数据访问是一种数据管理方法,用于组织组织中人们读取、写入和编辑数据的方式。
当组织积累数据时,它很快就会遇到一些常见的数据管理挑战。这些问题围绕着以下问题:
- 我们应该允许谁访问数据?
- 我们该选谁防止从访问数据?
- 我们如何实现这些规则?
- 我们如何监视和记录数据事务?
数据访问策略有助于以一致和透明的方式解决这些问题。术语“数据访问”描述了与数据访问管理相关的所有流程、规则和最佳实践。
查阅资料的基本原则
当组织在一起的时候数据治理框架在美国,他们必须处理各种各样的问题,其中一些问题似乎相互矛盾。
在制定数据访问策略时,组织总是必须考虑三个主要问题。这是中情局的三位一体:
- 保密:任何人除非获得授权,否则不得查阅资料。
- 完整性:系统不允许会导致错误或数据丢失的数据操作。
- 可用性:只要有人有合法的业务需要,他们就应该不受限制地访问数据。
解决这些问题往往是一种微妙的平衡。在安全性和易用性之间必须有一个谨慎的平衡。
公司如何进行数据访问?
每个组织都设计适合其特定需求的数据访问策略。这些策略通常随着时间的推移而出现,并且可以随着业务的增长而发展。
在构建数据访问策略时,公司通常会执行以下步骤:
分类数据
并非所有的数据都是一样的。有不同的类别,每个类别都有自己的数据访问策略。主要类别有:
PII:个人身份信息是关于真实人物的敏感信息,如姓名、地址或社会安全号码。公司可能有监管责任来保护这些数据。因此,这些数据需要严格的访问控制。
敏感业务信息:泄露的内部信息会威胁到公司的地位。这可能包括未公布的财务记录或分析结果。这样的数据需要非常严格的访问策略。
低风险数据:部分数据可能不存在重大安全风险。例如,假名的客户数据或公开的公司信息。在这里,更宽松的访问政策可能更合适。
系统信息:这是其他系统自动生成的数据,如网络日志和错误报告。这些信息很少需要强大的访问控制。
数据访问很少是一刀切的。通常,组织会建立适合各种情况的灵活策略。
审查法规遵从性需求
法规可能对数据访问政策产生巨大影响。例如,欧洲的GDPR规则指定员工只有在有合法业务目的时才能访问PII。该法律还限制了国际数据传输,如果一个组织使用位于国外的云服务,这可能会影响数据访问。
一般来说,公司需要考虑以下问题:
- 哪些地方法律会影响我们的数据访问政策?(例如,CCPA)
- 哪些行业法律影响数据访问(即,HIPAA)
- 我们是在法律更严格的地区进行交易吗?(例如,GDPR适用于与欧洲客户做生意的美国公司)
- 我们如何预测新的法律和未来的数据访问政策?
构建集中式数据结构
数据访问管理很棘手,但集中式数据更容易管理。例如,想象一个拥有十几个离散系统的公司。该公司可能需要建立十几个单独的数据访问策略来覆盖这些系统中的每一个。
或者,公司可以将所有数据存储在一个中央存储库中,例如数据仓库。ManBetX万博客服他们通常会使用提取,转换,加载(ETL)的过程。ETL将从每个数据源提取数据,对其进行集成,然后将其加载到一个中心位置。
这种方法也许是对付CIA三位一体的最好办法。集中式数据质量好,易于获取。公司还可以限制对数据仓库的访问,这有助于确保保密性。ManBetX万博客服
授予基于角色的访问
那么谁能访问这些数据呢?这是关于数据访问的最大问题,而且随着组织的发展,这个问题越来越难以回答。如果公司有五名员工,则数据库管理员可以设置个人访问级别。当公司有5000名员工时,这是不可能的。
基于角色的访问是解决这个问题的最佳方案。管理员根据职位、资历和其他因素创建一组角色。然后,他们将每个用户分配到这些角色中的一个。如果用户更改位置,管理员不会手动重新配置其权限。相反,他们只是给他们分配了一个新的角色。
这有助于获得正确的数据访问平衡。客户数据就是一个例子。销售人员和服务代理都需要看到这些数据,但他们可能会查看不同的子集。使用基于角色的访问,您可以配置数据访问,以便服务代理可以查看活动客户,但不能查看未转换的潜在客户。
日志数据事务
数据访问的最后一个元素是日志记录。组织应该以提供可见性和问责制的方式构建其数据基础设施。当有人执行未经授权的数据操作时,系统应该记录发生了什么。
这是ETL发挥作用的另一个领域。ETL可以为连接每个数据库的数据管道提供动力。它还可以帮助跟踪ETL管道中发生的事务,以便管理员在出现错误时可以获得书面记录。这是确保强大的、功能性的数据访问策略的重要一步。
