数据分级分类实施指南_运营商行业数据安全治理实践

53e4a65d4f67263fa896704334f945cf.png

建立组织

构建大数据安全保障组

一、大数据安全保障工作组职责

1、负责制定大数据信息安全策略,明确信息安全目标。

2、组织相关平台负责人定期召开信息安全会议。

3、负责客户数据安全突发事件应急方案实施和大数据信息系统日常安全运行管理的组织协调及决策工作。

4、研究决定客户数据安全工作的重大事项。

二、大数据安全保障工作组责任

1、承担信息安全管理领导小组的具体工作,协助在大数据安全事务上的决策。

2、负责大数据安全管理体系的建立、实施和日常运行,起草信息安全政策,确定信息安全管理标准,督促各信息安全执行单位对于信息安全政策、措施的实施。

3、负责定期召开信息安全管理工作会议,定期总结运行情况以及安全事件记录,并向信息安全管理小组领导汇报。

4、负责制定大数据安全政策行为标准,并对违反信息安全政策的人员和事件进行确认和处罚。

5、负责调查大数据安全事件,并维护、总结安全事件记录报告。

建立总则

1、明确规范所保护的数据

针对最重要的政企客户信息和个人客户信息。

2、明确规范的目的

为了加强客户信息安全管理,规范客户信息访问的流程和用户访问权限以及规范承载客户信息的环境,降低客户信息被违法使用和传播的风险,特制定本规范。

3、明确规范所要解决的风险

客户信息安全面临的风险和威胁主要包括:因为权限管理与控制不当,导致客户信息被随意处置;因为流程设计与管理不当,导致客户信息被不当获取;因为安全管控措施落实不到位,导致客户信息被窃取等。

4、规范管理的对象

适用于客户信息的使用人员、运维人员、开发测试人员、管理人员和安全审计人员。

梳理职责

1、涉及客户信息的业务管理部职责

负责规范本部门访问客户信息的业务人员岗位角色及其职责;

负责主管的业务系统的客户敏感信息安全保护,建立落实管理制度和实施细则;

负责业务层面客户信息安全的日常管理和审计工作;

负责受理客户信息泄密事件的投诉、上报;

制订对业务合作伙伴的信息泄露的惩罚措施及具体实施;

协助完成客户信息泄密现象的市场调查;

协助进行客户信息泄密事件的查处。

2、人力资源部职责

组织有关员工签订保密承诺书;

及时发布人员岗位变动、离职的信息给帐号管理部门;

参与对客户信息泄密人员的查处。

数据分类分级

全面摸底,进行数据资产梳理、敏感数据发现及梳理、数据资产分级、用户及敏感资产权限梳理。

数据分级分类的原因:只有对数据进行有效分类,才能够避免一刀切的控制方式,在数据的安全管理上采用更加精细的措施,使数据在共享使用和安全使用之间获得平衡。

数据分级分类的原则:

分类:依据数据的来源、内容和用途对数据进行分类;

分级:按照数据的价值、内容的敏感程度、影响和分发范围不同对数据进行敏感级别划分。

数据分级分类内容:

4943f66f75237ddc7f56eff8e3cba6f0.png

分类分级示意图

定义岗位角色与权限

角色1:运营系统支撑

1)岗位包含举例:业务系统管理、系统运营支撑等细项岗位;

2)岗位说明:该类岗位角色主要指各省业务部门负责系统管理及支撑的岗位。

3)权限要求:该角色人员负责部门系统帐号、口令的管理,配合业支部门进行相应系统的开发、运营和维护,可以查看相应权限所涉及的客户敏感信息;仅具有查询权限,不应授予增加、删除、修改、批量导入与导出、批量开通与取消、批量下载等针对客户敏感信息的操作权限。

角色2:开发测试

1)岗位包含举例:架构管理、系统设计、应用开发、应用测试、项目建设管理等;

2)岗位说明:该类岗位主要包括各省公司负责涉及客户敏感信息的系统的设计、研发、测试以及项目建设管理人员。

3)权限要求:开发测试人员原则上不能接触生产系统数据;开发测试人员仅具有测试系统的操作权限,开发测试系统需要涉及到客户敏感数据信息的内容,原则上使用过期数据或是模糊化处理之后的数据。

建立账号与授权管理机制

1、业务账号管理

2、运维账号管理

1)系统运维支撑部门应指定专人(系统帐号管理员)负责运维帐号和权限的管理工作,制定岗位角色和权限的匹配规范,提供岗位角色和权限对应的矩阵列表,确保职责不相容。

2)运维人员应向上一级主管提出帐号权限申请,系统帐号管理员应按照权限最小化原则分配运维人员的帐号权限。

3)系统帐号管理人员要定期对系统帐号使用情况、权限、口令等进行检查稽核,确认帐号、权限的有效性,并对存在的问题进行整改。

3、第三方账号管理

建立客户敏感信息操作规范

1、业务人员对客户敏感信息操作的管理

1)涉及客户敏感信息的批量操作(批量查询、批量导入导出、批量为客户开通、取消或变更业务等),必须遵循相应的审批流程,通过业务管理部门审核;

2)业务人员因业务受理、投诉处理等情况下需要查询或获取客户信息时,应遵循如下要求:

a.涉及客户普通资料的查询,服务营销人员要获得客户的同意,并且按照正常的鉴权流程通过身份认证。鉴权一般采取有效证件或服务密码验证,并保留业务受理单据。

b.涉及客户通话详单、政企客户详细资料等客户敏感信息的查询,客户接触人员只能在响应客户请求时,并且客户自身按照正常流程通过身份鉴权的情况下,协助客户查询;禁止客户接触人员擅自进行查询;查询需保留业务受理单据。

c.除客户接触外的业务人员,因投诉处理、营销策划、经营分析等工作需要查询和提取客户敏感信息的,业务管理部门应建立明确的操作审批流程,定期进行严密的事后稽核与审查。

d.对敏感数据的批量操作,需要在指定地点、指定设备上进行操作,相关设备必须进行严格管控,对于该设备的打印、拷贝、邮件、文档共享、通讯工具等均需进行严格管控,防止数据泄露。

2、运维人员对客户敏感信息操作的管理

1)运维支撑部门需制定并维护业务系统层角色权限矩阵,明确生产运营、运行维护、开发测试等岗位对客户敏感信息的访问权限。

2)运维支撑人员因统计取数、批量业务操作对客户敏感信息查询、变更操作时必须有业务管理部门的相关公文,并经过部门领导审批。

3)运维支撑人员因应用优化、业务验证测试需要查询、修改客户敏感信息数据,只能利用测试号码进行各项测试,不得使用客户号码。

4)运维支撑人员因系统维护进行客户敏感信息的数据迁移(数据导入、导出、备份)必须填写操作申请,并经过部门主管审批。

5)严禁运维支撑人员向开发测试环境导出客户敏感信息,对需导出的信息必须经过申请审批,并进行模糊化处理。

6)对敏感数据的批量操作,需要在指定地点、指定设备上进行操作,相关设备必须进行严格管控,对于该设备的打印、拷贝、邮件、文档共享、通讯工具等均需进行严格管控,防止数据泄露。

3、数据抽取管理

1)各省、市公司数据需求部门由指定人员担任数据分析员,负责该部门的数据提取需求。

2)为确保数据安全,数据管理员不得将取数结果交付给非需求人员。非数据管理员不接收取数申请,也不得将提取数据直接发给相关需求人员。

3)数据分析员应对所提需求所涉及的客户信息进行审核并对需求内容作详细描述,数据管理员有责任进行复核并尽量减少客户敏感信息的提取。

4)数据提取部门不得将数据提取结果直接发给需求人员,数据提取结果必须为受控文档,并在指定平台上进行编辑和处理,不得存放在指定平台外的任何主机上。

5)受控文档是指采用加密、授权、数字水印、数字签名等技术手段对文档进行安全保护后的文档。

6)数据提取的检查稽核必须由专人负责,检查稽核人员应每月对日常数据提取情况进行检查稽核。

7)公检法等司法机关为满足司法取证等需要而查询客户信息时,应提交正式介绍信并进行留存,由相关主管领导批准后,方可提交业务支撑部门查询取数。

落实客户信息安全日常审查

1)安全检查主要分为操作稽核、合规性检查、日志审计、例行安全检查与风险评估。

2)信息安全管理责任部门针对安全检查过程中发现的突出问题,牵头协调各部门提出改进方案,并要求相关部门落实解决,并对改进措施落实情况进行跟踪检查。

3)操作稽核是对操作日志与工单等原始凭证进行比对,分析查找违规行为。

4) 合规性检查重点是依据本管理规范要求进行检查,检查相关要求的落地情况。

5)日志审计,对所有日志按关键功能、关键角色、关键帐号、关键参数,进行审计检查。及时发现异常时间登录、异常IP登录、异常的帐号增加和权限变更、客户信息增删改查、批量操作等敏感操作。

6)例行安全检查是指运维支撑部门对所负责维护的系统进行的常规性安全检查,包括漏洞扫描、基线检查等。

7)风险评估侧重通过白客渗透测试技术,发现深层次安全问题,如缓冲区溢出等编程漏洞、业务流程漏洞、通信协议中存在的漏洞和弱口令等等。风险评估以各系统的运维支撑部门自评估为主、信息安全管理责任部门抽查相结合的方式进行。

落实客户信息系统的技术管控

根据现有体系,构建了大数据安全管控平台,提升对大数据安全管控技术能力。实现对大数据的安全状况摸底、数据使用管控,数据治理稽核等三方面管理。

安全状况摸底:旨在提升大数据平台自我免疫能力,并对数据进行分级分类管理和权限管理。

数据使用管控:对数据生命周期的分级分类、风险评估、业务访问、运维访问、测试开发、数据外发、数据存储等层面,提供技术资产梳理、风险评估扫描、数据防护、-数据脱敏、数据水印、数据运维管控、数据加密、访问审计等方面技术融合。

数据治理稽核:通过审计、大数据分析、监测预警等技术,动态监测安全变化、事件变化、权限变化、策略变化,出现问题应急处置,构建大数据安全基线。

通过建立大数据安全管控平台,开展预防、发现、预警和协调处置等工作,维护电信运营商大数据安全,保障基础重要信息系统的安全运行。

总结

综上所述,以上数据安全治理实践,较为完备的覆盖了数据安全治理的各个领域,实现了数据的分级分类;制定了对不同组织和角色人员的数据安全职责和管理流程;明确了异常行为特征和重要风险行为的具体化管理要求;突破了传统防外的思维,实现了基于业务角度出发的业务侧、运维侧和第三方的综合管理,具有较高的可操作性。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/455840.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

CSS中的定位

定位 关于定位我们可以使用css的position属性来设置元素的定位类型,postion的设置项如下: relative 生成相对定位元素,元素所占据的文档流的位置不变,元素本身相对文档流的位置进行偏移absolute 生成绝对定位元素,元…

servlet中中文正常显示,mysql数据库手动插入中文正常显示,servlet向mysql中插入中文显示乱码...

作者:http://5563447.blog.51cto.com/5553447/1422627 问题是:就是POST请求提交表单数据给servlet,通过JDBC插入Mysql,出现中文乱码。 解决方式:在url后面加这句 ?useUnicodetrue&characterEncodingutf-8 我的项目: 结果&am…

rtp问题引领汇总

视频网络传输一定要用rtp吗? RTP/RTCP有一套很好的反馈机制,通过其可以估算网络状况,然后在编码端进行调整,如网络繁忙时适当的降低画面质量,减小码率等,主要是想通过RTP/RTCP协议实现QoS!同时…

Django的信号机制详解

Django的信号机制详解 Django提供一种信号机制。其实就是观察者模式,又叫发布-订阅(Publish/Subscribe) 。当发生一些动作的时候,发出信号,然后监听了这个信号的函数就会执行。 Django内置了一些信号,比如: django.…

垃圾回收算法_垃圾回收算法有哪些

垃圾检测通常通过建立一个根对象的集合以及建立一个从这些根对象开始能够触及的对象集合来实现。如果正在执行的程序可以访问到根对象和某个对象之间存在引用路径,这个对象就是可触及的。对于程序来说,根对象总是可以访问的。从这些根对象开始&#xff0…

不错的电子书下载网站

为什么80%的码农都做不了架构师?>>> www.jb51.net 电子书质量不错,虽然是扫描版的,但是都是高清的. vdisk.weibo.com 网盘, 内容很多! 转载于:https://my.oschina.net/GMT/blog/1188971

GeoHash核心原理解析

原文地址:http://www.cnblogs.com/LBSer/p/3310455.html geohash for php:附件下载geohash.tar.gz 引子 机机是个好动又好学的孩子,平日里就喜欢拿着手机地图点点按按来查询一些好玩的东西。某一天机机到北海公园游玩,肚肚饿了&am…

[转载]流行视频格式讲解

*. MPEG/.MPG/.DAT MPEG也是Motion Picture Experts Group 的缩写。这类格式包括了 MPEG-1, MPEG-2 和 MPEG-4在内的多种视频格式。MPEG-1相信是大家接触得最多的了,因为目前其正在被广泛地应用在 VCD 的制作和一些视频片段下载的网络应用上面,大部分的…

Ajax相关介绍

ajax是什么? AJAX 是与服务器交换数据并更新部分网页的艺术,在不重新加载整个页面的情况下。 AJAX 指异步 JavaScript 及 XML(Asynchronous JavaScript And XML)。 AJAX 是一种在 2005 年由 Google 推广开来的编程模式。 AJAX 不是一种新的…

解决Ubuntu中文件管理器死掉的情况

有时会遇到Ubuntu文件管理器死掉的情况,怎么点击都没有反应,这时只需在终端上运行 ps -A | grep nautilus, 查找文件管理器nautilus对应的pid,然后sudokillpid就可以关闭文件管理器进程,随便点击一个文件夹就可以重启文件管理器了…

element table 怎么知道点击的是第几行_el-data-table, 让CRUD更简单??

基于Vue2.x, element-ui 2.x,以及开源组件el-form-renderer封装了一个业务组件el-data-table,已在github开源,其目标是:makes restful api crud easily 特点:1. 使用axios自动发送请求2.自带新增/修改/删除逻辑(默认新…

Win10无法使用小娜搜索本地应用问题的解决方案

小娜介绍 win10的Cortana小娜是一个功能非常强大的语音和搜索助手,用户可以通过小娜助手搜索任意的文件和应用软件,不过有用户发现win10的小娜搜索不到已安装的本地软件,那么win10小娜助手无法搜索本地应用怎么解决呢?下面小编教大…

样本量

sklearn实战-乳腺癌细胞数据挖掘(博客主亲自录制视频教程) https://study.163.com/course/introduction.htm?courseId1005269003&utm_campaigncommission&utm_sourcecp-400000000398149&utm_mediumshare 根据power,effect size,a,决定样本量 # -*- cod…

【Python】 dict 以key名 去重运算

将日期相同的数据统计在一起 a_count [ {create_time: 2020-03-05, total_len: 1, count_invite: 1}, {create_time: 2020-03-11, total_len: 2, count_invite: 2}, {create_time: 2020-03-18, total_len: 2, count_invite: 2}, {create_time: 2020-03-06, total_len: 1, …

Vue相关知识总结

Vue简介 Vue是js的一个库,类似于JQuery Vue当前版本已经发展到2.X版本,并且现在市面上基本使用的都是2.X版本. 现在一些知名的互联网公司,例如滴滴,美团等,都在大量的使用vue 本段内容主要讲解Vue的基本知识和指令,了解vue的基本概念 注意: Vue 不支持 IE8 及以下版本 vue中…

宏块帧内预测的具体过程

对一个宏块进行帧内预测的具体过程如下: (1)对于8x8色度块就选择一种帧内色度预测模式建立相应的帧内预测块; (2)按遍历的方法分别计算4种Intra_16x16帧内预测模式的代价(Rdcost16x16&#xf…

qt获得 cpu 主频信息_高主频有什么用?我们玩了几款3A大作找到答案

[PConline 杂谈]对于热爱游戏的人来说,能在极致特效下流畅运行喜欢的游戏是一件幸事,因此作为影响游戏运算的CPU重要性不容小视。CPU如何判定?众所周知,核心数和主频算是判定一个CPU好坏的主要依据,但大多数CPU产品在高…

解决:关于Git无法提交 index.lock File exists的问题

问题 今天提交代码时,在一次提交,莫名其妙没成功后,再次用git commit -a命令时,出现以下错误,无论是用git还是TortoiseGit等其他客户端都会出现以下这个问题。。 错误日志 $ git commit -a fatal: Unable to create …

span居中

在父元素中加style"text-align:center"; 比如下面这样 <head></head><body><div style"width:300px;border:1px red solid;text-align:center;"><span style"width:100px;">测试</span></div></bo…

打造自己的 APP「冰与火百科」(一):分析定位

回想自己最开始学习 Android 的动力&#xff0c;其实很简单&#xff0c;就是想在手机上看到自己设计的 APP。但是在工作后&#xff0c;一直做的都是「别人」的 APP&#xff0c;偶尔还要做一些自己不太认可的设计和交互&#xff0c;从中获取到的成就感还不及第一次在手机上看到「…