数据分级分类实施指南_运营商行业数据安全治理实践

53e4a65d4f67263fa896704334f945cf.png

建立组织

构建大数据安全保障组

一、大数据安全保障工作组职责

1、负责制定大数据信息安全策略,明确信息安全目标。

2、组织相关平台负责人定期召开信息安全会议。

3、负责客户数据安全突发事件应急方案实施和大数据信息系统日常安全运行管理的组织协调及决策工作。

4、研究决定客户数据安全工作的重大事项。

二、大数据安全保障工作组责任

1、承担信息安全管理领导小组的具体工作,协助在大数据安全事务上的决策。

2、负责大数据安全管理体系的建立、实施和日常运行,起草信息安全政策,确定信息安全管理标准,督促各信息安全执行单位对于信息安全政策、措施的实施。

3、负责定期召开信息安全管理工作会议,定期总结运行情况以及安全事件记录,并向信息安全管理小组领导汇报。

4、负责制定大数据安全政策行为标准,并对违反信息安全政策的人员和事件进行确认和处罚。

5、负责调查大数据安全事件,并维护、总结安全事件记录报告。

建立总则

1、明确规范所保护的数据

针对最重要的政企客户信息和个人客户信息。

2、明确规范的目的

为了加强客户信息安全管理,规范客户信息访问的流程和用户访问权限以及规范承载客户信息的环境,降低客户信息被违法使用和传播的风险,特制定本规范。

3、明确规范所要解决的风险

客户信息安全面临的风险和威胁主要包括:因为权限管理与控制不当,导致客户信息被随意处置;因为流程设计与管理不当,导致客户信息被不当获取;因为安全管控措施落实不到位,导致客户信息被窃取等。

4、规范管理的对象

适用于客户信息的使用人员、运维人员、开发测试人员、管理人员和安全审计人员。

梳理职责

1、涉及客户信息的业务管理部职责

负责规范本部门访问客户信息的业务人员岗位角色及其职责;

负责主管的业务系统的客户敏感信息安全保护,建立落实管理制度和实施细则;

负责业务层面客户信息安全的日常管理和审计工作;

负责受理客户信息泄密事件的投诉、上报;

制订对业务合作伙伴的信息泄露的惩罚措施及具体实施;

协助完成客户信息泄密现象的市场调查;

协助进行客户信息泄密事件的查处。

2、人力资源部职责

组织有关员工签订保密承诺书;

及时发布人员岗位变动、离职的信息给帐号管理部门;

参与对客户信息泄密人员的查处。

数据分类分级

全面摸底,进行数据资产梳理、敏感数据发现及梳理、数据资产分级、用户及敏感资产权限梳理。

数据分级分类的原因:只有对数据进行有效分类,才能够避免一刀切的控制方式,在数据的安全管理上采用更加精细的措施,使数据在共享使用和安全使用之间获得平衡。

数据分级分类的原则:

分类:依据数据的来源、内容和用途对数据进行分类;

分级:按照数据的价值、内容的敏感程度、影响和分发范围不同对数据进行敏感级别划分。

数据分级分类内容:

4943f66f75237ddc7f56eff8e3cba6f0.png

分类分级示意图

定义岗位角色与权限

角色1:运营系统支撑

1)岗位包含举例:业务系统管理、系统运营支撑等细项岗位;

2)岗位说明:该类岗位角色主要指各省业务部门负责系统管理及支撑的岗位。

3)权限要求:该角色人员负责部门系统帐号、口令的管理,配合业支部门进行相应系统的开发、运营和维护,可以查看相应权限所涉及的客户敏感信息;仅具有查询权限,不应授予增加、删除、修改、批量导入与导出、批量开通与取消、批量下载等针对客户敏感信息的操作权限。

角色2:开发测试

1)岗位包含举例:架构管理、系统设计、应用开发、应用测试、项目建设管理等;

2)岗位说明:该类岗位主要包括各省公司负责涉及客户敏感信息的系统的设计、研发、测试以及项目建设管理人员。

3)权限要求:开发测试人员原则上不能接触生产系统数据;开发测试人员仅具有测试系统的操作权限,开发测试系统需要涉及到客户敏感数据信息的内容,原则上使用过期数据或是模糊化处理之后的数据。

建立账号与授权管理机制

1、业务账号管理

2、运维账号管理

1)系统运维支撑部门应指定专人(系统帐号管理员)负责运维帐号和权限的管理工作,制定岗位角色和权限的匹配规范,提供岗位角色和权限对应的矩阵列表,确保职责不相容。

2)运维人员应向上一级主管提出帐号权限申请,系统帐号管理员应按照权限最小化原则分配运维人员的帐号权限。

3)系统帐号管理人员要定期对系统帐号使用情况、权限、口令等进行检查稽核,确认帐号、权限的有效性,并对存在的问题进行整改。

3、第三方账号管理

建立客户敏感信息操作规范

1、业务人员对客户敏感信息操作的管理

1)涉及客户敏感信息的批量操作(批量查询、批量导入导出、批量为客户开通、取消或变更业务等),必须遵循相应的审批流程,通过业务管理部门审核;

2)业务人员因业务受理、投诉处理等情况下需要查询或获取客户信息时,应遵循如下要求:

a.涉及客户普通资料的查询,服务营销人员要获得客户的同意,并且按照正常的鉴权流程通过身份认证。鉴权一般采取有效证件或服务密码验证,并保留业务受理单据。

b.涉及客户通话详单、政企客户详细资料等客户敏感信息的查询,客户接触人员只能在响应客户请求时,并且客户自身按照正常流程通过身份鉴权的情况下,协助客户查询;禁止客户接触人员擅自进行查询;查询需保留业务受理单据。

c.除客户接触外的业务人员,因投诉处理、营销策划、经营分析等工作需要查询和提取客户敏感信息的,业务管理部门应建立明确的操作审批流程,定期进行严密的事后稽核与审查。

d.对敏感数据的批量操作,需要在指定地点、指定设备上进行操作,相关设备必须进行严格管控,对于该设备的打印、拷贝、邮件、文档共享、通讯工具等均需进行严格管控,防止数据泄露。

2、运维人员对客户敏感信息操作的管理

1)运维支撑部门需制定并维护业务系统层角色权限矩阵,明确生产运营、运行维护、开发测试等岗位对客户敏感信息的访问权限。

2)运维支撑人员因统计取数、批量业务操作对客户敏感信息查询、变更操作时必须有业务管理部门的相关公文,并经过部门领导审批。

3)运维支撑人员因应用优化、业务验证测试需要查询、修改客户敏感信息数据,只能利用测试号码进行各项测试,不得使用客户号码。

4)运维支撑人员因系统维护进行客户敏感信息的数据迁移(数据导入、导出、备份)必须填写操作申请,并经过部门主管审批。

5)严禁运维支撑人员向开发测试环境导出客户敏感信息,对需导出的信息必须经过申请审批,并进行模糊化处理。

6)对敏感数据的批量操作,需要在指定地点、指定设备上进行操作,相关设备必须进行严格管控,对于该设备的打印、拷贝、邮件、文档共享、通讯工具等均需进行严格管控,防止数据泄露。

3、数据抽取管理

1)各省、市公司数据需求部门由指定人员担任数据分析员,负责该部门的数据提取需求。

2)为确保数据安全,数据管理员不得将取数结果交付给非需求人员。非数据管理员不接收取数申请,也不得将提取数据直接发给相关需求人员。

3)数据分析员应对所提需求所涉及的客户信息进行审核并对需求内容作详细描述,数据管理员有责任进行复核并尽量减少客户敏感信息的提取。

4)数据提取部门不得将数据提取结果直接发给需求人员,数据提取结果必须为受控文档,并在指定平台上进行编辑和处理,不得存放在指定平台外的任何主机上。

5)受控文档是指采用加密、授权、数字水印、数字签名等技术手段对文档进行安全保护后的文档。

6)数据提取的检查稽核必须由专人负责,检查稽核人员应每月对日常数据提取情况进行检查稽核。

7)公检法等司法机关为满足司法取证等需要而查询客户信息时,应提交正式介绍信并进行留存,由相关主管领导批准后,方可提交业务支撑部门查询取数。

落实客户信息安全日常审查

1)安全检查主要分为操作稽核、合规性检查、日志审计、例行安全检查与风险评估。

2)信息安全管理责任部门针对安全检查过程中发现的突出问题,牵头协调各部门提出改进方案,并要求相关部门落实解决,并对改进措施落实情况进行跟踪检查。

3)操作稽核是对操作日志与工单等原始凭证进行比对,分析查找违规行为。

4) 合规性检查重点是依据本管理规范要求进行检查,检查相关要求的落地情况。

5)日志审计,对所有日志按关键功能、关键角色、关键帐号、关键参数,进行审计检查。及时发现异常时间登录、异常IP登录、异常的帐号增加和权限变更、客户信息增删改查、批量操作等敏感操作。

6)例行安全检查是指运维支撑部门对所负责维护的系统进行的常规性安全检查,包括漏洞扫描、基线检查等。

7)风险评估侧重通过白客渗透测试技术,发现深层次安全问题,如缓冲区溢出等编程漏洞、业务流程漏洞、通信协议中存在的漏洞和弱口令等等。风险评估以各系统的运维支撑部门自评估为主、信息安全管理责任部门抽查相结合的方式进行。

落实客户信息系统的技术管控

根据现有体系,构建了大数据安全管控平台,提升对大数据安全管控技术能力。实现对大数据的安全状况摸底、数据使用管控,数据治理稽核等三方面管理。

安全状况摸底:旨在提升大数据平台自我免疫能力,并对数据进行分级分类管理和权限管理。

数据使用管控:对数据生命周期的分级分类、风险评估、业务访问、运维访问、测试开发、数据外发、数据存储等层面,提供技术资产梳理、风险评估扫描、数据防护、-数据脱敏、数据水印、数据运维管控、数据加密、访问审计等方面技术融合。

数据治理稽核:通过审计、大数据分析、监测预警等技术,动态监测安全变化、事件变化、权限变化、策略变化,出现问题应急处置,构建大数据安全基线。

通过建立大数据安全管控平台,开展预防、发现、预警和协调处置等工作,维护电信运营商大数据安全,保障基础重要信息系统的安全运行。

总结

综上所述,以上数据安全治理实践,较为完备的覆盖了数据安全治理的各个领域,实现了数据的分级分类;制定了对不同组织和角色人员的数据安全职责和管理流程;明确了异常行为特征和重要风险行为的具体化管理要求;突破了传统防外的思维,实现了基于业务角度出发的业务侧、运维侧和第三方的综合管理,具有较高的可操作性。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/455840.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

servlet中中文正常显示,mysql数据库手动插入中文正常显示,servlet向mysql中插入中文显示乱码...

作者:http://5563447.blog.51cto.com/5553447/1422627 问题是:就是POST请求提交表单数据给servlet,通过JDBC插入Mysql,出现中文乱码。 解决方式:在url后面加这句 ?useUnicodetrue&characterEncodingutf-8 我的项目: 结果&am…

垃圾回收算法_垃圾回收算法有哪些

垃圾检测通常通过建立一个根对象的集合以及建立一个从这些根对象开始能够触及的对象集合来实现。如果正在执行的程序可以访问到根对象和某个对象之间存在引用路径,这个对象就是可触及的。对于程序来说,根对象总是可以访问的。从这些根对象开始&#xff0…

不错的电子书下载网站

为什么80%的码农都做不了架构师?>>> www.jb51.net 电子书质量不错,虽然是扫描版的,但是都是高清的. vdisk.weibo.com 网盘, 内容很多! 转载于:https://my.oschina.net/GMT/blog/1188971

GeoHash核心原理解析

原文地址:http://www.cnblogs.com/LBSer/p/3310455.html geohash for php:附件下载geohash.tar.gz 引子 机机是个好动又好学的孩子,平日里就喜欢拿着手机地图点点按按来查询一些好玩的东西。某一天机机到北海公园游玩,肚肚饿了&am…

[转载]流行视频格式讲解

*. MPEG/.MPG/.DAT MPEG也是Motion Picture Experts Group 的缩写。这类格式包括了 MPEG-1, MPEG-2 和 MPEG-4在内的多种视频格式。MPEG-1相信是大家接触得最多的了,因为目前其正在被广泛地应用在 VCD 的制作和一些视频片段下载的网络应用上面,大部分的…

解决Ubuntu中文件管理器死掉的情况

有时会遇到Ubuntu文件管理器死掉的情况,怎么点击都没有反应,这时只需在终端上运行 ps -A | grep nautilus, 查找文件管理器nautilus对应的pid,然后sudokillpid就可以关闭文件管理器进程,随便点击一个文件夹就可以重启文件管理器了…

element table 怎么知道点击的是第几行_el-data-table, 让CRUD更简单??

基于Vue2.x, element-ui 2.x,以及开源组件el-form-renderer封装了一个业务组件el-data-table,已在github开源,其目标是:makes restful api crud easily 特点:1. 使用axios自动发送请求2.自带新增/修改/删除逻辑(默认新…

样本量

sklearn实战-乳腺癌细胞数据挖掘(博客主亲自录制视频教程) https://study.163.com/course/introduction.htm?courseId1005269003&utm_campaigncommission&utm_sourcecp-400000000398149&utm_mediumshare 根据power,effect size,a,决定样本量 # -*- cod…

【Python】 dict 以key名 去重运算

将日期相同的数据统计在一起 a_count [ {create_time: 2020-03-05, total_len: 1, count_invite: 1}, {create_time: 2020-03-11, total_len: 2, count_invite: 2}, {create_time: 2020-03-18, total_len: 2, count_invite: 2}, {create_time: 2020-03-06, total_len: 1, …

qt获得 cpu 主频信息_高主频有什么用?我们玩了几款3A大作找到答案

[PConline 杂谈]对于热爱游戏的人来说,能在极致特效下流畅运行喜欢的游戏是一件幸事,因此作为影响游戏运算的CPU重要性不容小视。CPU如何判定?众所周知,核心数和主频算是判定一个CPU好坏的主要依据,但大多数CPU产品在高…

python爬取有道翻译

python爬虫爬取有道翻译教程 编写环境 为了宝宝们能够正确读懂本教程,在正式开始前,宝宝们需要搭建的环境如下: 连接互联网的win10电脑,(win7也可以)Google浏览器(版本无要求)Python(版本3就可以了),如果没有安装的小伙伴可以参考python安装以及版本检测requests库(版本没啥…

PartitionMotionSearch()

Outline: 1、 CFG文件中有关多参考帧的相关选项 2、 多参考帧涉及到的数据结构和全局变量 3、 保存重建图像为参考帧 4、 编码一帧前,设置参考帧列表 5、 多参考帧的使用(即参考帧的选择策略问题) 6、 遗留问题 1、CFG文件中有关多参考…

bat 发送post请求_get post 请求

HTTP是一个基于TCP/IP来传递数据的通信协议。1.GET和POST请求的区别?a: GET/POST本质上都是TCP链接,GET传body和POST拼参数,理论上都是可行的。b: 实际上HTTP协议对URL长度是没有限制的;限制URL长度大多数是浏览器或者服务器的配置…

boltdb 学习和实践

golang boltdb的学习和实践 1. 安装 go get github.com/boltdb/bolt 2.创建和启动数据库 db, err : bolt.Open("my.db", 0600, nil) 其中open的第一个参数为路径,如果数据库不存在则会创建名为my.db的数据库, 第二个为文件操作,第三个参数是可…

mysql 日志_MySQL日志系统

MySQL日志系统MySQL有两个重要的日志系统,分别是 redo log (重做日志) 和 bin log (归档日志) 。这两种日志有以下三点不同。redo log 是 InnoDB 引擎特有的;binlog 是 MySQL 的 Server 层实现的,所有引擎都可以使用。redo log 是物理日志&am…

盛大游戏杯第十五届上海大学程序设计联赛暨上海金马五校赛

编程1小时,提交4小时 做这种比赛一定要选一个好OJ啊 黑白图像直方图 发布时间: 2017年7月8日 21:00 最后更新: 2017年7月8日 22:38 时间限制: 1000ms 内存限制: 128M 描述 在一个矩形的灰度图像上,每个像素点或者是黑色的或者是白色的。黑色像素点…

Web开发介绍

Web开发介绍 一,认识一个网站 最早的软件都是运行在大型机上的,软件使用者通过“哑终端”登陆到大型机上去运行软件。 后来随着PC机的兴起,软件开始主要运行在桌面上,而数据库这样的软件运行在服务器端,这种Client/Server模式简…

Django简介以及安装

Django简介 1. 认识Django Django是一个高级的Python Web框架,它鼓励快速开发和清洁,务实的设计。由经验丰富的开发人员构建,它负责Web开发的许多麻烦,因此您可以专注于编写应用程序,而无需重新创建轮子。它是免费的…

python基础笔试面试题_python基础面试常见题

Python是目前市面上,我个人认为是最简洁、最优雅、最有前途、最全能的编程语言,没有之一。 2、通过什么途径学习的Python? 通过自学,包括网上查看一些视频,购买一些相关专业的书籍。 3、Python和Java、PHP、C、C#、C等…

django-rest-swagger显示接口备注内容

Swagger是一個API開發者的工具框架,用於生成、描述、調用和可視化RESTful風格的Web服務。總體目標是使客戶端和文件系統服務器以同樣的速度來更新,方法,參數和模型緊密集成到服務器端的代碼中,允許API始終保持同步。 在使用 djan…