web-dev-qa-db-fra.com

Quelle est la différence entre le propriétaire des données, le dépositaire des données et le propriétaire du système?

Je viens de commencer à étudier pour le CISSP et j'ai du mal à comprendre quelques concepts:

  • Propriétaire des données
  • Dépositaire des données
  • Propriétaire du système

Quelque part, j'ai lu:

Le propriétaire des données (propriétaire de l'information) est généralement un membre de la direction qui est en charge d'une unité commerciale spécifique et qui est ultimement responsable de la protection et de l'utilisation d'un sous-ensemble spécifique d'informations.

Le dépositaire des données (dépositaire des informations) est responsable du maintien et de la protection des données

Mais dans le monde pratique, quelle est exactement la limite de ces rôles? Les deux semblent protéger les données.

Tout exemple concret aide.

2
kudlatiger

Exemple réel:

Propriétaire des données - l'administrateur/PDG/conseil d'administration/président d'une entreprise

Dépositaire des données - ceux qui s'occupent des données réelles - comme le personnel informatique (en général) ou le personnel RH (pour les données liées aux RH)

Le propriétaire du système est la personne responsable d'un ou de plusieurs systèmes, qui peut contenir et exploiter des données appartenant à divers propriétaires de données.

Exemple, dans une pure perspective CISSP: le personnel des serveurs informatiques. Ils sont responsables de la création des plans d'information avec les propriétaires de données, l'administrateur système et les utilisateurs finaux. Ils doivent maintenir le plan de sécurité du système selon les exigences de sécurité préalablement convenues et il est impliqué dans de nombreux aspects de sécurité de tous les systèmes qui contiennent les données.

Exemple limité: un employé des ressources humaines qui possède un PC contenant des données d'entreprise est en théorie propriétaire du système, mais pas propriétaire des données. Il opérera sur les données mais les données ne lui appartiennent pas. Le propriétaire du système peut donc être considéré comme un opérateur dans un cas aussi limité. Bien que dans la plupart des cas, ces employés ne soient que des utilisateurs, dans de nombreux cas, ils ne le sont pas seulement, ils peuvent donc être classés dans cette catégorie.

2
Overmind