D1-05 7–10 分钟 重要程度:高
变更管理、数据分类与角色责任
变更管理保护生产环境,数据分类决定保护要求,角色责任决定谁做决策、谁执行控制。
一、必须记住
- 变更必须测试、评估影响、可回滚、通知用户,并经过 CAB 等流程批准。
- 数据分类基于敏感性、价值、法律要求和业务影响。
- Data owner 决定分类和授权。
- Data custodian 负责执行控制、备份、完整性验证和日常维护。
二、核心概念
变更管理
目标是让变更受控,避免降低安全性或影响业务。常见步骤包括提出变更、影响分析、测试、审批、通知、实施、回滚准备和记录。
数据分类
分类帮助组织识别最重要的数据,决定访问控制、标签、保留时间、销毁方式和保护机制。
角色责任
Data owner 负责分类和授权;Data custodian 负责执行和维护保护措施;user 按授权使用;auditor 验证控制是否有效。
三、CISSP 判断规则
- 题目提到生产变更,优先考虑变更管理流程。
- 题目提到数据分类或访问授权,优先考虑 Data owner。
- 题目提到备份、存储、完整性验证,优先考虑 Data custodian。
- 变更前应评估业务和安全影响,而不是直接实施。
四、常见陷阱
- 紧急变更也需要记录和事后审查。
- IT 不应自行决定业务数据分类。
- 数据托管员执行控制,但不是数据保护要求的最终决策者。
五、英文关键字
Change Advisory Board (变更顾问委员会) 定义:评审和批准变更。 CAB (变更顾问委员会) 定义:Change Advisory Board。 Data classification (数据分类 / 数据分级) 定义:按敏感性、价值和法律要求分类。 Data owner (数据所有者) 定义:负责数据分类、授权和保护要求。 Data custodian (数据托管员) 定义:负责执行和维护控制、备份、保护 CIA。 Rollback (回滚) 定义:变更失败时恢复到原状态。 Impact analysis (影响分析) 定义:变更前评估对安全和业务的影响。
小测验
1. 生产系统变更前最应该先做什么?
变更管理要求先评估影响、测试、审批,并准备回滚。
2. 谁负责决定数据分类?
Data owner 负责数据分类和授权要求。
3. 谁通常负责执行备份和验证数据完整性?
Data custodian 负责执行和维护保护控制,包括备份和完整性验证。
本节进度
完成后会保存在当前浏览器。线上版可保存;不同手机、平板之间暂不自动同步。
尚未完成