数据安全落地方案举例让你的数据安全之路少走弯路

怎样做数据安全?看看行业最佳实践，为了保护公司隐私，将对应企业的名称进行了修订，简称某平台A、B和C

某在线平台A在线

某在线平台A合作业务处理中涉及到患者身份、病情、处方等个人敏感数据，要对开放平台开展数据安全管理。

合作方安全管理制度

制定《合作方安全管理制度》明确在合作业务开展过程中业务部门、法务部、安全部的职责。业务部门负责接入合作方生命周期管理，包含合作方审核、开通、登记等。法务部通过商务合同和安全保密协议，明确合作方数据安全责任、义务落实要求。安全部负责接入合作方技术对接过程安全评估、安全测试、安全验收及后续安全监控工作。

合作方信息管理

资产管理平台创建合作方信息管理，业务部门更新维护合作方清单信息，安全部门定期审计。包含：合作方、合作业务、IP 地址或域名、负责人等信息）。

开放平台安全评估

制定《OPEN API 接口安全设计规范》，包含：机密性、完整性、可用性及身份鉴别等内容。开放平台 API 接口的方案设计、开发过程、功能变更，都要开展安全评估。按照安全设计规范实现安全功能和功能的安全性。面向服务合作方提供完整规范的 API 技术对接文档，要求合作方安全规范接入服务。以下为《OPEN API 接口安全设计规范》

开放平台安全测试

开放平台 API 接口开发上线前进行安全验证测试。参考接口安全设计规范及《OWASP API 安全 Top 10》编写安全测试用例。包含：身份验证、水平越权、数据加密措施等。OPEN API 接口安全测试推荐使用 POSTMAN 工具进行测试。

数据安全监控

对开放平台 API 接口监控并记录日志，通过流量分析系统和ELK 系统对接口传输日志进行记录和统计分析，及时发现数据接口异常流量、用户异常操作行为、异常调用等行为。对敏感数据进行传输情况统计分析，形成敏感数据的外部数据地图

某平台B数据安全最佳实践

某平台B公司高度重视数据安全工作，不断打造更完善的信息安全管理体系，已经通过了信息系统等级保护三级认证，以及ISO27001 体系认证，首批通过信通院测评并被授予“卓信大数据”证书，获得过国家计算机病毒应急处理中心颁发的安全与检测最高等级认证公司成立了技术委员会，作为公司的数据安全规划指导组织，统一协调管理数据安全工作，技术委员会下设数据安全管理小组来推动执行各项数据安全活动，安全团队负责数据安全规范在日常工作中落实执行。
公司建立了数据分类分级管理、数据访问权限管理、数据安全合规性评估、数据全生命周期管理、数据合作方管理、数据安全应急响应等机制。基于数据的类别属性、使用目的等，明确了数据分类策略。在数据分类的基础上，对每一类数据，结合数据的重要及敏感程度以及一旦泄露、丢失、破坏造成的危害程度等，制定了相应的数据分级策略。针对不同级别的数据，围绕数据全生命周期各环节规划了相应的安全保障措施。
公司具有明确的数据处理系统的用户账号分配、开通、使用、变更、注销等安全保障要求，及账号操作审批要求和操作流程，按照业务需求、安全策略及最小授权原则等，合理配置系统访问权限，避免非授权用户或业务访问数据。严格控制超级管理员权限账号数量。对数据安全管理、数据使用、安全审计等人员角色进行权限分离设置。
对数据授权访问、批量复制、开放共享、销毁、数据接口调用等重点环节实施日志留存管理，日志记录至少包括执行时间、操作账号、处理方式、授权情况、IP 地址、登录信息等，能够对识别和追溯数据操作和访问行为提供支撑。定期对日志进行了备份，防止数据安全事件导致的日志被删除。
对数据合作方安全管理，明确合作方数据安全监督管理部门和执行配合部门，明确公司对外合作中数据安全保护方式和合作方责任落实要求。并且在合作协议中明确了具体条款，建立合作方台账管理机制，更好的做好合作方的管理。
具有完善数据安全用户举报与受理机制，建立电子邮件、电话、传真、在线客服、互联网网站投诉受理、在线表格等举报投诉处理渠道。此外公司在数据防护层面也有完善的机制，公司上线了基于NTA 全流量分析技术，镜像核心交换机流量，对各种协议层面进行安全分析、监控及防范。公司上线了外网威胁监控系统，对公司主域名及子域名的解析的变动、公网 IP 安全监控、端口安全、钓鱼监控、黑产暗网监控、IS 安全监控、GITHUB 信息泄露等进行全面感知和监控告警;接入了云 WAF 和网关做联动，进行了联防联控，防止 SQL 注入，XSS、远程命令执行等 WEB 层面入侵；二次开发了某平台B漏洞管理系统，对漏洞全生命周期进行综合管理，对漏洞分类分级，漏洞的产生，处理，修复，复测等全链路进行闭环，对常见的漏洞的产生如何去避免进行安全技术普及和安全加固。这些技术措施和管理措施显著提高了数据安全能力，能够有效保护公司数据安全

某平台C数据治理最佳实践案例

某平台C在数据安全治理上面临着诸多挑战：

用户信息基数较大：围绕视频媒资衍生了游戏、主播、阅读等诸多业务线，日活用户达数亿人，随着移动端、TV 端、车辆网等智能设备的普及，进一步扩大了用户个人信息收集的边界；
安全防护边界扩大：多种类型的网络系统以及多个数据中心的搭建和维护，海量数据的传输和存储为公司在数据安全管理方面带来了新的挑战；3. 新技术、新应用引发新风险：某平台C一直关注科技创新，随着大数据、人工智能等技术的广泛应用，不可避免的为数据的处理和使用带来了更多的合规和安全风险；4. 数据类型多样性保护：除用户数据、公司数据和传统的业务数据之外，音视频等媒资数据作为某平台C核心数据资产，在数字版权保护方面具有特殊需求，对防盗版、防盗链、防泄漏、防篡改、可追溯等技术能力要求苛刻。
某平台C一直都极为重视数据安全治理工作，经过几年的努力，依据法律法规规范、业务自身需求和行业最佳实践，构建了一套完善的数据安全防护体系，下面从工作过程中一些好的实践和成果抽取部分做简要介绍：

组织结构升级——隐私与信息安全管理委员会

2020 年，某平台C全面升级隐私和信息安全管理体系，将信息安全委员会及信息安全管理工作组升级为隐私与信息安全委员会以及隐私与信息安全管理工作组，重新规划制定了组织的职责，重点纳入了隐私安全的相关要求。某平台C搭建了跨部门、跨业务、跨系统的数据安全治理团队，安全、法律、内控、公共事务部、职业道德部、大数据中台、战略规划部、各事业部业务线等部门紧密协作，推动数据安全治理工作国内外第三方权威认证

2019 年,某平台C通过了 ISO/IEC 27001 29151 认证，2020 年通过了 PCI DSS 认证和 ISO/IEC 27701 认证，成为国内视频行业中首批获得此类认证的平台。一系列国际安全认证的获得，体现了某平台C高层非常重视数据安全体系建设，以最高标准实施各项安全策略和法律法规、政策标准要求，并在实践数据全生命周期安全防护方面，达到国际标准水平。

制定完善的管理制度体系

某平台C建立了完善的数据安全管理制度，从安全策略到评估文档，从数据分类分级标准到数据泄漏应急管理规范，全面覆盖数据安全治理各项工作。结合公司实际情况，公司紧紧围绕《某平台C隐私红线》，详细规范从数据收集、存储、访问、处理、共享到删除的全生命周期的数据安全管理要求，配套的行动指南为业务提供的具体指导，结合安全合规管理、业务/产品/项目隐私风险评审、数据安全专项培训等多维度的数据安全保护机制，积极推动数据安全制度落地。

全面的技术能力支撑

某平台C从事前管控、事中监控和评估、事后应急响应的角度，自研了合规风险管理平台（GRC）、移动安全分析平台（MSEC)、绿盾数据异常风险识别与管控平台等工具，囊括了数据分类分级、敏感文件识别和流转监控、数据库安全审计、大数据平台安全加固、敏感运营后台安全审计、合规项目安全管理、第三方安全管理等内容，采用“安全运营+风险管理”相结合的模式，在数据安全的重要环节投入更多资源进行加固。通过提升自动化能力，降低人力成本，在事前、事中、事后各个环节支撑公司数据保护治理能力。以用户

个人数据保护为例：

事前：通过产品 SDL 服务及 MSEC 平台，对第三方 SDK 和 APP中敏感权限调用、超前采集、高频采集、安全漏洞等情况进行代码分析和审核，通过 GRC 对第三方 SDK、APP 应用、对外数据合作实施数据安全风险评估，最后通过 APP 安全加固服务，保障 APP在“事前”上线时处于一个安全、合规的状态；事中：通过 GRC 项目管理跟踪 APP 合规态势，实施“隐私红线”季度全业务线 APP 隐私合规巡检，通过绿盾监控 APP 用户个人数据在公司内各系统间及与外部第三方系统间的安全、合规流动，保障用户个人信息在“事中”的合法合规使用；
事后：通过“安全吹哨人”机制和某平台C应急响应团队，第一时间了解到舆情动态、安全合规需求和数据安全事件，及时组织力量开展“事后”的应急响应。

创新合规管理和应急机制

某平台C建立了“安全吹哨人”机制，持续关注监管部门和社会事件中的隐私合规要求、合规事件，提升对隐私合规事件的反应敏感度和主动程度，建立预警信息的征集与评级流程，变“被动合规”为“主动合规”，减少或减轻舆情影响，并为业务争取更多合理的整改空间。
急响应团队，不定期组织外网渗透测试，及时发现和修复暴漏的安全漏洞和数据泄露风险问题；与行业内白帽子、威胁情报机构建立紧密的合作关系，及时有效妥善地处置各类安全漏洞和突发事件，联合相关部门进行安全事件溯源和打击。

参与标准制定、试点、加强交流与分享

进入数字经济时代，在国家安全和个人信息保护的大背景下，某平台C将业务发展与数据安全保护看成“多赢游戏”，在遵守国家法律法规对隐私合规的要求的同时，将数据安全保护作为新的增长机遇，积极寻求产品和技术创新，让“隐私和安全”成为产品亮点，赢得用户的信赖。某平台C积极参与国家和行业数据安全保护标准的制定、试点、推广等工作，如在监管部门指导下牵头制定国家标准《信息安全技术网络音视频数据安全指南》，参与《APP 收集个人信息基本规范》等规范的编写等，并在各类数据安全与个人信息保护会议中分享某平台C的实践经验，为共同提升国家数据安全治理和行业数据安全保护贡献力量。保护数据安全是企业生存的生命线，需要管理层的高度重视、完善的制度流程保障、不断优化的技术能力和全体人员的共同努力。某平台C通过科学高效的组织、管理和技术措施，构建了完善的数据安全管理体系，采用“安全运营+风险管理”相结合的模式，对数据全生命周期实施有效的安全管理。
承担应尽的网络安全义务，用心守护用户信任，是我们的重要使命，某平台C人通过创新不断的实践着这一切

数据安全相关资料
信通院数据治理研究报告-2020年----培育数据要素市场路线图
信通院数据资产化：数据资产确认与会计计量研究报告-2020年
信通院数据资产管理实践白皮书