一、PA15 數據共享安全
1、PA描述
通過業務系統、茶品對外部組織提供數據時,以及通過合作的方式與合作伙伴交換數據時執行共享數據的安全風險控制,以降低數據共享場景下的安全風險。
2、等級描述
2.1、等級1:非正式執行 該等級的數據安全能力描述如下:組織建設:未在任何業務中建立成熟穩定的數據共享安全風險管控,僅根據臨時需求或基于個人經驗對個別數據共享場景考慮了安全需求。
2.2、等級2:計劃跟蹤 該等級的數據安全能力要求描述如下:
①組織建設:應由業務團隊相關人員負責對數據共享方案進行安全風險管控。
②制度流程:應明確核心業務數據共享安全評估機制,可從共享目的的合理性、共享數據的范圍和合規性、共享方式的安全性、共享后管理責任和約束措施等方面進行評估。
③人員能力:負責數據共享安全的人員應具備對數據共享業務的理解能力,能夠結合合規性要求給出適當的安全解決方案。
2.3、等級3:充分定義 該等級的數據安全能力要求描述如下:
①組織建設:組織應設立了統一的數據共享交換安全管理的崗位和人員,負責相關原則和技術能力的提供,并推廣相關要求在相關業務的落地執行。
②制度流程:
a)應明確數據共享的原則和安全規范,明確數據共享內容范圍和數據共享的管控措施,及數據共享涉及及機構或部門相關門戶職責和權限;
b)應明確數據提供者與共享數據使用者的數據安全責任和安全防護能力。
c)應明確數據共享審計規程和審計日志管理要求,明確審計記錄要求,為數據共享安全事件的處理、應急響應和事后調查提供幫助。
d)使用外部的軟件開發包/組件/源碼前應進行安全評估,獲取的數據應符合組織的數據安全要求。
③技術工具:
a)應采取措施確保個人信息在委托處理、共享、轉讓等對外提供場景的安全合規,如數據脫敏、數據加密、安全通道、共享交換區域等;
b)應對共享數據及數據共享過程進行監控審計,共享的數據應屬于共享業務需求且沒有超出數據共享使用授權范圍;
c)應明確共享數據格式規范,如提供機器可讀的格式規范。
④人員能力:負責該項工作的人員應能夠充分理解組織的數據共享規程,并根據數據共享的業務執行相應的風險評估,從而提出實際的解決方案。
2.4、等級4:量化控制 該等級的數據安全能力要求描述如下:
①制度流程:
a)應在組織統一的數據共享原則基礎上,針對主要的數據共享場景明確了安全細則或審批流程,如對境外機構的數據共享安全細則、對政府機構的數據共享的安全細則等;
b)應定期評估數據共享機制、相關組件和共享通道的安全性;
c)應在共享數據時,對數據接收方的數據安全防護能力進行評估。
②技術工具:
a)應建立組織統一的數據共享交換系統,提示數據共享交換的安全風險并進行在線審核;
b)應配置數據共享機制或服務組件,明確數據共享最低安全防護要求。
2.5、等級5:持續優化 該等級的數據安全能力要求描述如下:
①制度流程:組織應及時跟進跟進業務相關法律法規的更新和產業內的優秀做法,定期評估數據共享機制、服務組件和共享通道的安全性,對數據共享的風險控制方案進行持續的優化調整。
②技術工具:應參與國際、國家或行業相關標準制度,在業界分享最佳實踐,成為行業標桿。
二、PA16 數據發布安全
1、PA描述
在對外部組織進行數據發布的過程中,通過對發布數據的格式、適用范圍、發布者與使用者權力和義務執行的必要控制,以實現數據發布過程中數據的安全可控與合規。
2、等級描述
2.1、等級1:非正式執行 該等級的數據安全能力描述如下:組織建設:未在任何業務中建立成熟穩定的數據發布安全管理,僅根據臨時需求或基于個人經驗在個別場景考慮了數據發布安全風險。
2.2、等級2:計劃跟蹤 該等級的數據安全能力要求描述如下:
①組織建設:應由業務團隊相關人員負責數據發布的安全風險控制。
②制度流程:應明確核心業務數據公開發布的安全制度和審核流程。
③人員能力:負責數據發布安全工作的人員應基本理解數據發布安全的制度要求。
2.3、等級3:充分定義 該等級的數據安全能力要求描述如下:
①組織建設:組織應設立相關崗位人員,負責組織的數據公開發布信息,并且對數據發布人員進行安全培訓。
②制度流程:
a)應明確數據公開發布的審核機制,嚴格審核數據發布合規要求;
b)應明確數據公開內容、適用范圍及規范,發布者與使用者權利與義務;
c)應定期審查公開發布的數據中是否含有非法公開信息,并采取相關措施滿足數據發布的合規性;
d)應采取必要措施建立數據公開事件應急處理流程。
③技術工具:應建立數據發布系統,實現公開數據等級、用戶注冊等發布數據和發布組件的驗證機制;
④人員能力:負責數據發布安全管理工作的人員應充分理解數據安全發布的制度和流程,通過了崗位能力評估,并能夠根據實際發布要求建立相應的應急方案。
2.4、等級4:量化控制 該等級的數據安全能力要求描述如下:
①制度流程:
a)組織應針對關鍵的數據資源發布明確了安全發布細則和審核流程;
b)組織應細化明確各類數據發布場景的審核流程,從審核的有效性和審核的效率層面充分考慮流程節點的制定;
②技術工具:
a)組織應建立統一的數據發布系統,提示數據發布的安全風險并進行在線審核;
2.5、等級5:持續優化 該等級的數據安全能力要求描述如下:
①技術工具:
a)應對發布的數據,建立持續的追蹤能力,優化數據發布規程;
b)應參與國際、國家或行業相關標準制度,在業界分享最佳實踐,成為行業標桿。
三、PA17 數據接口安全
1、PA描述
通過建立組織的對外數據接口的安全管理機制,防范組織數據在接口調用過程中的安全風險。
2、等級描述
2.1、等級1:非正式執行 該等級的數據安全能力描述如下:組織建設:未在任何業務或系統中建立成熟穩定的數據接口安全管理,僅根據臨時需求或基于個人經驗在個別業務中關注了數據接口安全。
2.2、等級2:計劃跟蹤 該等級的數據安全能力要求描述如下:
①組織建設:應由業務團隊相關人員負責數據服務接口安全管理工作。
②制度流程:核心業務或系統應定義數據接口安全策略。
③技術工具:應采用技術工具實現對數據接口調用的身份鑒別和訪問控制。
④人員能力:負責數據接口安全工作的人員應具備基本的數據接口調用的安全意識和安全知識。
2.3、等級3:充分定義 該等級的數據安全能力要求描述如下:
①組織建設:組織應設立了統一負責數據接口安全管理的崗位和人員,由該崗位人員負責制定整體的規則并推廣相關流程的推行。
②制度流程:
a)應明確數據接口安全控制策略,明確規定使用數據接口的安全限制和安全控制措施,如身份鑒別、訪問控制、授權策略、簽名、時間戳、安全協議等;
b)應明確數據接口安全要求,包括接口名稱、接口參數等。
c)應與數據接口調用方簽署了合作協議,明確數據的使用目的、供應方式、保密約定、數據安全責任等。
③技術工具:
a)應具備對接口不安全輸入參數進行限制和過濾能力,為接口提供異常處理能力;
b)應具備數據接口訪問的審計能力,并能為數據安全審計提供可配置的數據服務接口;
c)應對跨安全域間的數據接口調用采用安全通道、加密傳輸、時間戳等安全措施。
④人員能力:負責數據接口安全工作的人員應充分理解數據接口調用業務的使用場景,具備充分的數據接口調用的安全意識、技術能力和風險控制能力。
2.4、等級4:量化控制 該等級的數據安全能力要求描述如下:
①技術工具:應建立數據接口安全監控措施,以對接口調用進行必要的自動監控和處理。
2.5、等級5:持續優化 該等級的數據安全能力要求描述如下:
①技術工具:
a)應在對數據接口調用進行必要的自動化監控和處理基礎上,及時跟進最近技術及相關制度,進行安全管理和工程過程的持續改進工作。
b)應參與國際、國家或行業相關標準制度,在業界分享最佳實踐,成為行業標桿。
燃氣用鋁合金襯塑PE管" width="160" height="152">
鋁合金襯PE-RT" width="160" height="152">
