Page 12 - 网络电信2019年3月刊上
P. 12
运 营 商 专 栏
作方安全资质审查,包括综合评估合作单位的信息安全保障能 数据脱敏、数据防泄漏等数据安全防护能力嵌入到大数据平
力、安全管理制度、技术防护手段等。 台、后台运维管理系统中,或与其进行无缝对接,从而实现安
(2)业务需求审查 全责任制、数据分级分类管理等管理制度在实际业务流程中充
合法合规是开展大数据相关业务的前提。对于合作单位来 分落地。
说,如能获取原始数据,经过二次分析后便能得到更多更有价 (3)安全预警管理
值的信息。合作单位在提出合作需求时,总是希望能共享到原 大数据安全管理部门应按照“谁主管谁负责、谁运行谁负
始数据而不是经过处理的数据。针对这个情况,必须制定完善 责”的原则,组织相关干系方对大数据基础设施开展安全监测
的大数据业务需求审批流程,按照公司大数据分类分级标准, 工作,从管理、技术、人员等方面建立完善的监测预警和应急
对合作单位需求中涉及的数据内容、交接方式、敏感程度以及 响应机制,为大数据基础设施制定应急响应计划,做好应急预
应用范围等进行严格审核, 案、风险监测、实时预警、
对应用输出数据的必要性和 事态遏制、问题根除、系
安全性进行审核。未经正式 统恢复、跟踪总结等各项举
审批的企业内部数据严禁泄 措,并定期演练,确保在紧
露、出售或者非法向他人或 急情况下重要信息资源的可
外部单位提供。 用性。
(3)签订保密协议 3、事后稽核审计
目前与合作单位的安 (1)安全审计
全保密协议仍沿用传统集 根据“职责分离”原
团客户业务的模板,未包 则在大数据提供部门设置独
含数据共享相关责任条款。 立的安全审计员,安全审计
应该在《网络安全法》、 员应开展定期的大数据安全
《全国人民代表大会常务委 日常审计和不定期的专项审
员会关于加强网络信息保护 计。日常审计至少每月一
的决定》、《电信和互联网 次,主要针对大数据平台的
用户个人信息保护规定》、 系统访问日志进行审计,一
《侵害消费者权益行为处罚 是审计操作人员、操作时
办法》等法律法规的框架内 间、操作内容等信息,确认
重新修订安全保密协议,界定双方在大数据业务开展中的安全 是否存在违规访问与操作;二是对数据导出行为进行审计,确
责任,对于用户授权、数据应用、权责分配、接入细节等内容 认行为是否规范、数据是否模糊化处理。
进行约定,明确合作单位的保密责任、保密内容、保密有效期 专项审计主要聚焦大数据平台和业务的安全管理和技术要
及违约罚则;明确合作单位数据使用范围和场景,限制数据转 求落实情况、大数据平台系统和业务访问情况、大数据平台用
租转售行为,明确合作单位应承担的安全责任,并明确处罚机 户个人信息访问情况。通过人员访谈、审阅台账、现场验证、
制;要求合作单位建立数据保护制度,具备应有的数据保护手 技术检测等方式及时发现系统存在的安全隐患和安全威胁,并
段,与其员工签订保密协议,并明确员工的保密责任、违约罚 有针对性的提出改进措施,跟踪整改情况,对未在规定时限内
则。 完成整改的,应依据相关规定进行处罚。安全审计员将情况汇
2、事中安全管控 总后,梳理存在问题,通报审计结果;针对发现的重大安全隐
(1)人员账号权限管理 患或违规行为,应向管理层汇报。
当合作单位需要与我公司系统对接,或者使用我公司系统 (2)安全合规检查
进行数据分析时,可以向大数据业务管理部门提交账号申请, 大数据安全管理部门负责对合作单位进行大数据管理合规
说明需要使用的系统、访问数据范围、数据类型等信息,由大 性检查,主要分为日常合规检查和专项合规检查两种。日常合
数据业务管理部门按照“权限明确、职责分离、最小特权”的 规检查至少每月一次,检查数据合作单位的数据使用、管理等
原则进行审批,为合作单位分配适当的权限,避免合作单位越 方面的安全制度和执行情况。对检查过程中发现的问题应责成
权访问数据。尤其是未经脱敏处理的用户个人隐私数据等敏 合作单位在规定时限内整改,未及时完成的应依据相关规定进
感数据,数据必须经数据输出审核(包括技术和管理双重审 行处罚。专项合规检查范围更广,每年至少进行一次。在开展
核),审核通过后才能对外输出。 安全合规检查前,与合作单位沟通检查范围、检查内容、检查
(2)数据全生命周期管理 方法、检查任务、检查报告及相应流程。检查结束后及时汇总
从数据运营的角度,依据数据全生命周期各环节面临不同 检查情况,梳理存在问题,通报结果;针对发现的重大安全隐
的安全环境和安全威胁,将日常安全管理工作嵌入到采集、传 患或违规行为,应向公司管理层汇报。
输、存储、使用、共享和销毁各环节中。并将身份认证、访问 (3)评价追责
控制、金库模式、安全审计、异常行为监测预警、数据加密、 围绕以往安全协议的履行情况建立合作伙伴评价机制和黑
26 网络电信 二零一九年一、二月