06-数据安全合规的思与行.pdf

1、数据安全合规的思与行国家法律法规基础01企业内部规章制度02合规稽查态势分析03数据加固应用构建04总结0501国家法律法规基础三法一条例保障网络安全，维护网络空间主权和国家安全、社会公共利益。保护公民、法人和其他组织合法权益。规范数据处理活动，保障数据安全，促进数据开发利用，维护国家主权、安全和发展利益。保护个人、组织的合法权益。保护个人信息权益，规范个人信息处理活动，促进个人信息合理利用。网络数据安全管理条例规范网络数据处理活动，保障网络数据安全，促进网络数据依法合理有效利用。02企业内部规章制度企业内部数据安全管理制度一级文件:信息安全管理制度-安全管理体系总则。明确信息安全部门职能范围

2、、总体目标、工作策略、底线要求及奖惩条例。二级文件：数据安全管理规定-数据全生命周期中数据管理者、使用者的责任划分，如何根据数据场景化制定分类分级，严格区分重要数据和一般数据的性质。数据库安全基线管理办法-数据库权限访问控制，重要数据备份机制，应急恢复演练以及管理人员的职业素养。数据运营管理流程-数据展示、共享、提取等在流程体系中如何规避风险，根据数据重要程度和量级设立多级审批制，主导“谁生产、谁运营、谁负责”的原则。集团发布数据安全理制度03合规稽查态势分析合规稽查中的数据治理数据安全风险自评估数据非法收集引发的风险移动应用程序、网站权限违规调用数据安全防护能力薄弱引发的风险数据接口防护不当

3、数据库安全保障措施不健全鉴权访问控制不完备数据传输或存储未加密数据处理人员违规操作引发的风险合作方管理不善，造成数据违规传输、泄漏账号权限配置不当数据生命周期引发的风险数据采集过程数据传输与存储数据应用与共享合规稽查中的数据治理数据安全风险评估对分类分级的要求01分类分级行业指南02权限管控03数据脱敏04可用不可见开放不共享05数据水印06数据加密07行为审计08态势感知09应急处置04数据加固应用构建强化构建中的探索与实践四个“统一”一、企业内部分类分级标准以及保护措施是否统一？*引用各行业分类分级模板时，对于同一类信息应采用同等级别划分规则二、企业内部各业务调用加密或脱敏算法机制是否统一

4、？*金融、汽车、医疗、AI等行业对个人敏感信息尤为重视，隐私信息保护意识已渗入民生的方方面面。三、不同业务前端获取同一敏感信息是否统一管理？*业务间对于采集同一敏感数据源不应背靠背各自管理，存储越多，隐患越大。四、数据外发管控底线是否拉齐，数据防泄漏策略是否一致，审计标准是否统一？*商密数据外发管控底线应根据企业数据管理制度执行统一标准，分开管理极易造成交叉传递各自逃逸。（A部门重要数据，流转至B部门被认定一般数据）强化构建中的探索与实践服务端数据保护措施1.增加制度审批流程从服务器授权直接获取导出/下载的数据，可根据重要程度，数量级，扩散范围，传输方式，操作时间等综合因素制定评估规则，加强多

5、级审批环节。2.数据流转态势感知数据接口被调用时，应验证请求源是否安全。通过鉴权过滤无效访问，防患超范围或未授权窃取数据信息。如果有能力改造系统，应针对数据库敏感字段增加标识，摸清数据流转过程，以便应对更好的保护措施。确保系统服务上下游调用数据传输时记录全量日志，通过soc平台剧本，自动化审计排查是否存在恶意篡改或伪造数据行为的发生。强化构建中的探索与实践服务端数据保护措施3.数据异地实时备份生产数据应建立实时异地或不同机房备份的机制。收益：数据备份可防止主数据被恶意篡改；防止数据库应用因安全漏洞被勒索病毒强行锁定；防止误操作无法还原；防止数据迁移过程中发生不可逆风险。4.内网系统收敛企业内部

6、信息化系统迁移至内网访问。例如企业内部OA系统、网页邮箱、自建云盘服务等，可能含有大量的内部商密数据。强化构建中的探索与实践服务端数据保护措施5.用户行为风险分析（UEBA）*分享个人案例（1）拉取目标生产服务器日志中当天所有操作命令，整合后排序；（2）筛查高危操作命令，颜色区分；红色为增删改，黄色为调用工具，绿色为查看结果。重点关注红区。（3）按照周期性统计高危命令操作频次，设定阈值，并建立监测告警机制。稽查到异常行为告警时，立即阻断进程并强制下线当前操作账号，直至数据处理