D2-05 8–10 分钟 重要程度:高

数据所有权与角色责任

D2 的角色责任是高频考点。数据所有者决定分类和授权,托管员执行保护,用户按授权使用数据。

一、必须记住

  • Data owner 对数据负最终组织责任,并负责分类和授权要求。
  • System/asset owner 负责系统安全计划、部署和运行。
  • Business/mission owner 确保系统实现业务目的。
  • Custodian 负责日常保护、存储、备份、完整性和安全控制。
  • User 只能访问完成工作任务所需的数据。
  • Administrator 根据最小特权和知所必需分配权限。

二、核心概念

Data owner

数据所有者建立数据使用规则,向系统所有者提供安全要求,决定谁有权访问以及使用何种权限。

System / asset owner

系统所有者与信息所有者、管理员和用户协作开发系统安全计划,并确保系统按安全要求部署和运行。

Custodian / administrator / user

托管员执行日常保护;管理员分配适当权限;用户按授权访问完成工作所需的数据。

三、CISSP 判断规则

  • 问分类、授权、访问要求,优先 Data owner。
  • 问系统安全计划和系统运行,优先 System owner。
  • 问备份、存储、保护和日常维护,优先 Custodian。
  • 问权限分配,可能是 Administrator,但应受 owner 授权约束。

四、常见陷阱

  • Data owner 和 custodian 不要混淆。
  • 管理员分配权限不代表管理员拥有数据。
  • 系统所有者和数据所有者有时同一人,但职责仍要分清。

五、英文关键字

Data owner (数据所有者) System owner (系统所有者) Business owner (业务所有者) Data custodian (数据托管员) Administrator (管理员) User (用户) Least privilege (最小权限) Need to know (知其所需)

小测验

1. 谁通常决定谁可以访问某类敏感数据?

Data owner 负责分类、授权和保护要求。

2. 谁负责正确存储和保护数据完整性与安全性?

Custodian 执行日常保护任务,如存储、备份、完整性检查和控制实施。

3. 管理员分配权限时应遵守什么原则?

权限分配应符合 least privilege 和 need to know。

本节进度

完成后会保存在当前浏览器。线上版可保存;不同手机、平板之间暂不自动同步。

尚未完成