私はCISSPの勉強を始めたばかりで、いくつかの概念を理解するのに苦労しています。
私が読んだどこか:
データ所有者(情報所有者)は通常、特定のビジネスユニットを担当し、最終的には特定の情報サブセットの保護と使用を担当する管理メンバーです。
データ管理者(情報管理者)は、データの維持と保護を担当します
しかし、実際の世界では、これらの役割の境界は正確には何ですか?どちらもデータを保護しているようです。
実際の例が役立ちます。
実際の例:
データ所有者-会社の管理者/ CEO /取締役会/社長
データ管理者-実際のデータを処理する担当者-ITスタッフ(一般的に)またはHRスタッフ(HR関連データの場合)など
システム所有者は、さまざまなデータ所有者が所有するデータを含み、操作する1つ以上のシステムを担当する個人です。
例、純粋なCISSPの観点から:ITサーバースタッフ。彼らは、データ所有者、システム管理者、およびエンドユーザーと共に情報計画を作成する責任があります。彼らは事前に合意されたセキュリティ要件によってシステムのセキュリティ計画を維持する必要があり、彼はデータを保持するすべてのシステムの多くのセキュリティ面に関与しています。
制限付きの例:会社のデータが記載されたPCを持っているHR従業員は、理論的にはシステム所有者ですが、データ所有者ではありません。彼はデータを操作しますが、データは彼のものではありません。したがって、システムの所有者は、そのような限られたケースではオペレーターと見なされる場合があります。ほとんどの場合、このような従業員は単なるユーザーである必要がありますが、多くの場合それだけではありません。したがって、このカテゴリに分類できます。