資料分級分類實施指南運營商行業資料安全治理實踐

構建大資料安全保障組

一、大資料安全保障工作組職責1、負責制定大資料資訊保安策略，明確資訊保安目標。

2、組織相關平台負責人定期召開資訊保安會議。

3、負責客戶資料安全突發事件應急方案實施和大資料資訊系統日常安全執行管理的組織協調及決策工作。

4、研究決定客戶資料安全工作的重大事項。

二、大資料安全保障工作組責任

1、承擔資訊保安管理領導小組的具體工作，協助在大資料安全事務上的決策。

2、負責大資料安全管理體系的建立、實施和日常執行，起草資訊保安政策，確定資訊保安管理標準，督促各資訊保安執行單位對於資訊保安政策、措施的實施。

3、負責定期召開資訊保安管理工作會議，定期總結運**況以及安全事件記錄，並向資訊保安管理小組領導匯報。

4、負責制定大資料安全政策行為標準，並對違反資訊保安政策的人員和事件進行確認和處罰。

5、負責調查大資料安全事件，並維護、總結安全事件記錄報告。

1、明確規範所保護的資料

針對最重要的政企客戶資訊和個人客戶資訊。

2、明確規範的目的

為了加強客戶資訊保安管理，規範客戶資訊訪問的流程和使用者訪問許可權以及規範承載客戶資訊的環境，降低客戶資訊被違法使用和傳播的風險，特制定本規範。

3、明確規範所要解決的風險

客戶資訊保安面臨的風險和威脅主要包括：因為許可權管理與控制不當，導致客戶資訊被隨意處置；因為流程設計與管理不當，導致客戶資訊被不當獲取；因為安全管控措施落實不到位，導致客戶資訊被竊取等。

4、規範管理的物件

適用於客戶資訊的使用人員、運維人員、開發測試人員、管理人員和安全審計人員。

1、涉及客戶資訊的業務管理部職責

負責規範本部門訪問客戶資訊的業務人員崗位角色及其職責；

負責主管的業務系統的客戶敏感資訊保安保護，建立落實管理制度和實施細則；

負責業務層面客戶資訊保安的日常管理和審計工作；

負責受理客戶資訊洩密事件的投訴、上報；

制訂對業務合作夥伴的資訊洩露的懲罰措施及具體實施；

協助完成客戶資訊洩密現象的市場調查；

協助進行客戶資訊洩密事件的查處。

2、人力資源部職責

組織有關員工簽訂保密承諾書；

及時發布人員崗位變動、離職的資訊給帳號管理部門；

參與對客戶資訊洩密人員的查處。

全面摸底，進行資料資產梳理、敏感資料發現及梳理、資料資產分級、使用者及敏感資產許可權梳理。

資料分級分類的原因：只有對資料進行有效分類，才能夠避免一刀切的控制方式，在資料的安全管理上採用更加精細的措施，使資料在共享使用和安全使用之間獲得平衡。

資料分級分類的原則：

分級：按照資料的價值、內容的敏感程度、影響和分發範圍不同對資料進行敏感級別劃分。

資料分級分類內容：

角色1：運營系統支撐

1)崗位包含舉例：業務系統管理、系統運營支撐等細項崗位；

2)崗位說明：該類崗位角色主要指各省業務部門負責系統管理及支撐的崗位。

角色2：開發測試

1)崗位包含舉例：架構管理、系統設計、應用開發、應用測試、專案建設管理等；

2)崗位說明：該類崗位主要包括各省公司負責涉及客戶敏感資訊的系統的設計、研發、測試以及專案建設管理人員。

3)許可權要求：開發測試人員原則上不能接觸生產系統資料；開發測試人員僅具有測試系統的操作許可權，開發測試系統需要涉及到客戶敏感資料資訊的內容，原則上使用過期資料或是模糊化處理之後的資料。

1、業務賬號管理

2、運維賬號管理

1)系統運維支撐部門應指定專人(系統帳號管理員)負責運維帳號和許可權的管理工作，制定崗位角色和許可權的匹配規範，提供崗位角色和許可權對應的矩陣列表,確保職責不相容。

2)運維人員應向上一級主管提出帳號許可權申請，系統帳號管理員應按照許可權最小化原則分配運維人員的帳號許可權。

3)系統帳號管理人員要定期對系統帳號使用情況、許可權、口令等進行檢查審核，確認帳號、許可權的有效性，並對存在的問題進行整改。

3、第三方賬號管理

1、業務人員對客戶敏感資訊操作的管理

1)涉及客戶敏感資訊的批量操作(批量查詢、批量匯入匯出、批量為客戶開通、取消或變更業務等)，必須遵循相應的審批流程，通過業務管理部門審核；

2)業務人員因業務受理、投訴處理等情況下需要查詢或獲取客戶資訊時，應遵循如下要求：

a.涉及客戶普通資料的查詢，服務營銷人員要獲得客戶的同意，並且按照正常的鑑權流程通過身份認證。鑑權一般採取有效證件或服務密碼驗證，並保留業務受理單據。

b.涉及客戶通話詳單、政企客戶詳細資料等客戶敏感資訊的查詢，客戶接觸人員只能在響應客戶請求時，並且客戶自身按照正常流程通過身份鑑權的情況下，協助客戶查詢；禁止客戶接觸人員擅自進行查詢；查詢需保留業務受理單據。

c.除客戶接觸外的業務人員，因投訴處理、營銷策劃、經營分析等工作需要查詢和提取客戶敏感資訊的，業務管理部門應建立明確的操作審批流程，定期進行嚴密的事後審核與審查。

d.對敏感資料的批量操作，需要在指定地點、指定裝置上進行操作，相關裝置必須進行嚴格管控，對於該裝置的列印、拷貝、郵件、文件共享、通訊工具等均需進行嚴格管控，防止資料洩露。

2、運維人員對客戶敏感資訊操作的管理

1)運維支撐部門需制定並維護業務系統層角色許可權矩陣，明確生產運營、執行維護、開發測試等崗位對客戶敏感資訊的訪問許可權。

2)運維支撐人員因統計取數、批量業務操作對客戶敏感資訊查詢、變更操作時必須有業務管理部門的相關公文，並經過部門領導審批。

3)運維支撐人員因應用優化、業務驗證測試需要查詢、修改客戶敏感資訊資料，只能利用測試號碼進行各項測試，不得使用客戶號碼。

4)運維支撐人員因系統維護進行客戶敏感資訊的資料遷移(資料匯入、匯出、備份)必須填寫操作申請，並經過部門主管審批。

5)嚴禁運維支撐人員向開發測試環境匯出客戶敏感資訊，對需匯出的資訊必須經過申請審批，並進行模糊化處理。

6)對敏感資料的批量操作，需要在指定地點、指定裝置上進行操作，相關裝置必須進行嚴格管控，對於該裝置的列印、拷貝、郵件、文件共享、通訊工具等均需進行嚴格管控，防止資料洩露。

3、資料抽取管理

1)各省、市公司資料需求部門由指定人員擔任資料分析員，負責該部門的資料提取需求。

2)為確保資料安全，資料管理員不得將取數結果交付給非需求人員。非資料管理員不接收取數申請，也不得將提取資料直接發給相關需求人員。

3)資料分析員應對所提需求所涉及的客戶資訊進行審核並對需求內容作詳細描述，資料管理員有責任進行複核並儘量減少客戶敏感資訊的提取。

4)資料提取部門不得將資料提取結果直接發給需求人員，資料提取結果必須為受控文件，並在指定平台上進行編輯和處理，不得存放在指定平台外的任何主機上。

5)受控文件是指採用加密、授權、數字水印、數字簽名等技術手段對文件進行安全保護後的文件。

6)資料提取的檢查審核必須由專人負責，檢查審核人員應每月對日常資料提取情況進行檢查審核。

7)公檢法等司法機關為滿足司法取證等需要而查詢客戶資訊時，應提交正式介紹信並進行留存，由相關主管領導批准後，方可提交業務支撐部門查詢取數。

1)安全檢查主要分為操作審核、合規性檢查、日誌審計、例行安全檢查與風險評估。

2)資訊保安管理責任部門針對安全檢查過程中發現的突出問題，牽頭協調各部門提出改進方案，並要求相關部門落實解決，並對改進措施落實情況進行跟蹤檢查。

3)操作審核是對操作日誌與工單等原始憑證進行比對，分析查詢違規行為。

4) 合規性檢查重點是依據本管理規範要求進行檢查，檢查相關要求的落地情況。

5)日誌審計，對所有日誌按關鍵功能、關鍵角色、關鍵帳號、關鍵引數，進行審計檢查。及時發現異常時間登入、異常ip登入、異常的帳號增加和許可權變更、客戶資訊增刪改查、批量操作等敏感操作。

6)例行安全檢查是指運維支撐部門對所負責維護的系統進行的常規性安全檢查，包括漏洞掃瞄、基線檢查等。

7)風險評估側重通過白客滲透測試技術，發現深層次安全問題，如緩衝區溢位等程式設計漏洞、業務流程漏洞、通訊協議中存在的漏洞和弱口令等等。風險評估以各系統的運維支撐部門自評估為主、資訊保安管理責任部門抽查相結合的方式進行。

根據現有體系，構建了大資料安全管控平台，提公升對大資料安全管控技術能力。實現對大資料的安全狀況摸底、資料使用管控，資料治理審核等三方面管理。

安全狀況摸底：旨在提公升大資料平台自我免疫能力，並對資料進行分級分類管理和許可權管理。

資料使用管控：對資料生命週期的分級分類、風險評估、業務訪問、運維訪問、測試開發、資料外發、資料儲存等層面，提供技術資產梳理、風險評估掃瞄、資料防護、-資料脫敏、資料水印、資料運維管控、資料加密、訪問審計等方面技術融合。

資料治理審核：通過審計、大資料分析、監測預警等技術，動態監測安全變化、事件變化、許可權變化、策略變化，出現問題應急處置，構建大資料安全基線。

通過建立大資料安全管控平台，開展預防、發現、預警和協調處置等工作，維護電信運營商大資料安全，保障基礎重要資訊系統的安全執行。

綜上所述，以上資料安全治理實踐，較為完備的覆蓋了資料安全治理的各個領域，實現了資料的分級分類；制定了對不同組織和角色人員的資料安全職責和管理流程；明確了異常行為特徵和重要風險行為的具體化管理要求；突破了傳統防外的思維，實現了基於業務角度出發的業務側、運維側和第三方的綜合管理，具有較高的可操作性。

資料分級分類實施指南運營商行業資料安全治理實踐

資料庫無限分級（分類表）

資料庫菜鳥學習之旅 SQL無限分級分類表

資料分類分級參考

資料分級分類實施指南 運營商行業資料安全治理實踐

資料庫無限分級（分類表）

資料庫菜鳥學習之旅 SQL無限分級分類表

資料分類分級參考

相關推薦

資料分級分類實施指南運營商行業資料安全治理實踐