D2-05 8–10 分钟 重要程度:高
数据所有权与角色责任
D2 的角色责任是高频考点。数据所有者决定分类和授权,托管员执行保护,用户按授权使用数据。
一、必须记住
- Data owner 对数据负最终组织责任,并负责分类和授权要求。
- System/asset owner 负责系统安全计划、部署和运行。
- Business/mission owner 确保系统实现业务目的。
- Custodian 负责日常保护、存储、备份、完整性和安全控制。
- User 只能访问完成工作任务所需的数据。
- Administrator 根据最小特权和知所必需分配权限。
二、核心概念
Data owner
数据所有者建立数据使用规则,向系统所有者提供安全要求,决定谁有权访问以及使用何种权限。
System / asset owner
系统所有者与信息所有者、管理员和用户协作开发系统安全计划,并确保系统按安全要求部署和运行。
Custodian / administrator / user
托管员执行日常保护;管理员分配适当权限;用户按授权访问完成工作所需的数据。
三、CISSP 判断规则
- 问分类、授权、访问要求,优先 Data owner。
- 问系统安全计划和系统运行,优先 System owner。
- 问备份、存储、保护和日常维护,优先 Custodian。
- 问权限分配,可能是 Administrator,但应受 owner 授权约束。
四、常见陷阱
- Data owner 和 custodian 不要混淆。
- 管理员分配权限不代表管理员拥有数据。
- 系统所有者和数据所有者有时同一人,但职责仍要分清。
五、英文关键字
Data owner (数据所有者) 定义:负责数据分类、授权和保护要求。 System owner (系统所有者) 定义:负责系统安全计划、部署和运行。 Business owner (业务所有者) 定义:负责业务风险和业务决策。 Data custodian (数据托管员) 定义:负责执行和维护控制、备份、保护 CIA。 Administrator (管理员) 定义:根据授权分配和维护访问权限。 User (用户) 定义:按授权访问完成工作任务所需的数据。 Least privilege (最小权限) 定义:只授予完成任务所需的最低权限。 Need to know (知其所需) 定义:即使有许可,也只能访问工作需要的数据。
小测验
1. 谁通常决定谁可以访问某类敏感数据?
Data owner 负责分类、授权和保护要求。
2. 谁负责正确存储和保护数据完整性与安全性?
Custodian 执行日常保护任务,如存储、备份、完整性检查和控制实施。
3. 管理员分配权限时应遵守什么原则?
权限分配应符合 least privilege 和 need to know。
本节进度
完成后会保存在当前浏览器。线上版可保存;不同手机、平板之间暂不自动同步。
尚未完成