織與IT角色、行為之間的脫節。鮮有技術手段可以在正確的時間為正確的人員獲的正確的信息以做出正確的抉擇。沒有統一的方法來量化運營風險。政策與規定之間的混亂。非結構化與非標準的政策手段。政策與IT系統和管治模型之間沒有關聯。業務規定與政策或業務流程之間沒有關聯。對原始數據的分類和IT整合缺乏通用的手段在未對結果定性之前,應對措施就已經布置到位。挑戰數據管治是眾多公司用于掌控適當訪問其關鍵數據的過程。這個過程通過衡量并減輕運營上和平安上的與訪問相關的風險來到達掌控的目的。2022/7/119主要內容 信息平安面對的威脅與挑戰IBM 數據管治策略數據管治協會 Data Governance Cou

12、ncil結論2022/7/1110IBM的數據管治 根本原則制定數據管治規定和政策以符合合約所規定的職責,并且保護股東和與各方面的關系,包括與客戶、供給商和處理公司信息的第三方公司。在有效地訪問數據與恰當地使用數據之間尋求平衡點。 誰對于某種信息擁有所有權 誰可以使用這些信息,為了何種目的 使用技術手段使得控制模型具有強制執行力。改進一成不變的數據管治原則與框架,使之與政府的法規相符,并能正確地應用于IBM收集或產生的信息。采用一種跨公司的控制模型來掌控信息的使用方式,提高所有數據的平安性和整合性,同時在個人與公司兩個層面上保護隱私權。Source: 2022/7/1111IBM的數據管治 關

13、鍵的成功要素所有的IBM員工都必須定期對我們的業務行為準則進行認證。這些準則除了有很多指導和禁令以外,還管治著我們對于多種信息的使用情況：如員工隱私；所有權；知識產權；記錄、報告和保存方面的信息；他人所擁有的信息；內部信息與內部交易。為增強IBM的數據管治能力,我們對客戶數據庫進行了穩固,使得我們可以從更多方面了解客戶,以及對于客戶的數據有更深入的理解。利用IBM的認證與訪問控制技術,如Tivoli系列的產品,我們可以限制對敏感信息的訪問,使之只向特定人群開放。在滿足根本原則的根底上,有效的數據管治最終決于三方面要素（人員、流程和技術）能夠有機而自主地協同工作。IBM始終致力于開發能夠在整個企

14、業范圍內更好地整合這三方面要素的方法。Source: 2022/7/1112主要內容 信息平安面對的威脅與挑戰IBM 數據管治策略數據管治協會 Data Governance Council結論2022/7/1113數據管治協會 Data Governance Council 于2005年,IBM宣布與幾十個企業集團合作,共同成立一個稱之為數據管治協會 (Data Governance Council)的機構,在這份與IBM合作的名單上有像荷蘭銀行(ABN Amro)、美國運通(American Express)、德意志銀行(Deutsche Bank)、美林(Merrill Lynch)、世

15、界銀行(World Bank), 美國全美教師保險及年金協會(TIAA-CREF)告示國際知名的企業集團。數據管治協會:明確和解決通用的數據管治問題,為平安、隱私、信任和公司執行問題尋找解決方案。專注于如下幾方面的管理事務：數據管治政策,政策方針對于業務流程和業務活動的影響,IT根底架構、內容和組織行為方面政策的強制執行力。在企業內部與企業之間,建立起一個管治與保護個人數據和組織數據的藍圖,并且利用IBM和IBM業務合作伙伴的解決方案與概念,明確這個數據管治藍圖將如何應用于各種企業和組織。Source: 2022/7/1114IBM數據管治藍圖 Data Governance Blueprin

16、t 有一整套通用的工具通力協作以支持決策數據管治的人員和業務流程政策的規定涵蓋了整個企業范圍數據是被分類、賦值和保護的政策由逐條的規定構成,并且被整合進了業務流程中。運營風險被量化進業務流程中事件會被管控,損失會被記錄最終情況會被顯示在終端面板上,并隨時間而更新請注意：以上這些是屬于并發而且會反復更新的過程。1.2.3.4.5.6.2022/7/1115IBM與業務伙伴用于數據管控藍圖的產品政策部署原始數據建模業務規定管理業務、運營風險和管治處理建模事件管理與稽核記錄onDemand 管治終端面板1.2.3.4.5.6. IBM Rational ReqPro IBM Workplace fo

17、r Business Controls IBM Rational Data Architect IBM DB2 Database Integrator Corticon Business Rules Modeling Studio IBM Websphere Business Integration Modeler IBM Tivoli Identity Management DB2 Anonymous Resolution Mitratech TeamConnect IBM Tivoli Audit Logging IBM Rational ClearQuest IBM Workplace

18、for Business Strategy Execution IBM Websphere Portal Server IBM DB2 Content Manager2022/7/1116主要內容 信息平安面對的威脅與挑戰IBM 數據管治策略數據管治協會 Data Governance Council結論2022/7/1117結論 為了到達法規遵從的要求,企業不得不對數據進行有效地管理,但是在這個過程中,企業還面臨文化上的挑戰。要有效地處理數據,關鍵是要公司內部每個人都對管治數據承擔起相應的責任,這不只是專屬于公司某一些人的事情,而是每個人的事情。當前的平安管理措施只能解決一些局部問題,而不能解決所有的