Bereich 5 Daten-Governance

vPierre Cloud, Cloud Computing, Sicherheit / Security Leave a Comment

Dieser Bereich befindet sich in der Entwurfsphase. Der erste Entwurf wird geschrieben und nach einem Überprüfungszeitraum für Feedback geöffnet.

Hinweis: wegen Umstrukturierung wurden alle Stücke zum Datensicherheitsbetrieb in Bereich 11 verschoben. Dieser Bereich begrenzt sich nun selbst auf Governance.

  • Einleitung
  • Definition der Daten-/Informations-Governance.
    • Sicherstellung, dass die Nutzung von Daten und Informationen die organisatorischen Anforderungen erfüllt einschließlich behördlicher, vertraglicher und organisatorischer Anforderungen und Ziele.
  • Einfluss der Cloud auf Daten-Governance
    • Mandantenfähigkeit
    • Geteilte Sicherheits-Verantwortlichkeiten
      • Verwahrerschaft versus Eigentümerschaft von Daten
    • Gerichtliche Grenzen
  • Überblick
  • Definition der Daten-/Informations-Governance.
    • Die Sicherstellung, dass die Nutzung von Daten und Informationen die organisatorischen Anforderungen erfüllt einschließlich behördlicher, vertraglicher und organisatorischer Anforderungen und Ziele.
    • Daten unterscheiden sich von Informationen, aber wir tendieren dazu, diese Begriffe synonym zu verwenden.
      • Informationen sind Daten mit Wert.
      • Für unsere Zwecke verwenden wir beide Begriffe mit derselben Bedeutung, da dies so verbreitet üblich ist.
      • Hinweis an Rezensenten: sollten wir bezüglich Informations-Governance standardisieren?
  • Bereiche der Cloud-Daten-Governance
    • Wir werden nicht alle Aspekte der Daten-Governance behandeln, sondern uns darauf konzentrieren, wo die Cloud die Daten-Governance beeinflusst.
    • Die Cloud beeinflusst die meisten Bereiche der Daten-Governance:
      • Informations-Klassifizierung. Häufig gebunden an Compliance und beeinflusst Cloud-Zielorte und Anforderungen für den Umgang. Nicht jeder hat zwingend ein Programm zur Datenklassifikation, aber wenn, müssen Sie dieses für die Cloud anpassen.
      • Richtlinien für Informations-Management. Das gehört zur Klassifikation, und die Cloud muss dort hinzugefügt werden, falls sie so etwas haben. Sollte auch die unterschiedlichen SPI-Schichten abdecken, weil etwa das Senden an einen SaaS-Anbieter im Vergleich zum Aufbau einer eigenen IaaS-App etwas ganz anderes ist.
      • Richtlinien für Standort und Zuständigkeitsbereich. Sehr direkte Cloud-Auswirkungen. Jegliches externe Hosting muss die Anforderungen bezüglich Standort/Zuständigkeitsbereich erfüllen. Verstehen Sie, dass interne Richtlinien für die Cloud geändert werden können, aber rechtliche Anforderungen klare Vorgaben sind.
        • Schauen Sie im Bereich Rechtliches für weitere Informationen dazu.
        • Verstehen Sie, dass sich Verträge und Gesetze widersprechen können. Beim Umgang mit regulierten Daten müssen Sie gesetzeskonform handeln und sicherstellen, die Gesetze bestmöglich einzuhalten.
      • Berechtigungen. Minimale Änderungen, aber betrachten Sie den Lebenszyklus der Datensicherheit, um zu verstehen, ob die Cloud Einfluss hat.
      • Eigentümerschaft. Die Organisation ist stets verantwortlich und kann dies auch beim Umstieg in die Cloud nicht außer Kraft setzen.
      • Eigenschaft eines Verwahrers. Cloud-Provider können Verwahrer werden. Gehostete und ordentlich verschlüsselte Daten befinden sich weiterhin in der Verwahrung des Organisation.
      • Datenschutz. Datenschutz ist die Summe der regulatorischen Anforderungen, vertraglichen Pflichten sowie Verpflichtungen gegenüber Kunden (z.B. öffentliche Erklärungen). Sie müssen die gesamten Anforderungen verstehen und sicherstellen, dass Informations-Management und Sicherheitsrichtlinien aneinander ausgerichtet sind.
      • Vertragliche Kontrollen. Rechtliches Werkzeug zur Ausdehnung der Governance-Anforderungen auf eine Drittpartei wie einen Cloud-Provider.
      • Sicherheitskontrollen. Sicherheitskontrollen sind das Werkzeug zur Umsetzung der Daten-Governance. Sie ändern sich in der Cloud erheblich. Siehe den Bereich Datensicherheit und Verschlüsselung.
    • Der Lebenszyklus der Datensicherheit
      • Ein Hilfsmittel, um die Sicherheitsgrenzen und Kontrollen rund um Daten zu verstehen. Hinweis: daran gibt es sehr wenige Änderungen gegenüber Version 3.
        • Nicht gedacht als gründliches Werkzeug für alle Datentypen. Es ist ein Modellier-Hilfsmittel zur Beurteilung der Datensicherheit auf hoher Ebene und zum Auffinden von Schwerpunkten.
      • Phasen
        • Erzeugen
        • Speichern
        • Nutzen
        • Teilen
        • Archivieren
        • Zerstören
      • Standorte und Berechtigungen (Update vom Zugriff)
      • Funktionen, Akteure und Kontrollen
        • Funktionen
          • Lesen (war Zugriff)
          • Verarbeiten
          • Speichern
        • Phasendiagramm des Informations-Lebenszyklus
        • Kontrollen-Diagramm
          • Möglich und erlaubt
          • Eine Kontrolle begrenzt, was erlaubt ist auf das, was möglich sein sollte
  • Empfehlungen

* Bestimmen Sie die Governance-Anforderungen für Informationen, bevor Sie den Übergang zur Cloud planen. Das umfasst rechtliche/regulatorische Anforderungen, vertragliche Pflichten und andere Unternehmensrichtlinien.

* Unternehmensrichtlinien müssen eventuell aktualisiert werden, damit ein Dritter die Daten handhaben darf.

* Stellen Sie sicher, dass sich die Informations-Governance bis zur Cloud erstreckt. Das erfolgt durch vertragliche sowie Sicherheitskontrollen.

* Bei Bedarf nutzen Sie den Lebenszyklus der Datensicherheit, um Datenhandhabung und Kontrollen zu modellieren.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.