規(guī)范對數(shù)據(jù)的訪問是數(shù)據(jù)治理的最重要方面之一。因此，數(shù)據(jù)訪問管理已經(jīng)演變成一項獨立的計劃，需要自主的戰(zhàn)略、預(yù)算和實施計劃。

在許多方面，數(shù)據(jù)訪問管理或數(shù)據(jù)訪問治理可以被認為是數(shù)據(jù)治理計劃的最重要成果，因為它涵蓋了許多關(guān)鍵領(lǐng)域。其中包括維護數(shù)據(jù)安全、保護 PII、提供對關(guān)鍵數(shù)據(jù)資產(chǎn)的訪問、管理權(quán)限等。

數(shù)據(jù)訪問管理是什么意思?

數(shù)據(jù)訪問管理是組織進行的一個過程，用于確定誰可以訪問哪些數(shù)據(jù)資產(chǎn)。使公司能夠保護機密信息、定義數(shù)據(jù)所有權(quán)并實施托管訪問控制，使用戶能夠?qū)崿F(xiàn)數(shù)據(jù)驅(qū)動的創(chuàng)新。

該過程控制誰可以訪問哪些數(shù)據(jù)、何時可以訪問以及如何訪問，還列出了實現(xiàn)這一結(jié)果所需的模型、方法和技術(shù)。

如果沒有管理良好的訪問權(quán)限，用戶將無法檢索他們需要的信息，在數(shù)據(jù)資產(chǎn)上進行協(xié)作幾乎是不可能的，數(shù)據(jù)所有者不對他們所關(guān)心的數(shù)據(jù)負責(zé)，并且不合規(guī)的風(fēng)險很高。

按照數(shù)據(jù)治理，數(shù)據(jù)訪問管理至關(guān)重要。如果沒有妥善管理的訪問權(quán)限，用戶將無法檢索他們需要的信息，在數(shù)據(jù)資產(chǎn)上進行協(xié)作幾乎是不可能的，數(shù)據(jù)所有者不對他們所關(guān)心的數(shù)據(jù)負責(zé)，并且不合規(guī)的風(fēng)險很高。

為什么訪問管理是整體數(shù)據(jù)戰(zhàn)略的重要組成部分

解釋數(shù)據(jù)訪問管理重要性的最佳方式是通過行業(yè)示例。在這種情況下，一家公司希望為客戶構(gòu)建一個具有潛在收入來源的分析解決方案。該公司組建了一個團隊，并要求提供客戶的業(yè)務(wù)數(shù)據(jù)。

但是，無法直接訪問數(shù)據(jù)。這需要大量的努力和向各個部門提出的大量問題，最終，三個月后，清理的數(shù)據(jù)被呈現(xiàn)出來。這是數(shù)據(jù)訪問受到限制時發(fā)生的情況的一個示例，但還有更多示例。

許多人可能認為數(shù)據(jù)治理主要是支持數(shù)據(jù)訪問管理的一種手段。不是，但雖然有數(shù)據(jù)治理的許多其他領(lǐng)域，數(shù)據(jù)訪問管理是最重要的之一。

當(dāng)用戶正確管理數(shù)據(jù)訪問時，他們將獲得工具和知識來查找他們需要的數(shù)據(jù)以更有效地工作。工具可以采用數(shù)據(jù)管理平臺的形式。同時，用戶可以通過一系列管理業(yè)務(wù)用戶應(yīng)如何訪問組織中數(shù)據(jù)的策略來分發(fā)知識。

良好的數(shù)據(jù)訪問管理可確保跨部門甚至外部實體都可以使用數(shù)據(jù)。對于現(xiàn)代企業(yè)而言，數(shù)據(jù)驅(qū)動創(chuàng)新增長的關(guān)鍵是協(xié)作。

數(shù)據(jù)訪問管理對于定義數(shù)據(jù)所有權(quán)也至關(guān)重要。一旦團隊確定了數(shù)據(jù)所有者，就必須制定特定規(guī)則來管理他們負責(zé)的數(shù)據(jù)的管理和維護方式。如果不這樣做，公司就有可能丟失數(shù)據(jù)。

數(shù)據(jù)訪問管理對于定義數(shù)據(jù)所有權(quán)也至關(guān)重要。一旦團隊確定了數(shù)據(jù)所有者，他們就必須制定特定規(guī)則來管理他們負責(zé)的數(shù)據(jù)的管理和維護方式。如果不這樣做，公司就有可能丟失數(shù)據(jù)。

最重要的是，數(shù)據(jù)訪問管理使企業(yè)所有者能夠保護 PII 和其他機密或敏感數(shù)據(jù)。它通過僅允許經(jīng)過驗證的用戶訪問特定數(shù)據(jù)集來實現(xiàn)這一點。如果這些措施不到位，則存在暴露數(shù)據(jù)的真正風(fēng)險，公司可能會因不合規(guī)而面臨巨額處罰。

組織進行數(shù)據(jù)訪問管理所面臨的挑戰(zhàn)

在許多情況下，用戶的部門負責(zé)人無法授予他們訪問部門數(shù)據(jù)的權(quán)限。存在這種情況是因為沒有人可以確定誰負責(zé)訪問數(shù)據(jù)，并且自動化和工作流都不存在。

相反，用戶需要通過 IT 團隊。通常有大量積壓，用戶必須等待數(shù)周甚至數(shù)月才能得到回復(fù)。

如果沒有工作流，就沒有結(jié)構(gòu)。因此，即使領(lǐng)導(dǎo)可以確認你的身份并且需要訪問權(quán)限，如果請求的數(shù)據(jù)包含 PII，仍然需要有人授予對 PII 的訪問權(quán)限。

當(dāng)明確定義的策略到位時，很容易確定用戶是誰以及訪問權(quán)限。例如，每個人都可以訪問公共數(shù)據(jù)，PII 數(shù)據(jù)需要 info sec 批準，機密數(shù)據(jù)需要 HR 批準。這種易于訪問是識別數(shù)據(jù)所有者如此重要的核心原因，使業(yè)務(wù)用戶(即使這些業(yè)務(wù)用戶是數(shù)據(jù)管理員)能夠獨立于 IT 授予對信息的訪問權(quán)限。

實施成功的數(shù)據(jù)訪問管理的步驟

實施數(shù)據(jù)訪問管理計劃有一系列關(guān)鍵步驟，已經(jīng)將其按順序排列在這里。

1. 發(fā)現(xiàn)和分類敏感數(shù)據(jù)

數(shù)據(jù)訪問管理策略的第一步是確定所有數(shù)據(jù)的存儲位置。一旦你發(fā)現(xiàn)，需要采取進一步的步驟來標記、分類和評分它的敏感性。

當(dāng)數(shù)據(jù)是正確分類，可以集中精力保護最敏感的數(shù)據(jù)資產(chǎn)。將能夠更有效地查明資源和工作。

一旦知道所有數(shù)據(jù)的存儲位置和內(nèi)容，就可以刪除任何冗余數(shù)據(jù)資產(chǎn)。這個初始過程的最后一步是進行風(fēng)險評估。

2.分配訪問控制

利用在數(shù)據(jù)訪問管理計劃的第一階段完成的風(fēng)險評估，可以為各個業(yè)務(wù)用戶創(chuàng)建訪問控制。但是，與其逐個用戶授予訪問權(quán)限，不如根據(jù)定義的角色、職責(zé)和分類來分配權(quán)限。

當(dāng)明確定義的策略到位時，很容易確定用戶是誰以及訪問權(quán)限。

這種方法更容易管理并且需要更少的投資。訪問組可能會分為管理員或經(jīng)理等類別。關(guān)鍵是不要授予任何用戶訪問權(quán)限，除非他們明確需要。

3.分析用戶行為

下一步是建立一系列分析技術(shù)來監(jiān)控用戶行為，分析應(yīng)該是一個持續(xù)的過程。

目的是分析業(yè)務(wù)用戶如何更改、復(fù)制、創(chuàng)建或刪除貴公司系統(tǒng)中的敏感數(shù)據(jù)。此分析將能夠確定用戶是否有權(quán)進行他們所做的修改以及是否需要撤消任何更改。

當(dāng)承諾持續(xù)監(jiān)控用戶時，可以快速識別任何潛在的數(shù)據(jù)安全威脅并采取行動。

4. 審查合規(guī)要求

遵守是成功數(shù)據(jù)治理的關(guān)鍵成果。而且，正如我們在本文前面提到的，與數(shù)據(jù)訪問管理直接相關(guān)。需要做的第一件事是確定哪些法規(guī)適用于組織。

當(dāng)完成上面概述的所有步驟時，不太可能違反任何合規(guī)性法規(guī)。但是，對于許多監(jiān)管機構(gòu)來說，仍然需要通過填寫合規(guī)證書來證明這一點。

數(shù)據(jù)訪問管理的最佳實踐

創(chuàng)建清單：必須為組織中有權(quán)訪問數(shù)據(jù)的每個人創(chuàng)建清單。將能夠跟蹤數(shù)據(jù)使用情況并記錄對數(shù)據(jù)訪問的任何更改。

確定數(shù)據(jù)所有權(quán)和位置：良好的數(shù)據(jù)訪問管理的一個基本部分是確定數(shù)據(jù)存儲在哪里以及由誰負責(zé)。當(dāng)不識別數(shù)據(jù)所有者時，數(shù)據(jù)可能會被濫用甚至丟失。還應(yīng)該為數(shù)據(jù)所有權(quán)責(zé)任制定獎勵制度，以激勵數(shù)據(jù)所有者。

創(chuàng)建安全組：在組織中維護數(shù)據(jù)訪問安全的最佳方法之一是創(chuàng)建一系列安全組。這些小組可以監(jiān)督數(shù)據(jù)訪問，并且必須包括來自處理數(shù)據(jù)的每個公司部門的代表。

進行定期審核：除非定期審核數(shù)據(jù)用戶和所有者的活動，否則將無法跟蹤策略的成功。

創(chuàng)建認證計劃：如果安裝訪問認證計劃，可以確保用戶正確使用數(shù)據(jù)并具有所需的讀寫能力。

成熟的數(shù)據(jù)治理工具增加了便利性

當(dāng)公司使用數(shù)據(jù)治理工具時，數(shù)據(jù)訪問管理會更加有效且勞動強度更低。數(shù)據(jù)治理工具可以毫不費力地輕松找到數(shù)據(jù)源并將其編目在一個位置。

結(jié)論

如果沒有足夠的數(shù)據(jù)訪問管理策略，數(shù)據(jù)治理計劃將會失敗。數(shù)據(jù)訪問不僅僅是保護敏感數(shù)據(jù)。如果沒有適當(dāng)?shù)脑L問管理，就不能期望用戶從他們所掌握的數(shù)據(jù)中獲得潛在價值。

但是，不能直接參與數(shù)據(jù)管理計劃。就像一個成熟的數(shù)據(jù)治理計劃一樣，它必須有條不紊地進行衡量和執(zhí)行。