Quelle est la différence entre le propriétaire des données, le dépositaire des données et le propriétaire du système?

Exemple réel:

Propriétaire des données - l'administrateur/PDG/conseil d'administration/président d'une entreprise

Dépositaire des données - ceux qui s'occupent des données réelles - comme le personnel informatique (en général) ou le personnel RH (pour les données liées aux RH)

Le propriétaire du système est la personne responsable d'un ou de plusieurs systèmes, qui peut contenir et exploiter des données appartenant à divers propriétaires de données.

Exemple, dans une pure perspective CISSP: le personnel des serveurs informatiques. Ils sont responsables de la création des plans d'information avec les propriétaires de données, l'administrateur système et les utilisateurs finaux. Ils doivent maintenir le plan de sécurité du système selon les exigences de sécurité préalablement convenues et il est impliqué dans de nombreux aspects de sécurité de tous les systèmes qui contiennent les données.

Exemple limité: un employé des ressources humaines qui possède un PC contenant des données d'entreprise est en théorie propriétaire du système, mais pas propriétaire des données. Il opérera sur les données mais les données ne lui appartiennent pas. Le propriétaire du système peut donc être considéré comme un opérateur dans un cas aussi limité. Bien que dans la plupart des cas, ces employés ne soient que des utilisateurs, dans de nombreux cas, ils ne le sont pas seulement, ils peuvent donc être classés dans cette catégorie.