普及企業級資料安全管理

背景

江湖傳言：資料玩的溜，牢飯吃的久？眾看官是不是聞風喪膽？

每個資料開發者都應該非常深刻的明白資料安全意味著什麼。簡直就是一根紅線，絲毫不能越過。

近幾年，國家對個人隱私資料保護越來越強，企業在使用資料的時候也非常注重資料安全，那麼，我們應該怎麼做，才能保護好自己，保護好公司的資料資產呢？

資料安全管理是計畫，制定，執行相關安全策略和規程，確保資料和資訊資產在使用過程中有恰當的認證，授權等措施，最終目標是保護資訊資產符合隱私及保密法規要求，並與業務要求相一致。

資料密級劃分

使用簡單密級分類模式，對企業資料和資訊產品進行分類，一般根據公司業務實際情況來進行劃分。

任務責任人或者產品負責人需要對其涉及到的資料進行適當的密級評估，並打上相應的標籤。可以為後續的許可權管理及元資料管理打下堅實的基礎。

資料脫敏

資料脫敏是保證資料安全的最基本的手段，脫敏方法有很多，最常用的就是使用可逆加密演算法，對數倉每乙個敏感欄位都需要加密。

資料許可權控制

需要開發一套完善的資料許可權控制體系，最好是能做到字段級別，有些表無關人員是不需要查詢的，所以不需要任何許可權，有些表部分人需要查詢，除資料工程師外，其他人均需要通過oa流程進行許可權審批，需要檢視哪些表的哪些字段，為什麼需要這個許可權等資訊都需要審批存檔。

程式檢查

有些字段明顯是敏感資料，比如身份證號，手機號等資訊，但是業務庫並沒有加密，而且從欄位名來看，也很難看出是敏感資訊，所以抽取到資料倉儲後需要使用程式去統一檢測是否有敏感資料，然後根據檢測結果讓對應負責人去確認是否真的是敏感字段，是否需要加密等。

流程化操作

流程化主要是體現在公司內部取數或者外部專案資料同步，取數的時候如果資料量很大或者包含了敏感資訊，是需要提oa 審批流程的，讓領導及對應資料負責人知道誰要取這些資料，取這些資料的意義在哪，出了問題可以回溯，快速定位到責任人。

開發外部專案的時候，不同公司之間的資料同步，是需要由甲方出具同意書的，並且需要簽署責任條款，需要不定期出示資料安全報告，否則的話風險太大。

敏感sql實時審查及操作日誌分析

及時發現敏感sql的執行並詢問責任人，事後分析操作日誌，查出有問題的操作。

部門重視資料安全

資料部門需要把資料安全當做一項kpi去考核，讓大家積極的參與到資料安全管理當中去。

審計資料安全

組織內部安全部門或者外部審計人員來執行資料安全審計，其目標是為管理層和資料治理委員會提供客觀中肯的評價，合理可行的建議

自律

不要為了一時的利益，洩露公司資料資產，輕則行業名聲敗壞，重則要負法律責任，一定要三思而後行！

--end-- 新增好友，備註【交流】

可私聊交流，也可進資源豐富學習群