简单地说,企业数据的安全性和可访问性不应被视为企业的资产。数据安全图的目的是描述哪个参与者(个人、组织或系统)可以访问哪些企业数据。这种关系可以用两个对象之间的矩阵形式表示,也可以用映射表示。该图还可用于证明遵守数据隐私法和其他适用法规(HIPAA、SOX等)。该图还应考虑企业的合作伙伴或其他方可能访问公司系统的任何信任影响,例如信息可能由其他人管理的外包情况,甚至可能托管在不同的国家。
大型图表很难阅读。建议为每个业务实体和/或每个参与者(通常是一个角色)创建一个数据安全关系图。特别是,以参与者及其任务为重点的图表可以提供适应链接。图也可以集中在对系统的外部访问上,即外部参与者可以访问的数据。
或者,可以创建表,如下面的示例所示:
仍然需要创建链接,因为它们可以在任何类型的图表中使用。
UML/BPMN EAP Profile
- 外部参与者:企业外部的参与者。
- 内部参与者:属于企业的参与者
- 数据流:在一端有一个活动元素(例如actor、process),在另一端有一个携带数据的元素(实体、事件、产品)。可在这些流上表示“适应性”,表示活动元素对数据具有哪些访问权限和权限。
Archimate
此图表示谁有权访问哪些数据以及使用哪些权限
