it-swarm.com.de

Was ist der Unterschied zwischen Dateneigentümer, Datenverwalter und Systembesitzer?

Ich habe gerade angefangen, für das CISSP zu studieren und habe Probleme, einige Konzepte zu verstehen:

  • Dateneigentümer
  • Datenverwalter
  • Systembesitzer

Irgendwo habe ich gelesen:

Der Dateneigentümer (Informationseigentümer) ist in der Regel ein Mitglied der Geschäftsleitung, das für eine bestimmte Geschäftseinheit verantwortlich ist und letztendlich für den Schutz und die Verwendung einer bestimmten Teilmenge von Informationen verantwortlich ist.

Der Datenverwalter (Informationsverwalter) ist für die Pflege und den Schutz der Daten verantwortlich

Aber was genau ist in der praktischen Welt die Grenze für diese Rollen? Beides scheint Daten zu schützen.

Jedes Beispiel aus der Praxis hilft.

2
kudlatiger

Echtes Beispiel:

Dateneigentümer - der Administrator/CEO/Vorstand/Präsident eines Unternehmens

Datenverwalter - diejenigen, die sich um die tatsächlichen Daten kümmern - wie IT-Mitarbeiter (allgemein) oder HR-Mitarbeiter (für HR-bezogene Daten)

Der Systembesitzer ist die Person, die für ein oder mehrere Systeme verantwortlich ist, die Daten enthalten und betreiben können, die verschiedenen Dateneigentümern gehören.

Beispiel aus einer reinen CISSP-Perspektive: die Mitarbeiter der IT-Server. Sie sind für die Erstellung von Informationsplänen zusammen mit den Dateneigentümern, dem Systemadministrator und den Endbenutzern verantwortlich. Sie müssen den Systemsicherheitsplan gemäß den im Voraus vereinbarten Sicherheitsanforderungen aufrechterhalten und an vielen Sicherheitsaspekten aller Systeme beteiligt sein, auf denen die Daten gespeichert sind.

Eingeschränktes Beispiel: Ein HR-Mitarbeiter mit einem PC mit Unternehmensdaten ist theoretisch ein Systembesitzer, aber kein Dateneigentümer. Er wird die Daten bearbeiten, aber die Daten gehören ihm nicht. Daher kann der Systembesitzer in einem solchen begrenzten Fall als Betreiber betrachtet werden. Obwohl solche Mitarbeiter in den meisten Fällen nur Benutzer sein sollten, sind sie in vielen Fällen nicht nur das, weshalb sie in diese Kategorie eingeordnet werden können.

2
Overmind