14、数据所有权与隐私保护全解析

数据所有权与隐私保护全解析

1. 明确数据所有权的重要性

在一个组织中，很多人会管理、处理和使用数据，不同角色对数据有不同的需求。明确谁拥有信息和资产是非常重要的概念，因为所有者对保护数据和资产负有主要责任。

2. 不同类型的所有者及其职责

2.1 数据所有者

数据所有者通常是首席运营官（CEO）、总裁或部门主管（DH），他们对数据负有最终的组织责任。其职责包括：
- 确定数据的分类并确保正确标记。
- 根据分类和组织的安全政策要求，确保数据有足够的安全控制。
- 若未能尽职建立和执行保护敏感数据的安全政策，可能要承担疏忽责任。

NIST SP 800 - 18 为信息所有者（可等同于数据所有者）列出了以下职责：
- 制定数据/信息的适当使用和保护规则（行为规则）。
- 向信息系统所有者提供有关信息系统安全要求和安全控制的建议。
- 决定谁可以访问信息系统以及拥有何种权限或访问权利。
- 协助识别和评估信息所在的通用安全控制。

行为规则类似于可接受使用政策（AUP），组织会要求个人定期确认已阅读、理解并同意遵守这些规则，很多组织会将其发布在网站上，允许用户通过在线电子数字签名进行确认。

2.2 资产所有者

资产所有者（或系统所有者）是拥有处理敏感数据的资产或系统的人。其职责包括：
- 与信息所有者、系统管理员和功能最终用户协调制定系统安全计划。
- 维护系统安全计划，确保系统按照商定的安全要求部署和运行。
- 确保系统用户和支持人员接受适当的安全培训，如行为规则（或 AU