DataGovernance

數(shù)據(jù)管治TransformingGovernanceandOperationalRiskManagement何錦華

CISM、CISA、CISSP

IBM全球服務(wù)部亞太區(qū)信息安全經(jīng)理管治轉(zhuǎn)換與運營風(fēng)險管理2022/12/10DataGovernance

數(shù)據(jù)管治Transformi1主要內(nèi)容

信息安全面對的威脅與挑戰(zhàn)IBM數(shù)據(jù)管治策略數(shù)據(jù)管治協(xié)會DataGovernanceCouncil結(jié)論2022/12/102主要內(nèi)容2022/12/102存在的威脅及其來源受保護資源Protectedresources外國政府

foreigngovernment詐騙bilk競爭對手rival有組織犯罪Organizedcrime內(nèi)部威脅Internalthreat黑客攻擊Hackerattack病毒virus惡意攻擊Viciousattack自然災(zāi)害naturaldisease事故Accidence人為失誤Humanmistake2022/12/103存在的威脅及其來源受保護資源外國政府詐騙競爭對手rival美數(shù)據(jù)處理公司遭入侵四千萬張信用卡資料外涉

[18/06/2005]美國一間為信用卡公司結(jié)算的公司，計算機系統(tǒng)被入侵，可能有多達四千萬名信用卡客戶數(shù)據(jù)外泄，主要是客戶姓名及銀行賬號資料。當中一千四百萬是萬事達卡，二千二百萬張是VISA卡，聯(lián)邦調(diào)查局正調(diào)查。萬事達卡說，他們有七萬名客戶資料失去，并已發(fā)現(xiàn)部份詐騙個案，懷疑同事件有關(guān)。

匯豐及恒生銀行都說，若本港客戶資料外泄，會為他們更換信用卡。金管局表示會向銀行了解。萬事達國際組織(MasterCardInternational)表示,信用卡付款資料遭到入侵，導(dǎo)致四千萬張各品牌的信用卡信息被外涉。有分析家認為今次是有史以來最大宗侵犯私隱案件。公司發(fā)言人向《路透社》表示，公司的保安人員發(fā)現(xiàn)CardSystemsSolutions公司的數(shù)據(jù)遭到計算機入侵，這家公司是萬事達國際的合作伙伴，代表金融機構(gòu)與商家處理交易事宜。發(fā)言人指，至今已發(fā)現(xiàn)少量因今次安全漏洞而引起的詐騙事件，但比例相當小，聯(lián)邦調(diào)查局正展開調(diào)查。

金管局會了解信用卡資料外泄

[18/06/2005]2022/12/104美數(shù)據(jù)處理公司遭入侵四千萬張信用卡資料外涉[18/06/2香港市民憂電子資料外泄2006-4-7【大公報訊】警監(jiān)會資料外泄事件發(fā)生後，一項調(diào)查發(fā)現(xiàn)，有近四成受訪者表示，此事影響他們使用電子服務(wù)的信心，也有近三成受訪者擔心資料外泄。三月中警監(jiān)會發(fā)生投訴人資料外泄事件，引起各界對網(wǎng)上資料保密措施的討論。有見及此，新論壇聯(lián)同正荊社進行一個有關(guān)「市民使用政府網(wǎng)頁」的調(diào)查，旨在了解市民對使用電子服務(wù)的習(xí)慣及對警監(jiān)會資料外泄事件的意見。調(diào)查發(fā)現(xiàn)，有近八成市民知道警監(jiān)會資料外泄事件，有約四成表示此事會降低他們使用電子服務(wù)的信心。此外，在使用網(wǎng)上服務(wù)的人士中，近半數(shù)不會在網(wǎng)上提供個人資料，也有近三成市民擔心資料外泄。負責(zé)調(diào)查機構(gòu)建議，政府應(yīng)加強監(jiān)察內(nèi)部資料儲存的程序和守則，并盡量減少外判服務(wù)，尤其是涉及敏感資料及個人私隱的服務(wù)，避免市民資料外泄。2022/12/105香港市民憂電子資料外泄2006-4-72022/12/105個人資料隱私與安全PersonalDataPrivacyandSecurity美國參議院在2005年提出「個人資料隱私與安全法案」

(PersonalDataPrivacyandSecurityAct)，藉由制定與企業(yè)資料安全相關(guān)的法規(guī)及對資訊竊取行為的相關(guān)罰則，希望能降低資安事件對企業(yè)營運與民生經(jīng)濟的影響。香港亦已於1996年起實施「個人資料(私隱)條例」條例的目的，是在個人資料方面保障在世人士的私隱，并保障個人資料得以不受限制地從已實施資料保障法例的國家和地區(qū)自由流入香港，這有助促進本港經(jīng)濟的持續(xù)發(fā)展。針對近來多項重大資料外洩事件，不論是由政府立法、或由民間企業(yè)主動發(fā)起，國際間已采取許多具體行動因應(yīng)。2022/12/106個人資料隱私與安全PersonalDataPrivacy美國參議院在2005年提出「個人資料隱私與安全法案」PersonalDataPrivacyandSecurityAct「個人資料隱私與安全法」的要點如下：以嚴密的法規(guī)架構(gòu)規(guī)範「資料經(jīng)紀者」(databrokr)，也就是「蒐?集、傳輸或以其他方式提供5,000筆以上足以辨識非顧客或員工身分之個人資料」的公司或非營利機構(gòu)。資料經(jīng)紀者必須遵守一套仿歐洲式的規(guī)定，包括強制向相關(guān)的個人公開紀錄。修改電腦犯罪防治法，對入侵資料庫者處以新的懲罰。入侵資料經(jīng)紀人的系統(tǒng)，得處以罰款和十年徒刑。若某公司或個人「蓄意」隱瞞某些類型的重大資料外洩事件，得處五年徒刑。強制身為資料專有者(solpropritor)的大多數(shù)企業(yè)與個人遵守「廣泛的個人資料隱私與安全計畫」--類似Gramm-Lach-Blily法的規(guī)定。命令身為資料專有者的企業(yè)與個人，在電腦安全系統(tǒng)遭入侵事件「影響上萬人」的情況下，必須通知相關(guān)人士。要求檢討聯(lián)邦判刑規(guī)章，對濫用個人身分辨識資料者加重處罰，并授權(quán)司法部準釵{政府加強對身分詐欺相關(guān)犯罪行為的執(zhí)法工作。若某聯(lián)邦機構(gòu)依賴內(nèi)含以美國公民個人資料為主的商業(yè)資料庫，必須進一步做「隱私影響評估」。如果該資料庫的內(nèi)容涵蓋全球，不以美國公民的資料為主，則此要求并不適用。另外，聯(lián)邦機構(gòu)的個人資料過濾計畫，必須取得國會明確授權(quán)始能為之。Source/news/software/0,2000064574,20100051,00.htm2022/12/107美國參議院在2005年提出「個人資料隱私與安全法案」Pers香港「個人資料(私隱)條例」1996保障資料原則收集資料的目的及方式:

訂明須以合法及公平的方式收集個人資料，以及列明資料使用者在向資料當事人收集個人資料時，應(yīng)向該當事人提供的資料。個人資料的準確性及保留期間:

訂明所保存的個人資料必須是準確和最新的資料，而保存期間不得超過實際需要。個人資料的使用:

訂明除非獲得資料當事人同意，否則個人資料只可用於在收集資料時所述明的用途或與其直接有關(guān)的用途。個人資料的保安:

訂明須采取適當保安措施保障個人資料［包括其存在形式令查閱或處理并非切實可行的資料］。資訊須在一般情況下可提供訂明資料使用者須公開所持有的個人資料類別，以及該等個人資料所作的主要用途。查閱個人資料:

訂明資料當事人有權(quán)查閱及改正其個人資料。罪行及補償條例訂明各項罪行，例如不遵守私隱專員發(fā)出的執(zhí)行通知，可被處第5級罰款(目前是50,000元)及監(jiān)禁2年。條例亦訂明，任何個人如因資料使用者違反條例的規(guī)定而蒙受損害，包括感情的傷害，則有權(quán)向有關(guān)資料使用者要求補償。Source.hk/chinese/ordinance/ordglance1.html2022/12/108香港「個人資料(私隱)條例」1996保障資料原則S數(shù)據(jù)管治與其面臨的挑戰(zhàn)安全、隱私、符合性和風(fēng)險方面的挑戰(zhàn)，需要用通用的方案予以解決。人事組織與IT角色、行為之間的脫節(jié)。鮮有技術(shù)手段可以在正確的時間為正確的人員獲的正確的信息以做出正確的抉擇。沒有統(tǒng)一的方法來量化運營風(fēng)險。政策與規(guī)定之間的混亂。非結(jié)構(gòu)化與非標準的政策手段。政策與IT系統(tǒng)和管治模型之間沒有關(guān)聯(lián)。業(yè)務(wù)規(guī)定與政策或業(yè)務(wù)流程之間沒有關(guān)聯(lián)。對原始數(shù)據(jù)的分類和IT整合缺乏通用的手段在未對結(jié)果定性之前，應(yīng)對措施就已經(jīng)布置到位。挑戰(zhàn)數(shù)據(jù)管治是眾多公司用于掌控適當訪問其關(guān)鍵數(shù)據(jù)的過程。這個過程通過衡量并減輕運營上和安全上的與訪問相關(guān)的風(fēng)險來達到掌控的目的。2022/12/109數(shù)據(jù)管治與其面臨的挑戰(zhàn)安全、隱私、符合性和風(fēng)險方面的挑戰(zhàn)，需主要內(nèi)容

信息安全面對的威脅與挑戰(zhàn)IBM數(shù)據(jù)管治策略數(shù)據(jù)管治協(xié)會DataGovernanceCouncil結(jié)論2022/12/1010主要內(nèi)容2022/12/1010IBM的數(shù)據(jù)管治–基本原則制定數(shù)據(jù)管治規(guī)定和政策以符合合約所規(guī)定的職責(zé)，并且保護股東和與各方面的關(guān)系，包括與客戶、供應(yīng)商和處理公司信息的第三方公司。在有效地訪問數(shù)據(jù)與恰當?shù)厥褂脭?shù)據(jù)之間尋求平衡點。

誰對于某種信息擁有所有權(quán)

誰可以使用這些信息，為了何種目的

使用技術(shù)手段使得控制模型具有強制執(zhí)行力。改進一成不變的數(shù)據(jù)管治原則與框架，使之與政府的法規(guī)相符，并能正確地應(yīng)用于IBM收集或產(chǎn)生的信息。采用一種跨公司的控制模型來掌控信息的使用方式，提高所有數(shù)據(jù)的安全性和整合性，同時在個人與公司兩個層面上保護隱私權(quán)。Source:/ibm/responsibility/world/security/data-governance.shtml2022/12/1011IBM的數(shù)據(jù)管治–基本原則制定數(shù)據(jù)管治規(guī)定和政策以符合合IBM的數(shù)據(jù)管治–關(guān)鍵的成功要素所有的IBM員工都必須定期對我們的業(yè)務(wù)行為準則進行認證。這些準則除了有很多指導(dǎo)和禁令以外，還管治著我們對于多種信息的使用情況：如員工隱私；所有權(quán)；知識產(chǎn)權(quán)；記錄、報告和保存方面的信息；他人所擁有的信息；內(nèi)部信息與內(nèi)部交易。為增強IBM的數(shù)據(jù)管治能力，我們對客戶數(shù)據(jù)庫進行了鞏固，使得我們可以從更多方面了解客戶，以及對于客戶的數(shù)據(jù)有更深入的理解。利用IBM的認證與訪問控制技術(shù)，如Tivoli系列的產(chǎn)品，我們可以限制對敏感信息的訪問，使之只向特定人群開放。在滿足基本原則的基礎(chǔ)上，有效的數(shù)據(jù)管治最終決于三方面要素（人員、流程和技術(shù)）能夠有機而自主地協(xié)同工作。IBM始終致力于開發(fā)能夠在整個企業(yè)范圍內(nèi)更好地整合這三方面要素的方法。Source:/ibm/responsibility/world/security/data-governance.shtml2022/12/1012IBM的數(shù)據(jù)管治–關(guān)鍵的成功要素所有的IBM員工都必須定主要內(nèi)容

信息安全面對的威脅與挑戰(zhàn)IBM數(shù)據(jù)管治策略數(shù)據(jù)管治協(xié)會DataGovernanceCouncil結(jié)論2022/12/1013主要內(nèi)容2022/12/1013數(shù)據(jù)管治協(xié)會DataGovernanceCouncil

于2005年，IBM宣布與幾十個企業(yè)集團合作，共同成立一個稱之為數(shù)據(jù)管治協(xié)會(DataGovernanceCouncil)的機構(gòu)，在這份與IBM合作的名單上有像荷蘭銀行(ABNAmro)、美國運通(AmericanExpress)、德意志銀行(DeutscheBank)、美林(MerrillLynch)、世界銀行(WorldBank),美國全美教師保險及年金協(xié)會(TIAA-CREF)告示國際知名的企業(yè)集團。數(shù)據(jù)管治協(xié)會:明確和解決通用的數(shù)據(jù)管治問題，為安全、隱私、信任和公司執(zhí)行問題尋找解決方案。專注于如下幾方面的管理事務(wù)：數(shù)據(jù)管治政策，政策方針對于業(yè)務(wù)流程和業(yè)務(wù)活動的影響，IT基礎(chǔ)架構(gòu)、內(nèi)容和組織行為方面政策的強制執(zhí)行力。在企業(yè)內(nèi)部與企業(yè)之間，建立起一個管治與保護個人數(shù)據(jù)和組織數(shù)據(jù)的藍圖，并且利用IBM和IBM業(yè)務(wù)合作伙伴的解決方案與概念，明確這個數(shù)據(jù)管治藍圖將如何應(yīng)用于各種企業(yè)和組織。Source:/ibm/responsibility/world/security/data-governance.shtml2022/12/1014數(shù)據(jù)管治協(xié)會DataGovernanceCouncilIBM數(shù)據(jù)管治藍圖

DataGovernanceBlueprint有一整套通用的工具通力協(xié)作以支持決策數(shù)據(jù)管治的人員和業(yè)務(wù)流程政策的規(guī)定涵蓋了整個企業(yè)范圍數(shù)據(jù)是被分類、賦值和保護的政策由逐條的規(guī)定構(gòu)成，并且被整合進了業(yè)務(wù)流程中。運營風(fēng)險被量化進業(yè)務(wù)流程中事件會被管控，損失會被記錄最終情況會被顯示在終端面板上，并隨時間而更新請注意：以上這些是屬于并發(fā)而且會反復(fù)更新的過程。.5.6.2022/12/1015IBM數(shù)據(jù)管治藍圖DataGovernanceBlueIBM與業(yè)務(wù)伙伴用于數(shù)據(jù)管控藍圖的產(chǎn)品政策部署原始數(shù)據(jù)建模業(yè)務(wù)規(guī)定管理業(yè)務(wù)、運營風(fēng)險和管治處理建模事件管理與稽核記錄onDemand管治終端面板.5.6.

IBMRationalReqProIBMWorkplaceforBusinessControls

IBMRationalDataArchitectIBMDB2DatabaseIntegrator

CorticonBusinessRulesModelingStudio

IBMWebsphereBusinessIntegrationModelerIBMTivoliIdentityManagementDB2AnonymousResolution

MitratechTeamConnectIBMTivoliAuditLoggingIBMRationalClearQuest

IBMWorkplaceforBusinessStrategyExecutionIBMWebspherePortalServerIBMDB2ContentManager2022/12/1016IBM與業(yè)務(wù)伙伴用于數(shù)據(jù)管控藍圖的產(chǎn)品政策部署原始數(shù)據(jù)建模業(yè)主要內(nèi)容

信息安全面對的威脅與挑戰(zhàn)IBM數(shù)據(jù)管治策略數(shù)據(jù)管治協(xié)會DataGovernanceCouncil結(jié)論2022/12/1017主要內(nèi)容2022/12/1017結(jié)論

為了達到法規(guī)遵從的要求，企業(yè)不得不對數(shù)據(jù)進行有效地管理，但是在這個過程中，企業(yè)還面臨文化上的挑戰(zhàn)。要有效地處理數(shù)據(jù)，關(guān)鍵是要公司內(nèi)部每個人都對管治數(shù)據(jù)承擔起相應(yīng)的責(zé)任，這不只是專屬于公司某一些人的事情，而是每個人的事情。當前的安全管理措施只能解決一些局部問題，而不能解決所有的問題，經(jīng)過熱烈的討論我們就想到了成立一個機構(gòu)來聯(lián)手解決。于是一個大膽的想法產(chǎn)生了一個大膽的嘗試:數(shù)據(jù)管治協(xié)會。數(shù)據(jù)管治協(xié)會用來對如何使用信息的方式以及所有數(shù)據(jù)的安全性和完整性進行控制和監(jiān)管，根據(jù)個人和公司設(shè)置不同級別的保密機制采用一種跨公司的數(shù)據(jù)管理模式進行管理。作為對本身和對客戶而言的長期目標，IBM正尋求將數(shù)據(jù)管治和數(shù)據(jù)遵守從一年一度的稽查轉(zhuǎn)變成一個實時的、由變化驅(qū)動的、隨需應(yīng)變的業(yè)務(wù)流程，它將持續(xù)地在整個企業(yè)范圍內(nèi)評估風(fēng)險、更新政策以及管理資源。2022/12/1018結(jié)論為了達到法規(guī)遵從的要求，企業(yè)不得不對數(shù)據(jù)進行有效地管理問題及討論QuestionsandDiscussions2022/12/1019問題及討論QuestionsandDiscussio

1、想要體面生活，又覺得打拼辛苦；想要健康身體，又無法堅持運動。人最失敗的，莫過于對自己不負責(zé)任，連答應(yīng)自己的事都辦不到，又何必抱怨這個世界都和你作對？人生的道理很簡單，你想要什么，就去付出足夠的努力。

2、時間是最公平的，活一天就擁有24小時，差別只是珍惜。你若不相信努力和時光，時光一定第一個辜負你。有夢想就立刻行動，因為現(xiàn)在過的每一天，都是余生中最年輕的一天。

3、無論正在經(jīng)歷什么，都請不要輕言放棄，因為從來沒有一種堅持會被辜負。誰的人生不是荊棘前行，生活從來不會一蹴而就，也不會永遠安穩(wěn)，只要努力，就能做獨一無二平凡可貴的自己。

4、努力本就是年輕人應(yīng)有的狀態(tài)，是件充實且美好的事，可一旦有了表演的成分，就會顯得廉價，努力，不該是為了朋友圈多獲得幾個贊，不該是每次長篇贅述后的自我感動，它是一件平凡而自然而然的事，最佳的努力不過是：但行好事，莫問前程。愿努力，成就更好的你！

5、付出努力卻沒能實現(xiàn)的夢想，愛了很久卻沒能在一起的人，活得用力卻平淡寂寞的青春，遺憾是每一次小的挫折，它磨去最初柔軟的心智、讓我們懂得累積時間的力量；那些孤獨沉寂的時光，讓我們學(xué)會守候內(nèi)心的平和與堅定。那些脆弱的不完美，都會在努力和堅持下，改變模樣。

6、人生中總會有一段艱難的路，需要自己獨自走完，沒人幫助，沒人陪伴，不必畏懼，昂頭走過去就是了，經(jīng)歷所有的挫折與磨難，你會發(fā)現(xiàn)，自己遠比想象中要強大得多。多走彎路，才會找到捷徑，經(jīng)歷也是人生，修煉一顆強大的內(nèi)心，做更好的自己！

7、“一定要成功”這種內(nèi)在的推動力是我們生命中最神奇最有趣的東西。一個人要做成大事，絕不能缺少這種力量，因為這種力量能夠驅(qū)動人不停地提高自己的能力。一個人只有先在心里肯定自己，相信自己，才能成就自己！

8、人生的旅途中，最清晰的腳印，往往印在最泥濘的路上，所以，別畏懼暫時的困頓，即使無人鼓掌，也要全情投入，優(yōu)雅堅持。真正改變命運的，并不是等來的機遇，而是我們的態(tài)度。

9、這世上沒有所謂的天才，也沒有不勞而獲的回報，你所看到的每個光鮮人物，其背后都付出了令人震驚的努力。請相信，你的潛力還遠遠沒有爆發(fā)出來，不要給自己的人生設(shè)限，你自以為的極限，只是別人的起點。寫給渴望突破瓶頸、實現(xiàn)快速跨越的你。

10、生活中，有人給予幫助，那是幸運，沒人給予幫助，那是命運。我們要學(xué)會在幸運青睞自己的時候?qū)W會感恩，在命運磨練自己的時候?qū)W會堅韌。這既是對自己的尊重，也是對自己的負責(zé)。

11、失敗不可怕，可怕的是從來沒有努力過，還怡然自得地安慰自己，連一點點的懊悔都被麻木所掩蓋下去。不能怕，沒什么比自己背叛自己更可怕。

12、跌倒了，一定要爬起來。不爬起來，別人會看不起你，你自己也會失去機會。在人前微笑，在人后落淚，可這是每個人都要學(xué)會的成長。

13、要相信，這個世界上永遠能夠依靠的只有你自己。所以，管別人怎么看，堅持自己的堅持，直到堅持不下去為止。

14、也許你想要的未來在別人眼里不值一提，也許你已經(jīng)很努力了可還是有人不滿意，也許你的理想離你的距離從來沒有拉近過......但請你繼續(xù)向前走，因為別人看不到你的努力，你卻始終看得見自己。

15、所有的輝煌和偉大，一定伴隨著挫折和跌倒；所有的風(fēng)光背后，一定都是一串串揉和著淚水和汗水的腳印。

16、成功的反義詞不是失敗，而是從未行動。有一天你總會明白，遺憾比失敗更讓你難以面對。

17、沒有一件事情可以一下子把你打垮，也不會有一件事情可以讓你一步登天，慢慢走，慢慢看，生命是一個慢慢累積的過程。

18、努力也許不等于成功，可是那段追逐夢想的努力，會讓你找到一個更好的自己，一個沉默努力充實安靜的自己。

19、你相信夢想，夢想才會相信你。有一種落差是，你配不上自己的野心，也辜負了所受的苦難。

20、生活不會按你想要的方式進行，它會給你一段時間，讓你孤獨、迷茫又沉默憂郁。但如果靠這段時間跟自己獨處，多看一本書，去做可以做的事，放下過去的人，等你度過低潮，那些獨處的時光必定能照亮你的路，也是這些不堪陪你成熟。所以，現(xiàn)在沒那么糟，看似生活對你的虧欠，其實都是祝愿。1、想要體面生活，又覺得打拼辛苦；想要健康身體，又無法堅20IBM全球服務(wù)部亞太區(qū)信息安全經(jīng)理課件21DataGovernance

數(shù)據(jù)管治TransformingGovernanceandOperationalRiskManagement何錦華

CISM、CISA、CISSP

IBM全球服務(wù)部亞太區(qū)信息安全經(jīng)理管治轉(zhuǎn)換與運營風(fēng)險管理2022/12/10DataGovernance

數(shù)據(jù)管治Transformi22主要內(nèi)容

信息安全面對的威脅與挑戰(zhàn)IBM數(shù)據(jù)管治策略數(shù)據(jù)管治協(xié)會DataGovernanceCouncil結(jié)論2022/12/1023主要內(nèi)容2022/12/102存在的威脅及其來源受保護資源Protectedresources外國政府

foreigngovernment詐騙bilk競爭對手rival有組織犯罪Organizedcrime內(nèi)部威脅Internalthreat黑客攻擊Hackerattack病毒virus惡意攻擊Viciousattack自然災(zāi)害naturaldisease事故Accidence人為失誤Humanmistake2022/12/1024存在的威脅及其來源受保護資源外國政府詐騙競爭對手rival美數(shù)據(jù)處理公司遭入侵四千萬張信用卡資料外涉

[18/06/2005]美國一間為信用卡公司結(jié)算的公司，計算機系統(tǒng)被入侵，可能有多達四千萬名信用卡客戶數(shù)據(jù)外泄，主要是客戶姓名及銀行賬號資料。當中一千四百萬是萬事達卡，二千二百萬張是VISA卡，聯(lián)邦調(diào)查局正調(diào)查。萬事達卡說，他們有七萬名客戶資料失去，并已發(fā)現(xiàn)部份詐騙個案，懷疑同事件有關(guān)。

匯豐及恒生銀行都說，若本港客戶資料外泄，會為他們更換信用卡。金管局表示會向銀行了解。萬事達國際組織(MasterCardInternational)表示,信用卡付款資料遭到入侵，導(dǎo)致四千萬張各品牌的信用卡信息被外涉。有分析家認為今次是有史以來最大宗侵犯私隱案件。公司發(fā)言人向《路透社》表示，公司的保安人員發(fā)現(xiàn)CardSystemsSolutions公司的數(shù)據(jù)遭到計算機入侵，這家公司是萬事達國際的合作伙伴，代表金融機構(gòu)與商家處理交易事宜。發(fā)言人指，至今已發(fā)現(xiàn)少量因今次安全漏洞而引起的詐騙事件，但比例相當小，聯(lián)邦調(diào)查局正展開調(diào)查。

金管局會了解信用卡資料外泄

[18/06/2005]2022/12/1025美數(shù)據(jù)處理公司遭入侵四千萬張信用卡資料外涉[18/06/2香港市民憂電子資料外泄2006-4-7【大公報訊】警監(jiān)會資料外泄事件發(fā)生後，一項調(diào)查發(fā)現(xiàn)，有近四成受訪者表示，此事影響他們使用電子服務(wù)的信心，也有近三成受訪者擔心資料外泄。三月中警監(jiān)會發(fā)生投訴人資料外泄事件，引起各界對網(wǎng)上資料保密措施的討論。有見及此，新論壇聯(lián)同正荊社進行一個有關(guān)「市民使用政府網(wǎng)頁」的調(diào)查，旨在了解市民對使用電子服務(wù)的習(xí)慣及對警監(jiān)會資料外泄事件的意見。調(diào)查發(fā)現(xiàn)，有近八成市民知道警監(jiān)會資料外泄事件，有約四成表示此事會降低他們使用電子服務(wù)的信心。此外，在使用網(wǎng)上服務(wù)的人士中，近半數(shù)不會在網(wǎng)上提供個人資料，也有近三成市民擔心資料外泄。負責(zé)調(diào)查機構(gòu)建議，政府應(yīng)加強監(jiān)察內(nèi)部資料儲存的程序和守則，并盡量減少外判服務(wù)，尤其是涉及敏感資料及個人私隱的服務(wù)，避免市民資料外泄。2022/12/1026香港市民憂電子資料外泄2006-4-72022/12/105個人資料隱私與安全PersonalDataPrivacyandSecurity美國參議院在2005年提出「個人資料隱私與安全法案」

(PersonalDataPrivacyandSecurityAct)，藉由制定與企業(yè)資料安全相關(guān)的法規(guī)及對資訊竊取行為的相關(guān)罰則，希望能降低資安事件對企業(yè)營運與民生經(jīng)濟的影響。香港亦已於1996年起實施「個人資料(私隱)條例」條例的目的，是在個人資料方面保障在世人士的私隱，并保障個人資料得以不受限制地從已實施資料保障法例的國家和地區(qū)自由流入香港，這有助促進本港經(jīng)濟的持續(xù)發(fā)展。針對近來多項重大資料外洩事件，不論是由政府立法、或由民間企業(yè)主動發(fā)起，國際間已采取許多具體行動因應(yīng)。2022/12/1027個人資料隱私與安全PersonalDataPrivacy美國參議院在2005年提出「個人資料隱私與安全法案」PersonalDataPrivacyandSecurityAct「個人資料隱私與安全法」的要點如下：以嚴密的法規(guī)架構(gòu)規(guī)範「資料經(jīng)紀者」(databrokr)，也就是「蒐?集、傳輸或以其他方式提供5,000筆以上足以辨識非顧客或員工身分之個人資料」的公司或非營利機構(gòu)。資料經(jīng)紀者必須遵守一套仿歐洲式的規(guī)定，包括強制向相關(guān)的個人公開紀錄。修改電腦犯罪防治法，對入侵資料庫者處以新的懲罰。入侵資料經(jīng)紀人的系統(tǒng)，得處以罰款和十年徒刑。若某公司或個人「蓄意」隱瞞某些類型的重大資料外洩事件，得處五年徒刑。強制身為資料專有者(solpropritor)的大多數(shù)企業(yè)與個人遵守「廣泛的個人資料隱私與安全計畫」--類似Gramm-Lach-Blily法的規(guī)定。命令身為資料專有者的企業(yè)與個人，在電腦安全系統(tǒng)遭入侵事件「影響上萬人」的情況下，必須通知相關(guān)人士。要求檢討聯(lián)邦判刑規(guī)章，對濫用個人身分辨識資料者加重處罰，并授權(quán)司法部準釵{政府加強對身分詐欺相關(guān)犯罪行為的執(zhí)法工作。若某聯(lián)邦機構(gòu)依賴內(nèi)含以美國公民個人資料為主的商業(yè)資料庫，必須進一步做「隱私影響評估」。如果該資料庫的內(nèi)容涵蓋全球，不以美國公民的資料為主，則此要求并不適用。另外，聯(lián)邦機構(gòu)的個人資料過濾計畫，必須取得國會明確授權(quán)始能為之。Source/news/software/0,2000064574,20100051,00.htm2022/12/1028美國參議院在2005年提出「個人資料隱私與安全法案」Pers香港「個人資料(私隱)條例」1996保障資料原則收集資料的目的及方式:

訂明須以合法及公平的方式收集個人資料，以及列明資料使用者在向資料當事人收集個人資料時，應(yīng)向該當事人提供的資料。個人資料的準確性及保留期間:

訂明所保存的個人資料必須是準確和最新的資料，而保存期間不得超過實際需要。個人資料的使用:

訂明除非獲得資料當事人同意，否則個人資料只可用於在收集資料時所述明的用途或與其直接有關(guān)的用途。個人資料的保安:

訂明須采取適當保安措施保障個人資料［包括其存在形式令查閱或處理并非切實可行的資料］。資訊須在一般情況下可提供訂明資料使用者須公開所持有的個人資料類別，以及該等個人資料所作的主要用途。查閱個人資料:

訂明資料當事人有權(quán)查閱及改正其個人資料。罪行及補償條例訂明各項罪行，例如不遵守私隱專員發(fā)出的執(zhí)行通知，可被處第5級罰款(目前是50,000元)及監(jiān)禁2年。條例亦訂明，任何個人如因資料使用者違反條例的規(guī)定而蒙受損害，包括感情的傷害，則有權(quán)向有關(guān)資料使用者要求補償。Source.hk/chinese/ordinance/ordglance1.html2022/12/1029香港「個人資料(私隱)條例」1996保障資料原則S數(shù)據(jù)管治與其面臨的挑戰(zhàn)安全、隱私、符合性和風(fēng)險方面的挑戰(zhàn)，需要用通用的方案予以解決。人事組織與IT角色、行為之間的脫節(jié)。鮮有技術(shù)手段可以在正確的時間為正確的人員獲的正確的信息以做出正確的抉擇。沒有統(tǒng)一的方法來量化運營風(fēng)險。政策與規(guī)定之間的混亂。非結(jié)構(gòu)化與非標準的政策手段。政策與IT系統(tǒng)和管治模型之間沒有關(guān)聯(lián)。業(yè)務(wù)規(guī)定與政策或業(yè)務(wù)流程之間沒有關(guān)聯(lián)。對原始數(shù)據(jù)的分類和IT整合缺乏通用的手段在未對結(jié)果定性之前，應(yīng)對措施就已經(jīng)布置到位。挑戰(zhàn)數(shù)據(jù)管治是眾多公司用于掌控適當訪問其關(guān)鍵數(shù)據(jù)的過程。這個過程通過衡量并減輕運營上和安全上的與訪問相關(guān)的風(fēng)險來達到掌控的目的。2022/12/1030數(shù)據(jù)管治與其面臨的挑戰(zhàn)安全、隱私、符合性和風(fēng)險方面的挑戰(zhàn)，需主要內(nèi)容

信息安全面對的威脅與挑戰(zhàn)IBM數(shù)據(jù)管治策略數(shù)據(jù)管治協(xié)會DataGovernanceCouncil結(jié)論2022/12/1031主要內(nèi)容2022/12/1010IBM的數(shù)據(jù)管治–基本原則制定數(shù)據(jù)管治規(guī)定和政策以符合合約所規(guī)定的職責(zé)，并且保護股東和與各方面的關(guān)系，包括與客戶、供應(yīng)商和處理公司信息的第三方公司。在有效地訪問數(shù)據(jù)與恰當?shù)厥褂脭?shù)據(jù)之間尋求平衡點。

誰對于某種信息擁有所有權(quán)

誰可以使用這些信息，為了何種目的

使用技術(shù)手段使得控制模型具有強制執(zhí)行力。改進一成不變的數(shù)據(jù)管治原則與框架，使之與政府的法規(guī)相符，并能正確地應(yīng)用于IBM收集或產(chǎn)生的信息。采用一種跨公司的控制模型來掌控信息的使用方式，提高所有數(shù)據(jù)的安全性和整合性，同時在個人與公司兩個層面上保護隱私權(quán)。Source:/ibm/responsibility/world/security/data-governance.shtml2022/12/1032IBM的數(shù)據(jù)管治–基本原則制定數(shù)據(jù)管治規(guī)定和政策以符合合IBM的數(shù)據(jù)管治–關(guān)鍵的成功要素所有的IBM員工都必須定期對我們的業(yè)務(wù)行為準則進行認證。這些準則除了有很多指導(dǎo)和禁令以外，還管治著我們對于多種信息的使用情況：如員工隱私；所有權(quán)；知識產(chǎn)權(quán)；記錄、報告和保存方面的信息；他人所擁有的信息；內(nèi)部信息與內(nèi)部交易。為增強IBM的數(shù)據(jù)管治能力，我們對客戶數(shù)據(jù)庫進行了鞏固，使得我們可以從更多方面了解客戶，以及對于客戶的數(shù)據(jù)有更深入的理解。利用IBM的認證與訪問控制技術(shù)，如Tivoli系列的產(chǎn)品，我們可以限制對敏感信息的訪問，使之只向特定人群開放。在滿足基本原則的基礎(chǔ)上，有效的數(shù)據(jù)管治最終決于三方面要素（人員、流程和技術(shù)）能夠有機而自主地協(xié)同工作。IBM始終致力于開發(fā)能夠在整個企業(yè)范圍內(nèi)更好地整合這三方面要素的方法。Source:/ibm/responsibility/world/security/data-governance.shtml2022/12/1033IBM的數(shù)據(jù)管治–關(guān)鍵的成功要素所有的IBM員工都必須定主要內(nèi)容

信息安全面對的威脅與挑戰(zhàn)IBM數(shù)據(jù)管治策略數(shù)據(jù)管治協(xié)會DataGovernanceCouncil結(jié)論2022/12/1034主要內(nèi)容2022/12/1013數(shù)據(jù)管治協(xié)會DataGovernanceCouncil

于2005年，IBM宣布與幾十個企業(yè)集團合作，共同成立一個稱之為數(shù)據(jù)管治協(xié)會(DataGovernanceCouncil)的機構(gòu)，在這份與IBM合作的名單上有像荷蘭銀行(ABNAmro)、美國運通(AmericanExpress)、德意志銀行(DeutscheBank)、美林(MerrillLynch)、世界銀行(WorldBank),美國全美教師保險及年金協(xié)會(TIAA-CREF)告示國際知名的企業(yè)集團。數(shù)據(jù)管治協(xié)會:明確和解決通用的數(shù)據(jù)管治問題，為安全、隱私、信任和公司執(zhí)行問題尋找解決方案。專注于如下幾方面的管理事務(wù)：數(shù)據(jù)管治政策，政策方針對于業(yè)務(wù)流程和業(yè)務(wù)活動的影響，IT基礎(chǔ)架構(gòu)、內(nèi)容和組織行為方面政策的強制執(zhí)行力。在企業(yè)內(nèi)部與企業(yè)之間，建立起一個管治與保護個人數(shù)據(jù)和組織數(shù)據(jù)的藍圖，并且利用IBM和IBM業(yè)務(wù)合作伙伴的解決方案與概念，明確這個數(shù)據(jù)管治藍圖將如何應(yīng)用于各種企業(yè)和組織。Source:/ibm/responsibility/world/security/data-governance.shtml2022/12/1035數(shù)據(jù)管治協(xié)會DataGovernanceCouncilIBM數(shù)據(jù)管治藍圖

DataGovernanceBlueprint有一整套通用的工具通力協(xié)作以支持決策數(shù)據(jù)管治的人員和業(yè)務(wù)流程政策的規(guī)定涵蓋了整個企業(yè)范圍數(shù)據(jù)是被分類、賦值和保護的政策由逐條的規(guī)定構(gòu)成，并且被整合進了業(yè)務(wù)流程中。運營風(fēng)險被量化進業(yè)務(wù)流程中事件會被管控，損失會被記錄最終情況會被顯示在終端面板上，并隨時間而更新請注意：以上這些是屬于并發(fā)而且會反復(fù)更新的過程。.5.6.2022/12/1036IBM數(shù)據(jù)管治藍圖DataGovernanceBlueIBM與業(yè)務(wù)伙伴用于數(shù)據(jù)管控藍圖的產(chǎn)品政策部署原始數(shù)據(jù)建模業(yè)務(wù)規(guī)定管理業(yè)務(wù)、運營風(fēng)險和管治處理建模事件管理與稽核記錄onDemand管治終端面板.5.6.

IBMRationalReqProIBMWorkplaceforBusinessControls

IBMRationalDataArchitectIBMDB2DatabaseIntegrator

CorticonBusinessRulesModelingStudio

IBMWebsphereBusinessIntegrationModelerIBMTivoliIdentityManagementDB2AnonymousResolution

MitratechTeamConnectIBMTivoliAuditLoggingIBMRationalClearQuest

IBMWorkplaceforBusinessStrategyExecutionIBMWebspherePortalServerIBMDB2ContentManager2022/12/1037IBM與業(yè)務(wù)伙伴用于數(shù)據(jù)管控藍圖的產(chǎn)品政策部署原始數(shù)據(jù)建模業(yè)主要內(nèi)容

信息安全面對的威脅與挑戰(zhàn)IBM數(shù)據(jù)管治策略數(shù)據(jù)管治協(xié)會DataGovernanceCouncil結(jié)論2022/12/1038主要內(nèi)容2022/12/1017結(jié)論

為了達到法規(guī)遵從的要求，企業(yè)不得不對數(shù)據(jù)進行有效地管理，但是在這個過程中，企業(yè)還面臨文化上的挑戰(zhàn)。要有效地處理數(shù)據(jù)，關(guān)鍵是要公司內(nèi)部每個人都對管治數(shù)據(jù)承擔起相應(yīng)的責(zé)任，這不只是專屬于公司某一些人的事情，而是每個人的事情。當前的安全管理措施只能解決一些局部問題，而不能解決所有的問題，經(jīng)過熱烈的討論我們就想到了成立一個機構(gòu)來聯(lián)手解決。于是一個大膽的想法產(chǎn)生了一個大膽的嘗試:數(shù)據(jù)管治協(xié)會。數(shù)據(jù)管治協(xié)會用來對如何使用信息的方式以及所有數(shù)據(jù)的安全性和完整性進行控制和監(jiān)管，根據(jù)個人和公司設(shè)置不同級別的保密機制采用一種跨公司的數(shù)據(jù)管理模式進行管理。作為對本身和對客戶而言的長期目標，IBM正尋求將數(shù)據(jù)管治和數(shù)據(jù)遵守從一年一度的稽查轉(zhuǎn)變成一個實時的、由變化驅(qū)動的、隨需應(yīng)變的業(yè)務(wù)流程，它將持續(xù)地在整個企業(yè)范圍內(nèi)評估風(fēng)險、更新政策以及管理資源。2022/12/1039結(jié)論為了達到法規(guī)遵從的要求，企業(yè)不得不對數(shù)據(jù)進行有效地管理問題及討論QuestionsandDiscussions2022/12/1040問題及討論QuestionsandDiscussio

1、想要體面生活，又覺得打拼辛苦；想要健康身體，又無法堅持運動。人最失敗的，莫過于對自己不負責(zé)任，連答應(yīng)自己的事都辦不到，又何