DAMA CDGP:论述题真题解析之数据安全篇
真题一一、问题简述(考点:数据安全)企业应该具备什么样的数据安全能力哪些个人隐私数据需要脱最处理数据脱敏的常用方法二、问题解析信息安全、网络安全、数据安全、和系统安全等个人信息、敏感信息、法律规定的信息等主要考察九种脱敏方法三、Answer3.1 数据安全能力包括:信息安全,包括:脆弱性、威胁、风险、风险等级、数据安全组织、安全流程、数据完善性、加密、混淆/脱敏网络安全,包括:后门、机器人/僵尸、
真题一
一、问题简述(考点:数据安全)
企业应该具备什么样的数据安全能力
哪些个人隐私数据需要脱最处理
数据脱敏的常用方法
二、问题解析
信息安全、网络安全、数据安全、和系统安全等
个人信息、敏感信息、法律规定的信息等
主要考察九种脱敏方法
三、Answer
3.1 数据安全能力包括:
信息安全,包括:脆弱性、威胁、风险、风险等级、数据安全组织、安全流程、数据完善性、加密、混淆/脱敏
网络安全,包括:后门、机器人/僵尸、Cookie、防火墙、边界、DMZ、超级用户账户、键盘记录器、渗透测试、虚拟专用网(VPN)
数据安全,包括:设施安全、设备安全、凭据安全、电子通信安全
系统安全,包括:滥用过多权力、滥用合法权力、未经授权的特权升级、服务账户或共享账户滥用、平台入侵攻击、SQL注入漏洞、默认密码、备份数据滥用
3.2 如下的个人数据应该进行脱敏或处理,包括:
个人识别信息(PII)
对财务敏感的数据
医学敏感数据(MSD)/个人健康信息(PHI)
教育记录
以及中国的个人隐私相关数据
3.3 数据脱敏的常用方法包括:
可通过混淆处理(变得模糊或不明确)或脱敏(删除、打乱或以其他方式更改数据的外观等)的方式来降低数据可用性,同时避免丢失数据的含义或数据与其他数据集的关系。
数据混淆或脱敏是解决数据使用过程中的一种安全手段。数据脱敏分为两种类型:静态脱敏和动态脱敏。可以脱敏或混淆数据的方法有以下几种:
替换。将字符或整数值替换为查找或标准模式中的字符或整数值
混排。在一个记录中交换相同类型的数据元素或者在不同行之间交换同一属性的数据元素。
时空变异。把日期前后移动若干天,足以使它无法识别。
数值变异。应用一个随机因素,重要到足以使它不可识别。
取消或删除。删除不应出现在测试系统中的数据。
随机选择。将部分或全部数据元素替换为随机字符或一系列单个字符。
加密技术。通过密码代码将可识别、有意义的字符流转换为不可识别的字符流。
表达式脱敏。将所有值更改为一个表达式的结果。
键值脱敏。指定的脱敏算法/进程的结果必须是唯一且可重复的,用于数据库键值字段脱敏。
真题二
一、问题简述(考点:数据安全、安全能力)
数据安全:1)DAMA对数据安全的核心概念;2)企业应该具备什么样的数据安全能力。
二、问题解析
数据安全的核心目标;
数据安全能力:信息安全、网络安全、数据安全、系统安全
三、Answer
数据安全的核心概念是:保护信息资产,以符合隐私和保密规定、合同协议和业务要求。目标包括:
对企业数据资产启用适当的访问权限并阻止不当访问。
遵守有关隐私、数据保护和保密性的政策法规。
确保满足利益相关者对隐私和保密性的要求。
数据安全能力包括:
信息安全,包括:脆弱性、威胁、风险、风险等级、数据安全组织、安全流程、数据完善性、加密、混淆/脱敏;
网络安全,包括:后门、机器人/僵尸、Cookie、防火墙、边界、DMZ、超级用户账户、健盘记录器、渗透测试、虚拟专用网(VPN);
数据安全,包括:设施安全、设备安全、凭据安全、电子通信安全。
系统安全,包括:滥用过多权力、滥用合法权力、未经授权的特权升级、服务账户或共享账户滥用、平台入侵攻击、SQL注入漏洞、默认密码、备份数据滥用
真题三
一、问题简述(考点:数据安全治理)
安全治理活动怎么开展?(10分)(数据安全治理)
二、问题解析
按照 DAMA-DMBOK2 中的数据安全章节的活动来回答
按照《穿越数据迷宫》的数据安全生命周期和活动来回答
三、Answer
数据安全治理得需要有足够的资金支持,面向系统、企业内保持方案一致,建立安全战略等,主要包括:数据安全分析现状,数据安全活动、以及基于数据生命周期等数据安全管理三个维度。
在数据和信息安全实施过程中,首先要评估组织当前的数据状态,确定需要保护的数据范围。该过程包括以下步骤:
识别和分类敏感数据资产。根据行业和组织的不同,它们可能会有很少或很多的数据资产,而敏感数据范围涵盖身份识别、医疗和财务信息等方面。
定位整个企业的敏感数据。安全要求可能会有所不同,这取决于数据的存储位置。如果敏感信息集中存储在一个地方,那么很有可能会由于单点违规导致所有数据泄露,形成较高风险。
确定各项资产的保护方式。根据数据内容和技术类型,保证资产安全所需的措施因资产不同而不同。
确认信息与业务流程的交互方式。需要对业务流程进行分析,以确定在何种条件下允许哪些人访问数据。
除了对数据本身进行分类,还需要评估外部威胁,如来自黑客和犯罪分子的威胁,以及员工和流程带来的内部风险。大量数据的丢失和泄露都是由员工的无知导致的。员工的无知表现在,没有意识到信息是高度敏感的,或是违反安全规章的。
数据安全管理活动包括五个步骤:
识别数据安全需求,包括业务需求和法规需求等;
定义数据安全政策,包括企业安全政策、IT安全政策、数据安全政策等;
定义数据安全标准,包括定义数据保密等级、定义数据法规类别、定义安全角色等;
评估当前安全风险,识别风险的第一步是确定敏感数据的存储位置,以及这些数据需要哪些保护措施;
实施控制和规程
数据安全生命周期和数据生命周期一样也包括如下阶段:
规划:将数据与安全和隐私需求关联
设计&启用:在系统中建立数据保护和安全措施
创建/获取:对新数据进行分类,以便合理保护数据
存储/维护:确保数据存储符合政策法规的要求
使用:管理访问权限,以保证对数据的合理使用,防止滥用
增强:在监管要求和识别新的安全威胁上保持领先
处置:遵循有关政策和法规要求处理数据
真题四
一、问题简述(考点:数据安全)
卫生健康委大数据为何不公开提供服务?
二、问题解析
数据公开涉及到数据的拥有权问题,在确权不明的情况下公开数据,可能涉及到法律和道德方面的问题;
强监管行业(医疗和金融)的合规性要去非常严格,数据的安全等级较高;
国内网络安全法、数据安全法、民法典等都提出了法律要求;国际的信息安全法律也已经非常健全,尤其是以欧盟和北美为代表。
三、Answer
医疗方面的卫生健康数据涉及个人隐私,数据公开需要当事人的同意。在未获得同意的情况下公开,属于违法行为。
医疗卫生行业和金融服务行业一样是强监管行业,数据合规性、安全性、隐私性要求高,不能随便共享;
国家已经颁布的《网络安全法》《数据安全法》《民法典》等相关法律,对于数据的共享和开发都有比较严格的法理规定。安全无小事,不能踩红线;
国际方面欧盟也在2018年颁布的GDPR,被誉为迄今为止最严格的安全和隐私法案。其中对隐私方面要求非常严格。美国的CCPA是迄今为止美国最高的数据保护标准。
综上,从个人、行业、国家以及国际多个维度都对数据隐私有非常严格和法理上的要求。因此,不能公开提供服务。
真题五
一、问题简述(考点:数据共享、数据隐私)
民政局的婚姻登记数据如何加速提供给需求方?
二、问题解析
题目问的是如何提供,即解决方案;而不是,能不能提供的 问题。
数据共享必须在标准、整合、接口、安全、隐私、费用、更新频率、共享协议、和架构等方面全面设计。。
三、Answer
此数据为居民主数据的一部分属性,可以和其它政府部门数据进行整合,并创建统一的人口数据库,为政府内部以及社保提供数据服务;
该数据的个人数据部分属于个人隐私数据,在提供数据之前需要获得个人的同意。否则不能用于提供服务。该数据在分析之后的统计数据,已经不具备了个人属性,可以根据政策和法律要求适度提供查询服务;
对内服务方面:对政府内部提供办事服务,原则上应该免费,可以为个人主体或者相关组织提供数据消费服务。此外内部服务也有必要签署必要的保密协议和并对内部人员进行周期性信息安全和数据道德培训;
对外服务方面:数据服务是否需要收取费用,尤其是费用的定价是个难题,可以有政府中的数据管理部门与数据获取组织协商,并签法律协议。协议中应该包括:数据范围、获取方式、保存时间、用途等方面;
技术上可以采用集中式,分布式,或者发布订阅式架构:
集中式:采用大数据平台构建主题库,可以融合各级政府的政务数据统一提供服务;
分布式:数据不集中存储,只在需要数据的时候通过接口按需获取;
发布订阅式:主要为外部组织提供基于数据共享协议的数据集进行消费
真题六
一、问题简述(考点:信息安全、隐私)
某企业[此处省略四百字],需要进行个人信息安全评估。问题:1)信息安全评估流程是什么;2)简述个人信息安全关键点包括哪些?画图或描述;3)简述个人信息安全评估和管理的重要性。(10分-3/3/4)
二、问题解析
1.个人信息也是组织数据,评估过程可以参考组织数据的评估过程;2.个人信息安全的关键点,就是数据生命周期阶段的数据安全工作;3.个人信息安全评估和管理的重要性,可以从风险、社会环境、法规方面描述。
三.Answer
在数据和信息安全实施过程中,首先要评估组织当前的数据状态,确定需要保护的数据范围。该过程包括以下步骤:
识别和分类敏感数据资产。根据行业和组织的不同,它们可能会有很少或很多的数据资产,而敏感数据范围涵盖身份识别、医疗和财务信息等方面。
定位整个企业的敏感数据。安全要求可能会有所不同,这取决于数据的存储位置。如果敏感信息集中存储在一个地方,那么很有可能会由于单点违规导致所有数据泄露,形成较高风险。
确定各项资产的保护方式。根据数据内容和技术类型,保证资产安全所需的措施因资产不同而不同。
确认信息与业务流程的交互方式。需要对业务流程进行分析,以确定在何种条件下允许哪些人访问数据。
除了对数据本身进行分类,还需要评估外部威胁,如来自黑客和犯罪分子的威胁,以及员工和流程带来的内部风险。大量数据的丢失和泄露都是由员工的无知导致的。员工的无知表现在,没有意识到信息是高度敏感的,或是违反安全规章的。
个人信息的关键点都体现在数据安全治理生命周期中:
规划:将数据与安全和隐私需求关联
设计&启用:在系统中建立数据保护和安全措施
创建/获取:对新数据进行分类,以便合理保护数据
存储/维护:确保数据存储符合政策法规的要求
使用:管理访问权限,以保证对数据的合理使用,防止滥用
增强:在监管要求和识别新的安全威胁上保持领先
处置:遵循有关政策和法规要求处理数据
个人信息安全评估和管理的重要性主要表现如下方面:
随着数据法规的增加,主要是针对数据窃取和违规方面法规的设立,合规性方面也会加强。
数据安全与数据管理类似,相关方面关联紧密,最好将数据安全作为一项企业解决方案,并在数据生命周期的全过程中加以应用。
如果没有努力与业务部门协调一致,那么组织将不得不寻求不同的解决方案,以满足安全需求,这样会使得总体成本增加。同时,因应用不同的安全方案而存在降低数据安全性的潜在风险。
无效的安全架构或流程可能会因组织违规或出现数据安全问题而影响生产力使得组织为之付出代价。
因此,有足够的资金支持,面向系统、企业内保持方案一致,建立运行中的安全战略,都将降低这些风险。
数据体系构建👇
数仓解惑:什么是 OneData 体系?
数仓实践:OLAP数仓总结
更多精彩👇
腾讯云面向开发者汇聚海量精品云计算使用和开发经验,营造开放的云计算技术生态圈。
更多推荐
15
0- 0
已为社区贡献1条内容
所有评论(0)