久久久噜噜噜久久中文字幕色伊伊,av免费高清网址在线播放,黑逼白逼一样操,在线岛国片免费无码AV

建立組織

構(gòu)建大數(shù)據(jù)安全保障組

一、大數(shù)據(jù)安全保障工作組職責(zé) 

1、負(fù)責(zé)制定大數(shù)據(jù)信息安全策略，明確信息安全目標(biāo)。 

2、組織相關(guān)平臺(tái)負(fù)責(zé)人定期召開信息安全會(huì)議。 

3、負(fù)責(zé)客戶數(shù)據(jù)安全突發(fā)事件應(yīng)急方案實(shí)施和大數(shù)據(jù)信息系統(tǒng)日常安全運(yùn)行管理的組織協(xié)調(diào)及決策工作。 

4、研究決定客戶數(shù)據(jù)安全工作的重大事項(xiàng)。 

二、大數(shù)據(jù)安全保障工作組責(zé)任 

1、承擔(dān)信息安全管理領(lǐng)導(dǎo)小組的具體工作，協(xié)助在大數(shù)據(jù)安全事務(wù)上的決策。

2、負(fù)責(zé)大數(shù)據(jù)安全管理體系的建立、實(shí)施和日常運(yùn)行，起草信息安全政策，確定信息安全管理標(biāo)準(zhǔn)，督促各信息安全執(zhí)行單位對(duì)于信息安全政策、措施的實(shí)施。 

3、負(fù)責(zé)定期召開信息安全管理工作會(huì)議，定期總結(jié)運(yùn)行情況以及安全事件記錄，并向信息安全管理小組領(lǐng)導(dǎo)匯報(bào)。 

4、負(fù)責(zé)制定大數(shù)據(jù)安全政策行為標(biāo)準(zhǔn)，并對(duì)違反信息安全政策的人員和事件進(jìn)行確認(rèn)和處罰。

5、負(fù)責(zé)調(diào)查大數(shù)據(jù)安全事件，并維護(hù)、總結(jié)安全事件記錄報(bào)告。

建立總則

1、明確規(guī)范所保護(hù)的數(shù)據(jù)

針對(duì)最重要的政企客戶信息和個(gè)人客戶信息。

2、明確規(guī)范的目的

為了加強(qiáng)客戶信息安全管理，規(guī)范客戶信息訪問的流程和用戶訪問權(quán)限以及規(guī)范承載客戶信息的環(huán)境，降低客戶信息被違法使用和傳播的風(fēng)險(xiǎn)，特制定本規(guī)范。

3、明確規(guī)范所要解決的風(fēng)險(xiǎn)

客戶信息安全面臨的風(fēng)險(xiǎn)和威脅主要包括：因?yàn)闄?quán)限管理與控制不當(dāng)，導(dǎo)致客戶信息被隨意處置；因?yàn)榱鞒淘O(shè)計(jì)與管理不當(dāng)，導(dǎo)致客戶信息被不當(dāng)獲取；因?yàn)榘踩芸卮胧┞鋵?shí)不到位，導(dǎo)致客戶信息被竊取等。

4、規(guī)范管理的對(duì)象

適用于客戶信息的使用人員、運(yùn)維人員、開發(fā)測(cè)試人員、管理人員和安全審計(jì)人員。

梳理職責(zé)

1、涉及客戶信息的業(yè)務(wù)管理部職責(zé)

負(fù)責(zé)規(guī)范本部門訪問客戶信息的業(yè)務(wù)人員崗位角色及其職責(zé)；

負(fù)責(zé)主管的業(yè)務(wù)系統(tǒng)的客戶敏感信息安全保護(hù)，建立落實(shí)管理制度和實(shí)施細(xì)則；

負(fù)責(zé)業(yè)務(wù)層面客戶信息安全的日常管理和審計(jì)工作；

負(fù)責(zé)受理客戶信息泄密事件的投訴、上報(bào)；

制訂對(duì)業(yè)務(wù)合作伙伴的信息泄露的懲罰措施及具體實(shí)施；

協(xié)助完成客戶信息泄密現(xiàn)象的市場(chǎng)調(diào)查；

協(xié)助進(jìn)行客戶信息泄密事件的查處。

2、人力資源部職責(zé)

組織有關(guān)員工簽訂保密承諾書；

及時(shí)發(fā)布人員崗位變動(dòng)、離職的信息給帳號(hào)管理部門；

參與對(duì)客戶信息泄密人員的查處。

數(shù)據(jù)分類分級(jí)

全面摸底，進(jìn)行數(shù)據(jù)資產(chǎn)梳理、敏感數(shù)據(jù)發(fā)現(xiàn)及梳理、數(shù)據(jù)資產(chǎn)分級(jí)、用戶及敏感資產(chǎn)權(quán)限梳理。

數(shù)據(jù)分級(jí)分類的原因：只有對(duì)數(shù)據(jù)進(jìn)行有效分類，才能夠避免一刀切的控制方式，在數(shù)據(jù)的安全管理上采用更加精細(xì)的措施，使數(shù)據(jù)在共享使用和安全使用之間獲得平衡。

數(shù)據(jù)分級(jí)分類的原則：

分類：依據(jù)數(shù)據(jù)的來源、內(nèi)容和用途對(duì)數(shù)據(jù)進(jìn)行分類；

分級(jí)：按照數(shù)據(jù)的價(jià)值、內(nèi)容的敏感程度、影響和分發(fā)范圍不同對(duì)數(shù)據(jù)進(jìn)行敏感級(jí)別劃分。

數(shù)據(jù)分級(jí)分類內(nèi)容：

分類分級(jí)示意圖

定義崗位角色與權(quán)限

角色1：運(yùn)營(yíng)系統(tǒng)支撐

1）崗位包含舉例：業(yè)務(wù)系統(tǒng)管理、系統(tǒng)運(yùn)營(yíng)支撐等細(xì)項(xiàng)崗位；

2）崗位說明：該類崗位角色主要指各省業(yè)務(wù)部門負(fù)責(zé)系統(tǒng)管理及支撐的崗位。

3）權(quán)限要求：該角色人員負(fù)責(zé)部門系統(tǒng)帳號(hào)、口令的管理，配合業(yè)支部門進(jìn)行相應(yīng)系統(tǒng)的開發(fā)、運(yùn)營(yíng)和維護(hù)，可以查看相應(yīng)權(quán)限所涉及的客戶敏感信息；僅具有查詢權(quán)限，不應(yīng)授予增加、刪除、修改、批量導(dǎo)入與導(dǎo)出、批量開通與取消、批量下載等針對(duì)客戶敏感信息的操作權(quán)限。

角色2：開發(fā)測(cè)試

1）崗位包含舉例：架構(gòu)管理、系統(tǒng)設(shè)計(jì)、應(yīng)用開發(fā)、應(yīng)用測(cè)試、項(xiàng)目建設(shè)管理等；

2）崗位說明：該類崗位主要包括各省公司負(fù)責(zé)涉及客戶敏感信息的系統(tǒng)的設(shè)計(jì)、研發(fā)、測(cè)試以及項(xiàng)目建設(shè)管理人員。

3）權(quán)限要求：開發(fā)測(cè)試人員原則上不能接觸生產(chǎn)系統(tǒng)數(shù)據(jù)；開發(fā)測(cè)試人員僅具有測(cè)試系統(tǒng)的操作權(quán)限，開發(fā)測(cè)試系統(tǒng)需要涉及到客戶敏感數(shù)據(jù)信息的內(nèi)容，原則上使用過期數(shù)據(jù)或是模糊化處理之后的數(shù)據(jù)。

建立賬號(hào)與授權(quán)管理機(jī)制

1、業(yè)務(wù)賬號(hào)管理

2、運(yùn)維賬號(hào)管理

1）系統(tǒng)運(yùn)維支撐部門應(yīng)指定專人（系統(tǒng)帳號(hào)管理員）負(fù)責(zé)運(yùn)維帳號(hào)和權(quán)限的管理工作，制定崗位角色和權(quán)限的匹配規(guī)范，提供崗位角色和權(quán)限對(duì)應(yīng)的矩陣列表,確保職責(zé)不相容。

2）運(yùn)維人員應(yīng)向上一級(jí)主管提出帳號(hào)權(quán)限申請(qǐng)，系統(tǒng)帳號(hào)管理員應(yīng)按照權(quán)限最小化原則分配運(yùn)維人員的帳號(hào)權(quán)限。

3）系統(tǒng)帳號(hào)管理人員要定期對(duì)系統(tǒng)帳號(hào)使用情況、權(quán)限、口令等進(jìn)行檢查稽核，確認(rèn)帳號(hào)、權(quán)限的有效性，并對(duì)存在的問題進(jìn)行整改。

3、第三方賬號(hào)管理

建立客戶敏感信息操作規(guī)范

1、業(yè)務(wù)人員對(duì)客戶敏感信息操作的管理

1）涉及客戶敏感信息的批量操作（批量查詢、批量導(dǎo)入導(dǎo)出、批量為客戶開通、取消或變更業(yè)務(wù)等），必須遵循相應(yīng)的審批流程，通過業(yè)務(wù)管理部門審核；

2）業(yè)務(wù)人員因業(yè)務(wù)受理、投訴處理等情況下需要查詢或獲取客戶信息時(shí)，應(yīng)遵循如下要求：

a.涉及客戶普通資料的查詢，服務(wù)營(yíng)銷人員要獲得客戶的同意，并且按照正常的鑒權(quán)流程通過身份認(rèn)證。鑒權(quán)一般采取有效證件或服務(wù)密碼驗(yàn)證，并保留業(yè)務(wù)受理單據(jù)。

b.涉及客戶通話詳單、政企客戶詳細(xì)資料等客戶敏感信息的查詢，客戶接觸人員只能在響應(yīng)客戶請(qǐng)求時(shí)，并且客戶自身按照正常流程通過身份鑒權(quán)的情況下，協(xié)助客戶查詢；禁止客戶接觸人員擅自進(jìn)行查詢；查詢需保留業(yè)務(wù)受理單據(jù)。

c.除客戶接觸外的業(yè)務(wù)人員，因投訴處理、營(yíng)銷策劃、經(jīng)營(yíng)分析等工作需要查詢和提取客戶敏感信息的，業(yè)務(wù)管理部門應(yīng)建立明確的操作審批流程，定期進(jìn)行嚴(yán)密的事后稽核與審查。

d.對(duì)敏感數(shù)據(jù)的批量操作，需要在指定地點(diǎn)、指定設(shè)備上進(jìn)行操作，相關(guān)設(shè)備必須進(jìn)行嚴(yán)格管控，對(duì)于該設(shè)備的打印、拷貝、郵件、文檔共享、通訊工具等均需進(jìn)行嚴(yán)格管控，防止數(shù)據(jù)泄露。

2、運(yùn)維人員對(duì)客戶敏感信息操作的管理

1）運(yùn)維支撐部門需制定并維護(hù)業(yè)務(wù)系統(tǒng)層角色權(quán)限矩陣，明確生產(chǎn)運(yùn)營(yíng)、運(yùn)行維護(hù)、開發(fā)測(cè)試等崗位對(duì)客戶敏感信息的訪問權(quán)限。

2）運(yùn)維支撐人員因統(tǒng)計(jì)取數(shù)、批量業(yè)務(wù)操作對(duì)客戶敏感信息查詢、變更操作時(shí)必須有業(yè)務(wù)管理部門的相關(guān)公文，并經(jīng)過部門領(lǐng)導(dǎo)審批。

3）運(yùn)維支撐人員因應(yīng)用優(yōu)化、業(yè)務(wù)驗(yàn)證測(cè)試需要查詢、修改客戶敏感信息數(shù)據(jù)，只能利用測(cè)試號(hào)碼進(jìn)行各項(xiàng)測(cè)試，不得使用客戶號(hào)碼。

4）運(yùn)維支撐人員因系統(tǒng)維護(hù)進(jìn)行客戶敏感信息的數(shù)據(jù)遷移（數(shù)據(jù)導(dǎo)入、導(dǎo)出、備份）必須填寫操作申請(qǐng)，并經(jīng)過部門主管審批。

5）嚴(yán)禁運(yùn)維支撐人員向開發(fā)測(cè)試環(huán)境導(dǎo)出客戶敏感信息，對(duì)需導(dǎo)出的信息必須經(jīng)過申請(qǐng)審批，并進(jìn)行模糊化處理。

6）對(duì)敏感數(shù)據(jù)的批量操作，需要在指定地點(diǎn)、指定設(shè)備上進(jìn)行操作，相關(guān)設(shè)備必須進(jìn)行嚴(yán)格管控，對(duì)于該設(shè)備的打印、拷貝、郵件、文檔共享、通訊工具等均需進(jìn)行嚴(yán)格管控，防止數(shù)據(jù)泄露。

3、數(shù)據(jù)抽取管理

1）各省、市公司數(shù)據(jù)需求部門由指定人員擔(dān)任數(shù)據(jù)分析員，負(fù)責(zé)該部門的數(shù)據(jù)提取需求。

2）為確保數(shù)據(jù)安全，數(shù)據(jù)管理員不得將取數(shù)結(jié)果交付給非需求人員。非數(shù)據(jù)管理員不接收取數(shù)申請(qǐng)，也不得將提取數(shù)據(jù)直接發(fā)給相關(guān)需求人員。

3）數(shù)據(jù)分析員應(yīng)對(duì)所提需求所涉及的客戶信息進(jìn)行審核并對(duì)需求內(nèi)容作詳細(xì)描述，數(shù)據(jù)管理員有責(zé)任進(jìn)行復(fù)核并盡量減少客戶敏感信息的提取。

4）數(shù)據(jù)提取部門不得將數(shù)據(jù)提取結(jié)果直接發(fā)給需求人員，數(shù)據(jù)提取結(jié)果必須為受控文檔，并在指定平臺(tái)上進(jìn)行編輯和處理，不得存放在指定平臺(tái)外的任何主機(jī)上。

5）受控文檔是指采用加密、授權(quán)、數(shù)字水印、數(shù)字簽名等技術(shù)手段對(duì)文檔進(jìn)行安全保護(hù)后的文檔。

6）數(shù)據(jù)提取的檢查稽核必須由專人負(fù)責(zé)，檢查稽核人員應(yīng)每月對(duì)日常數(shù)據(jù)提取情況進(jìn)行檢查稽核。

7）公檢法等司法機(jī)關(guān)為滿足司法取證等需要而查詢客戶信息時(shí)，應(yīng)提交正式介紹信并進(jìn)行留存，由相關(guān)主管領(lǐng)導(dǎo)批準(zhǔn)后，方可提交業(yè)務(wù)支撐部門查詢?nèi)?shù)。 

落實(shí)客戶信息安全日常審查

1）安全檢查主要分為操作稽核、合規(guī)性檢查、日志審計(jì)、例行安全檢查與風(fēng)險(xiǎn)評(píng)估。

2）信息安全管理責(zé)任部門針對(duì)安全檢查過程中發(fā)現(xiàn)的突出問題，牽頭協(xié)調(diào)各部門提出改進(jìn)方案，并要求相關(guān)部門落實(shí)解決，并對(duì)改進(jìn)措施落實(shí)情況進(jìn)行跟蹤檢查。

3）操作稽核是對(duì)操作日志與工單等原始憑證進(jìn)行比對(duì)，分析查找違規(guī)行為。

4） 合規(guī)性檢查重點(diǎn)是依據(jù)本管理規(guī)范要求進(jìn)行檢查，檢查相關(guān)要求的落地情況。

5）日志審計(jì)，對(duì)所有日志按關(guān)鍵功能、關(guān)鍵角色、關(guān)鍵帳號(hào)、關(guān)鍵參數(shù)，進(jìn)行審計(jì)檢查。及時(shí)發(fā)現(xiàn)異常時(shí)間登錄、異常IP登錄、異常的帳號(hào)增加和權(quán)限變更、客戶信息增刪改查、批量操作等敏感操作。

6）例行安全檢查是指運(yùn)維支撐部門對(duì)所負(fù)責(zé)維護(hù)的系統(tǒng)進(jìn)行的常規(guī)性安全檢查，包括漏洞掃描、基線檢查等。

7）風(fēng)險(xiǎn)評(píng)估側(cè)重通過白客滲透測(cè)試技術(shù)，發(fā)現(xiàn)深層次安全問題，如緩沖區(qū)溢出等編程漏洞、業(yè)務(wù)流程漏洞、通信協(xié)議中存在的漏洞和弱口令等等。風(fēng)險(xiǎn)評(píng)估以各系統(tǒng)的運(yùn)維支撐部門自評(píng)估為主、信息安全管理責(zé)任部門抽查相結(jié)合的方式進(jìn)行。

落實(shí)客戶信息系統(tǒng)的技術(shù)管控

根據(jù)現(xiàn)有體系，構(gòu)建了大數(shù)據(jù)安全管控平臺(tái)，提升對(duì)大數(shù)據(jù)安全管控技術(shù)能力。實(shí)現(xiàn)對(duì)大數(shù)據(jù)的安全狀況摸底、數(shù)據(jù)使用管控，數(shù)據(jù)治理稽核等三方面管理。

安全狀況摸底：旨在提升大數(shù)據(jù)平臺(tái)自我免疫能力，并對(duì)數(shù)據(jù)進(jìn)行分級(jí)分類管理和權(quán)限管理。

數(shù)據(jù)使用管控：對(duì)數(shù)據(jù)生命周期的分級(jí)分類、風(fēng)險(xiǎn)評(píng)估、業(yè)務(wù)訪問、運(yùn)維訪問、測(cè)試開發(fā)、數(shù)據(jù)外發(fā)、數(shù)據(jù)存儲(chǔ)等層面，提供技術(shù)資產(chǎn)梳理、風(fēng)險(xiǎn)評(píng)估掃描、數(shù)據(jù)防護(hù)、-數(shù)據(jù)脫敏、數(shù)據(jù)水印、數(shù)據(jù)運(yùn)維管控、數(shù)據(jù)加密、訪問審計(jì)等方面技術(shù)融合。

數(shù)據(jù)治理稽核：通過審計(jì)、大數(shù)據(jù)分析、監(jiān)測(cè)預(yù)警等技術(shù)，動(dòng)態(tài)監(jiān)測(cè)安全變化、事件變化、權(quán)限變化、策略變化，出現(xiàn)問題應(yīng)急處置，構(gòu)建大數(shù)據(jù)安全基線。

通過建立大數(shù)據(jù)安全管控平臺(tái)，開展預(yù)防、發(fā)現(xiàn)、預(yù)警和協(xié)調(diào)處置等工作，維護(hù)電信運(yùn)營(yíng)商大數(shù)據(jù)安全，保障基礎(chǔ)重要信息系統(tǒng)的安全運(yùn)行。

總結(jié)

綜上所述，以上數(shù)據(jù)安全治理實(shí)踐，較為完備的覆蓋了數(shù)據(jù)安全治理的各個(gè)領(lǐng)域，實(shí)現(xiàn)了數(shù)據(jù)的分級(jí)分類；制定了對(duì)不同組織和角色人員的數(shù)據(jù)安全職責(zé)和管理流程；明確了異常行為特征和重要風(fēng)險(xiǎn)行為的具體化管理要求；突破了傳統(tǒng)防外的思維，實(shí)現(xiàn)了基于業(yè)務(wù)角度出發(fā)的業(yè)務(wù)側(cè)、運(yùn)維側(cè)和第三方的綜合管理，具有較高的可操作性。