信通院 移动安全蓝皮书 数据安全管理案例 学习笔记
数据安全生命周期主要包括 数据采集、数据传输、数据存储、数据共享、数据使用、数据销毁等阶段
数据存储
数据存储是指数据以某种格式记录在计算机内部或外部存储介质上。数据存储安全是数据中心安全和组织安全的一部分,同时数据完整性、保密性和可用性三个方面都有涉及。
为了能够合保证数据的安全性,要对数据存储介质的安全做好管理建设,相关要求如下:
明确组织机构对数据存储介质进行访问和使用的场景,建立存储介质安全管理规定/规范,明确存储介质和分类的定义,常见存储介质为磁带、磁盘、光盘、内存等,依据数据分类分级内容确定数据存储介质的要求。
明确存储介质的采购和和审批要求,建立可信任的渠道,保证存储介质的可靠。
对存储介质进行标记,如分类(可按照类型、材质等分类)、标签(对存储介质进行打标签处理,明确存储数据的内容、归属、大小、存储期限、保密程度等)。
明确介质的存放环境管理要求,主要包括存储的区域位置、防尘、防潮、防静电、防盗、分类标识、出入库登记等内容。
明确存储介质的使用规范,包括申请单、登记表等一系列访问控制要求及数据清理(永久删除、暂时删除等)和销毁报废(销毁方式、销毁记录)要求。
明确存储介质测试和维修规范,包括测试存储硬件的性能、可靠性和容量等以及如何返厂、操作人、时间和场地等内容。
明确常规和随机审查要求,定期对存储介质进行检查,以防信息丢失。
针对数据存储介质管控要做到符合安全要求,同时要对数据下载做好的严格的审核和日志记录,相关要求如下:
明确数据安全管理的岗位和人员,负责明确整体的数据存储系统安全管理要求,并推进相关要求的落地实施。
明确各类数据存储系统的账号管理、认证鉴权、权限管理、日志管理、加密管理、版本升级等安全要求。 对数据存储系统的日志记录进行采集和分析,识别账号和访问权限,监测数据使用规范性和合理性,同时可对发生的安全事件进行分析和溯源。
备份和恢复是为了提高信息系统的高可用行和灾难可恢复性,在数据库系统崩溃的时候,没有数据库备份就没法找到数据,保证数据可用性是数据安全的基础。相关要求如下:
建立数据备份与恢复的策略和管理制度,以保证数据服务的可靠性和可用性。
建立数据备份与恢复的操作规程,明确定义数据备份和恢复的范围、频率、工具、过程、日志记录规范、数据保存时长等。
明确数据备份和恢复的定期检查和更新工作要求,如数据副本的更新频率、保存期限等,确保数据副本或备份数据的有效性等。
建立备份数据的压缩、完整性校验和加密策略要求,确保备份数据存储空间的有效利用和安全访问。
识别组织适用的国内外法律法规要求,结合自身业务需求,确保按照法律规定和监管部门要求对相关数据予以记录和保存及满足备份保存周期要求。
建立统一的、自动化执行的备份和恢复工具。
对备份数据采取安全管理数据手段,包括但不限于对备份数据的访问控制、压缩或加密管理、完整性和可用性管理
数据使用
数据使用是指对数据进行操作、加工、分析等过程,此阶段对数据接触的最深入,所以安全风险也比较大。因此要降低该阶段的安全风险
从数据脱敏、数据分析安全等方面着手,相关要求如下:
应结合数据分类分级表对敏感数据进行识别和定义,明确需要脱敏的数据信息,一般包括个人信息数据、组织敏感信息、国家重要数据(非涉密信息)等。
应定义不同等级的敏感数据的脱敏处理场景、流程、方法和涉及的部门及人员分工,根据数据使用者的职责、权限及业务范围采取不同的数据脱敏方式,如对开发人员使用的数据,可采用扰乱技术在脱敏后保留数据属性特征等;对投屏展示用的数据,可以选择掩码方式隐藏敏感的信息。
应配置统一的数据脱敏工具,提供静态脱敏和基于场景需求的自定义脱敏规则的动态脱敏功能,满足不同业务需求。 应在数据脱敏的各阶段加入安全审计机制,对数据脱敏过程的操作行为进行记录,用于后续问题排查分析和安全事件取证溯源。
应明确哪些人员可以使用数据分析工具,开展哪些分析业务,限制数据分析工具的使用范围,根据最少够用原则,允许其获取完成业务所需的最少数据集。
应制定数据分析结果审核机制,采取必要的技术手段和管控措施,保证分析结果不泄露敏感信息。如规定数据分析的结果需经过二次评估后才允许导出,重点评估分析结果是否与使用者所申报的使用范围一致。
应明确规定数据分析者不能将分析结果数据用于授权范围外的其他业务。
应对分析算法的变更重新进行风险评估,以确保算法的变更不会导致敏感信息和个人隐私的泄露
使用用户数据做分析时,应该是消除具体的用户身份特,并且数据使用范围应该是已经在用户征求范围内,相关要求如下:
应建立组织的数据权限授权管理制度,明确授权审批的整个流程以及关键节点的人员职责。
基于国家相关的法律法规(《网络安全法》、《个人信息保护法》等)要求及组织数据分类分级标准和处置方式等,对数据使用进行严格规范管理。如,当使用个人信息时,必须征得个人信息主体的明示同意。
数据授权过程应遵循最少够用原则,即给与使用者完成业务处理活动的最小数据集。
应定期审核当前的数据资源访问权限是否合理。如,当人员岗位调动或者数据密级变更后是否对访问权限及时进行了调整,避免数据不正当使用。
应建立数据使用的违规处罚制度和惩罚措施,对个人信息、重要数据的违规使用等行为进行处罚,强调数据使用者安全责任。
应配置成熟的数据权限管理平台,限定使用者可访问的数据范围。
应配置成熟的数据使用日志记录或审计产品,对数据使用操作进行记录审计以备责任识别和追责
参考文档
信通院 移动互联网数据安全蓝皮报告-2021年
信通院 移动安全蓝皮书 数据安全管理案例 学习笔记相关推荐
- 权威认可 | 悬镜云鲨RASP荣获信通院“2021金融行业年度卓越创新案例”
日前,由中国信息通信研究院主办,中国内部审计协会.中国通信标准化协会.云计算标准和开源推进委员会指导的"2021 IT新治理领导力论坛"以线上直播的形式成功举办.会议期间,信通院发 ...
- 双项通过|百度点石通过信通院「可信数据流通平台」、「联邦学习」双项测评
随着时代的发展,信息技术逐渐与生产生活交汇融合,数据安全已成为事关国家安全与经济社会发展的重大问题.2021年12月20日, 由中国信息通信研究院(以下简称"信通院").中国通信标 ...
- 权威认可,腾讯云TDSQL通过信通院数据库服务商运维运营服务能力评估
2021年12月3日,中国信息通信研究院(以下简称"信通院")公布了"大数据服务能力评估"第三批的评估结果.腾讯云数据库凭借业内领先的服务能力和卓越的国产数据库 ...
- 国内首批!阿里云实时计算 Flink 版通过信通院大数据产品能力测试
简介:阿里云实时计算 Flink 版通过信通院分布式流处理平台测评,成为国内首批通过测试的厂商. 2021年6月24日,中国信息通信研究院(以下简称"中国信通院")在北京主办&qu ...
- 云原生数据湖以存储、计算、数据管理等能力通过信通院评测认证
又一项大能力-云原生数据湖获得信通院认证啦! 近日,中国信息通信研究院 (以下简称"信通院") 正式公布了第十四批"大数据产品能力评测"结果,腾讯云云原生数据湖 ...
- 国内首批!阿里云云原生数据湖产品通过信通院评测认证
近日,中国信息通信研究院 (以下简称"信通院") 正式公布了第十四批"大数据产品能力评测"结果,阿里云云原生数据湖产品,包括云原生开源大数据平台 E-MapRe ...
- 信通院郭雪:软件供应链安全标准体系建设与洞察
在第十届互联网安全大会(ISC 2022)上,悬镜安全出品并主办了软件供应链安全治理与运营论坛,特邀中国信息通信研究院(以下简称"信通院")云计算与大数据研究所开源和软件安全部副主 ...
- 百度人脸活体检测系统通过信通院“护脸计划”首批优秀级安全防护能力评估
11月2日,百度人脸活体检测系统(V2.0)以全项通过的优异成绩,顺利通过信通院"可信人脸应用守护计划"(以下简称"护脸计划")测试,获评为优秀级(四级)安全防 ...
- 深度报告 |《5G应用创新发展白皮书2020-10》- 信通院(45页附下载)
来源:中国信通院 为获更佳阅读体验,建议PC端浏览 下载完整PDF版本报告,请关注本公众号 后台回复"201019"下载 END ▎推荐阅读 5G发展的五大动力和四大挑战 5G车联 ...
最新文章
- 网站站内优化新方案,SEO运营人员值得一看
- python 线程死锁_python线程死锁与递归锁
- java代码中哪些不能犯的错误_Java程序员工作中千万不能犯的3个低级错误
- haroopad设置
- 三星计划在第二代GalaxyFold上采用屏下摄像头技术
- 国内外3D视觉优秀的实验室或者团队汇总
- mysql sslcipher_解决mysql数据库创建用户报错Field 'ssl_cipher' doesn't have a default value...
- Cannot resolve plugin org.apache.maven.plugins:xxxx
- java 正则表达式电话邮箱_Java编程:正则表达式判断邮箱及电话号码是否有效
- 用 Python 创建属于自己的网易云音乐
- 关于springboot 的默认数据源
- 数据库:关系模型基本介绍
- gamemaker学习笔记:拖拽
- 将指定的计数添加到该信号量中会导致其超过最大计数
- 电脑绘图软件有哪些可以简单使用的?
- HTML5网页设计阶梯教程(2)——插入图片与文字编辑
- Cannot add property xxx, object is not extensible
- 源代码安装paddlepaddle 到云计算机——感谢百度云和人工智能项目paddlepaddle
- 动漫头发基础画法,正面动漫头发画法
- echart 可视化设计器