D1-05 7–10 分钟 重要程度:高

变更管理、数据分类与角色责任

变更管理保护生产环境,数据分类决定保护要求,角色责任决定谁做决策、谁执行控制。

一、必须记住

  • 变更必须测试、评估影响、可回滚、通知用户,并经过 CAB 等流程批准。
  • 数据分类基于敏感性、价值、法律要求和业务影响。
  • Data owner 决定分类和授权。
  • Data custodian 负责执行控制、备份、完整性验证和日常维护。

二、核心概念

变更管理

目标是让变更受控,避免降低安全性或影响业务。常见步骤包括提出变更、影响分析、测试、审批、通知、实施、回滚准备和记录。

数据分类

分类帮助组织识别最重要的数据,决定访问控制、标签、保留时间、销毁方式和保护机制。

角色责任

Data owner 负责分类和授权;Data custodian 负责执行和维护保护措施;user 按授权使用;auditor 验证控制是否有效。

三、CISSP 判断规则

  • 题目提到生产变更,优先考虑变更管理流程。
  • 题目提到数据分类或访问授权,优先考虑 Data owner。
  • 题目提到备份、存储、完整性验证,优先考虑 Data custodian。
  • 变更前应评估业务和安全影响,而不是直接实施。

四、常见陷阱

  • 紧急变更也需要记录和事后审查。
  • IT 不应自行决定业务数据分类。
  • 数据托管员执行控制,但不是数据保护要求的最终决策者。

五、英文关键字

Change Advisory Board (变更顾问委员会) CAB (变更顾问委员会) Data classification (数据分类 / 数据分级) Data owner (数据所有者) Data custodian (数据托管员) Rollback (回滚) Impact analysis (影响分析)

小测验

1. 生产系统变更前最应该先做什么?

变更管理要求先评估影响、测试、审批,并准备回滚。

2. 谁负责决定数据分类?

Data owner 负责数据分类和授权要求。

3. 谁通常负责执行备份和验证数据完整性?

Data custodian 负责执行和维护保护控制,包括备份和完整性验证。

本节进度

完成后会保存在当前浏览器。线上版可保存;不同手机、平板之间暂不自动同步。

尚未完成