| 羅心妤/國立臺灣科技大學資訊管理學系 |
資料治理概述
資料治理[1]是一種綜合性的概念,涵蓋了在組織內全面管理資料資產的原則、實踐和工具。它旨在確保組織能夠從資料中獲得價值,同時確保資料的可信度、一致性、可靠性、安全性和法遵性功能在整個組織中得到實施。資料治理的基本原因在於幫助組織應對資料增長和多樣性所帶來的挑戰,以實現資料的整合和利用。
關於資安料安全的資料治理法規[2]
歐盟的一般資料保護規則(General Data Protection Regulation,GDPR)和加州消費者隱私保護法(California Consumer Privacy Act 2018,CCPA)是兩個相當重要的法律,它們都把資料保護和隱私放在首要位置。
GDPR 對於資料處理者提出了要求,他們有義務採取適當的技術和組織措施來保護個人資料。這包括確保處理的資料保持機密性、完整性和可用性。此外,GDPR 還詳細描述了跨國傳輸個人資料的要求,確保採取合適的保護措施以保護個人隱私權。
而CCPA 則專注於加州的消費者隱私權。它限制企業出售個人資訊,並賦予消費者選擇退出此類銷售的權利。CCPA 還為消費者設定了高標準,以確保選擇退出權的消費者不會受到歧視待遇。
當比較 GDPR 和 CCPA 時,我們可以看到一些重疊的部分反映了保護個人隱私的共同承諾。這兩項法律都強調了洩露通知的重要性,要求組織在資料洩露事件發生時及時通知個人和相關組織。它們還鼓勵組織在整個資料處理週期中納入隱私和安全考量。這包括評估實施的安全措施的規模、風險和複雜性。
此外,GDPR 和 CCPA 都承認個人對其個人資料的權利。這包括查閱資料、要求資料可移轉性,以及在特定條件下要求刪除資料的權利。同時,個人也有權反對對其資料的處理並要求更正任何不正確之處。
資料治理安全的實踐方案[3]
一、建立資料生命週期管理[4]
資料生命週期管理 (data lifecycle management,DLM) 是一個流程,讓組織能夠有效管理資料安全、確保法遵性,並最大限度地降低與資料洩露和資料丟失相關的風險。DLM 涉及管理資料從創建到刪除的整個過程,確保資料在其使用壽命期間得到適當處理。以下是資料生命週期的關鍵階段:
- 資料創建:資料生命週期始於從各種來源(如應用程式、物聯網設備、表格等)收集資料。然而,並非所有收集的資料都一定相關或品質高。組織需要根據資料的品質和與業務的相關性,確保只有有價值的資料被納入生命週期。
- 資料儲存:資料可以是結構化或非結構化的,所需的儲存類型可能會有所不同。在儲存階段,評估資料基礎架構是否存在任何安全漏洞相當重要。
- 資料共享和使用:DLM 允許組織定義用戶訪問權限和資料的使用目的。這些資料可用於各種分析,從基本的探索性資料分析到資料挖掘和機器學習等高級技術。因此,應建立明確的指導方針,以確保資料得到適當和合乎道德的使用。
- 資料存檔:隨著資料老化或不再需要,它會進入歸檔階段。組織應定義資料歸檔的時間、地點和時長。存檔資料可確保其保存以備潛在的訴訟或調查需要。
- 資料刪除:在生命週期的最後階段,不再需要的資料會被安全地清除和銷毀。資料刪除對於維護精簡和安全的資料環境非常重要。通過刪除不必要的資料,組織可以降低資料洩露的風險並確保遵守資料保護法。
二、訂定良好的資料治理政策[5]
良好的資料治理政策在確保組織內資料資產的安全性和完整性方面有著非常重要的作用。 它作為一份綜合指南,概述了為實現有效的資料管理和保護而應遵循的原則、標準和實踐。而以下是制定資料治理政策需要注意的部分:
- 資料可用性:強調資料易於訪問、準確。 這可以通過改進資料基礎設施、實施高效的資料備份和恢復機制、刪除冗餘或過時資料以及確保資料格式正確來實現。
- 資料的易用性:資料的結構化、標記和記錄方式應使用戶能夠輕鬆找到和理解他們所需的資訊。 該政策應強調正確的資料分類、一致的標籤約定和清晰的文件的重要性。 通過促進用戶友善的資料實踐,組織可以提高資料可用性、減少錯誤並實現有效的資料共享和協作。
- 資料品質:側重於建立保證資料品質的標準和流程,以確保資料滿足組織要求。 這涉及解決資料一致性、準確性、唯一性和及時性等方面,此外組織應定期實施資料品質評估和糾正措施,以持續監測和提高資料品質。
- 資料的完整性:資料完整性是指保證資料在其整個生命週期中保持準確、有效和一致。 該政策應概述資料完整性的不同方面,包括實體完整性、定義域完整性、引用完整性和使用者定義的完整性。
- 資料安全:保護資料免遭未經授權的訪問並確保其機密性、完整性和可用性十分重要。 該政策應涉及資料安全措施,包括資料所有者和保管人的身份識別、訪問控制和權限的建立、敏感資料的加密以及安全監控和審計機制的實施。
三、資料外洩防護
資料外洩防護[6](Data Loss Prevention,DLP)是資料安全治理的重要方面之一,其主要目標是防止敏感資料的丟失、濫用或未經授權的訪問。為實現這一目標,組織可以使用DLP軟體工具和流程來識別、分類和執行保護受監管和關鍵業務資料的政策。
DLP在分類和識別違反組織定義的政策或預定義政策套件的行為方面起著非常重要的作用。這些原則通常由支付卡產業資料安全標準(Payment Card Industry Data Security Standard,PCI-DSS)或GDPR等法遵性要求驅動。DLP軟體可協助檢測漏洞並實施補救措施,例如警報、加密和其他保護措施,以防止資料被意外或惡意共享。一些常見的DLP技術和實施方法包括:
- 資料識別與分類:使用DLP系統的識別和分類技術,如關鍵字、指紋或機器學習等方法,可以標識和識別敏感資料,例如個人身份證號碼、信用卡號碼、銀行帳戶資訊和醫療記錄等。
- 存取控制和權限管理:DLP系統可以設定存取控制和權限管理,確保只有經過授權的人員能夠存取和處理敏感資料。這包括使用身分驗證、授權、角色和權限管理等方法來限制敏感資料的存取範圍。
- 通訊監控和內容過濾:DLP系統可以監控組織內部和外部的通訊,例如電子郵件、即時通訊、網路流量等,以防止敏感資料的外洩。這些系統可以使用內容過濾技術檢查通訊內容是否包含敏感資料,並在需要時採取適當的措施,例如阻止郵件發送、警示用戶或加密敏感內容。
- 端點保護和監控:DLP系統可以在組織的端點設備(如電腦、筆記型電腦、行動裝置)上部署軟體代理或代理軟體,以監控和防止敏感資料的外洩。這些代理軟體可以監控用戶的活動,例如檔案的複製、列印、傳送等,並在偵測到敏感資料外洩的情況下採取相應的措施。
結語
資料治理法規的實踐是現代企業和組織資料安全的基礎。通過建立資料生命週期管理、制定良好的資料治理政策和實施資料遺失防護,組織可以確保其資料安全和法遵性,並最大限度地降低與資料洩露和資料丟失相關的風險。在這個日益資料化的時代,組織需要關注並實現高標準的資料安全和保護,以確保客戶和員工的隱私和敏感資料不會被外部人員或內部人員不當使用或泄露。
資料治理法規的實踐不僅是一種法遵性要求,也是一種價值觀和企業文化的體現。組織應該將資料安全和保護融入其業務運營和文化中,並將其作為一個戰略優先事項。通過實施資料治理法規的最佳實踐,組織可以建立一個安全、可靠和高效的資料生態系統,以實現企業的長期成功和可持續發展。
| 本文內容純屬筆者個人意見,並不代表TWNIC立場 |
參考資料
[1] Databricks. Data Governance 檢自:https://www.databricks.com/discover/data-governance (May. 31, 2023)
[2] Deloitte. A quick reference guide for CCPA compliance 檢自:https://www2.deloitte.com/us/en/pages/advisory/articles/ccpa-compliance-readiness.html (May. 31, 2023)
[3] Liyuan Sun a, Hongyun Zhang b, Chao Fang(2021) Data security governance in the era of big data: status, challenges, and prospects. 檢自:https://www.sciencedirect.com/science/article/pii/S2666764921000163#sec3 (May. 31, 2023)
[4] IBM. What is data lifecycle management? 檢自:https://www.ibm.com/topics/data-lifecycle-management (May. 31, 2023)
[5] SSL2BUY (2022) Data Security Governance and Its Best Practices. 檢自:https://www.ssl2buy.com/cybersecurity/data-security-governance-best-practices#Models_of_Data_Security_Governance (May. 31, 2023)
[6] Juliana De Groot (2023) What is Data Loss Prevention (DLP)? Definition, Types & Tips. 檢自:https://www.digitalguardian.com/blog/what-data-loss-prevention-dlp-definition-data-loss-prevention (May. 31, 2023)
