一、PA15 數(shù)據(jù)共享安全
1、PA描述
通過業(yè)務(wù)系統(tǒng)、茶品對外部組織提供數(shù)據(jù)時,以及通過合作的方式與合作伙伴交換數(shù)據(jù)時執(zhí)行共享數(shù)據(jù)的安全風(fēng)險控制,以降低數(shù)據(jù)共享場景下的安全風(fēng)險。
2、等級描述
2.1、等級1:非正式執(zhí)行 該等級的數(shù)據(jù)安全能力描述如下:組織建設(shè):未在任何業(yè)務(wù)中建立成熟穩(wěn)定的數(shù)據(jù)共享安全風(fēng)險管控,僅根據(jù)臨時需求或基于個人經(jīng)驗對個別數(shù)據(jù)共享場景考慮了安全需求。
2.2、等級2:計劃跟蹤 該等級的數(shù)據(jù)安全能力要求描述如下:
①組織建設(shè):應(yīng)由業(yè)務(wù)團隊相關(guān)人員負責(zé)對數(shù)據(jù)共享方案進行安全風(fēng)險管控。
②制度流程:應(yīng)明確核心業(yè)務(wù)數(shù)據(jù)共享安全評估機制,可從共享目的的合理性、共享數(shù)據(jù)的范圍和合規(guī)性、共享方式的安全性、共享后管理責(zé)任和約束措施等方面進行評估。
③人員能力:負責(zé)數(shù)據(jù)共享安全的人員應(yīng)具備對數(shù)據(jù)共享業(yè)務(wù)的理解能力,能夠結(jié)合合規(guī)性要求給出適當(dāng)?shù)陌踩鉀Q方案。
2.3、等級3:充分定義 該等級的數(shù)據(jù)安全能力要求描述如下:
①組織建設(shè):組織應(yīng)設(shè)立了統(tǒng)一的數(shù)據(jù)共享交換安全管理的崗位和人員,負責(zé)相關(guān)原則和技術(shù)能力的提供,并推廣相關(guān)要求在相關(guān)業(yè)務(wù)的落地執(zhí)行。
②制度流程:
a)應(yīng)明確數(shù)據(jù)共享的原則和安全規(guī)范,明確數(shù)據(jù)共享內(nèi)容范圍和數(shù)據(jù)共享的管控措施,及數(shù)據(jù)共享涉及及機構(gòu)或部門相關(guān)門戶職責(zé)和權(quán)限;
b)應(yīng)明確數(shù)據(jù)提供者與共享數(shù)據(jù)使用者的數(shù)據(jù)安全責(zé)任和安全防護能力。
c)應(yīng)明確數(shù)據(jù)共享審計規(guī)程和審計日志管理要求,明確審計記錄要求,為數(shù)據(jù)共享安全事件的處理、應(yīng)急響應(yīng)和事后調(diào)查提供幫助。
d)使用外部的軟件開發(fā)包/組件/源碼前應(yīng)進行安全評估,獲取的數(shù)據(jù)應(yīng)符合組織的數(shù)據(jù)安全要求。
③技術(shù)工具:
a)應(yīng)采取措施確保個人信息在委托處理、共享、轉(zhuǎn)讓等對外提供場景的安全合規(guī),如數(shù)據(jù)脫敏、數(shù)據(jù)加密、安全通道、共享交換區(qū)域等;
b)應(yīng)對共享數(shù)據(jù)及數(shù)據(jù)共享過程進行監(jiān)控審計,共享的數(shù)據(jù)應(yīng)屬于共享業(yè)務(wù)需求且沒有超出數(shù)據(jù)共享使用授權(quán)范圍;
c)應(yīng)明確共享數(shù)據(jù)格式規(guī)范,如提供機器可讀的格式規(guī)范。
④人員能力:負責(zé)該項工作的人員應(yīng)能夠充分理解組織的數(shù)據(jù)共享規(guī)程,并根據(jù)數(shù)據(jù)共享的業(yè)務(wù)執(zhí)行相應(yīng)的風(fēng)險評估,從而提出實際的解決方案。
2.4、等級4:量化控制 該等級的數(shù)據(jù)安全能力要求描述如下:
①制度流程:
a)應(yīng)在組織統(tǒng)一的數(shù)據(jù)共享原則基礎(chǔ)上,針對主要的數(shù)據(jù)共享場景明確了安全細則或?qū)徟鞒蹋鐚惩鈾C構(gòu)的數(shù)據(jù)共享安全細則、對政府機構(gòu)的數(shù)據(jù)共享的安全細則等;
b)應(yīng)定期評估數(shù)據(jù)共享機制、相關(guān)組件和共享通道的安全性;
c)應(yīng)在共享數(shù)據(jù)時,對數(shù)據(jù)接收方的數(shù)據(jù)安全防護能力進行評估。
②技術(shù)工具:
a)應(yīng)建立組織統(tǒng)一的數(shù)據(jù)共享交換系統(tǒng),提示數(shù)據(jù)共享交換的安全風(fēng)險并進行在線審核;
b)應(yīng)配置數(shù)據(jù)共享機制或服務(wù)組件,明確數(shù)據(jù)共享最低安全防護要求。
2.5、等級5:持續(xù)優(yōu)化 該等級的數(shù)據(jù)安全能力要求描述如下:
①制度流程:組織應(yīng)及時跟進跟進業(yè)務(wù)相關(guān)法律法規(guī)的更新和產(chǎn)業(yè)內(nèi)的優(yōu)秀做法,定期評估數(shù)據(jù)共享機制、服務(wù)組件和共享通道的安全性,對數(shù)據(jù)共享的風(fēng)險控制方案進行持續(xù)的優(yōu)化調(diào)整。
②技術(shù)工具:應(yīng)參與國際、國家或行業(yè)相關(guān)標(biāo)準(zhǔn)制度,在業(yè)界分享最佳實踐,成為行業(yè)標(biāo)桿。
二、PA16 數(shù)據(jù)發(fā)布安全
1、PA描述
在對外部組織進行數(shù)據(jù)發(fā)布的過程中,通過對發(fā)布數(shù)據(jù)的格式、適用范圍、發(fā)布者與使用者權(quán)力和義務(wù)執(zhí)行的必要控制,以實現(xiàn)數(shù)據(jù)發(fā)布過程中數(shù)據(jù)的安全可控與合規(guī)。
2、等級描述
2.1、等級1:非正式執(zhí)行 該等級的數(shù)據(jù)安全能力描述如下:組織建設(shè):未在任何業(yè)務(wù)中建立成熟穩(wěn)定的數(shù)據(jù)發(fā)布安全管理,僅根據(jù)臨時需求或基于個人經(jīng)驗在個別場景考慮了數(shù)據(jù)發(fā)布安全風(fēng)險。
2.2、等級2:計劃跟蹤 該等級的數(shù)據(jù)安全能力要求描述如下:
①組織建設(shè):應(yīng)由業(yè)務(wù)團隊相關(guān)人員負責(zé)數(shù)據(jù)發(fā)布的安全風(fēng)險控制。
②制度流程:應(yīng)明確核心業(yè)務(wù)數(shù)據(jù)公開發(fā)布的安全制度和審核流程。
③人員能力:負責(zé)數(shù)據(jù)發(fā)布安全工作的人員應(yīng)基本理解數(shù)據(jù)發(fā)布安全的制度要求。
2.3、等級3:充分定義 該等級的數(shù)據(jù)安全能力要求描述如下:
①組織建設(shè):組織應(yīng)設(shè)立相關(guān)崗位人員,負責(zé)組織的數(shù)據(jù)公開發(fā)布信息,并且對數(shù)據(jù)發(fā)布人員進行安全培訓(xùn)。
②制度流程:
a)應(yīng)明確數(shù)據(jù)公開發(fā)布的審核機制,嚴格審核數(shù)據(jù)發(fā)布合規(guī)要求;
b)應(yīng)明確數(shù)據(jù)公開內(nèi)容、適用范圍及規(guī)范,發(fā)布者與使用者權(quán)利與義務(wù);
c)應(yīng)定期審查公開發(fā)布的數(shù)據(jù)中是否含有非法公開信息,并采取相關(guān)措施滿足數(shù)據(jù)發(fā)布的合規(guī)性;
d)應(yīng)采取必要措施建立數(shù)據(jù)公開事件應(yīng)急處理流程。
③技術(shù)工具:應(yīng)建立數(shù)據(jù)發(fā)布系統(tǒng),實現(xiàn)公開數(shù)據(jù)等級、用戶注冊等發(fā)布數(shù)據(jù)和發(fā)布組件的驗證機制;
④人員能力:負責(zé)數(shù)據(jù)發(fā)布安全管理工作的人員應(yīng)充分理解數(shù)據(jù)安全發(fā)布的制度和流程,通過了崗位能力評估,并能夠根據(jù)實際發(fā)布要求建立相應(yīng)的應(yīng)急方案。
2.4、等級4:量化控制 該等級的數(shù)據(jù)安全能力要求描述如下:
①制度流程:
a)組織應(yīng)針對關(guān)鍵的數(shù)據(jù)資源發(fā)布明確了安全發(fā)布細則和審核流程;
b)組織應(yīng)細化明確各類數(shù)據(jù)發(fā)布場景的審核流程,從審核的有效性和審核的效率層面充分考慮流程節(jié)點的制定;
②技術(shù)工具:
a)組織應(yīng)建立統(tǒng)一的數(shù)據(jù)發(fā)布系統(tǒng),提示數(shù)據(jù)發(fā)布的安全風(fēng)險并進行在線審核;
2.5、等級5:持續(xù)優(yōu)化 該等級的數(shù)據(jù)安全能力要求描述如下:
①技術(shù)工具:
a)應(yīng)對發(fā)布的數(shù)據(jù),建立持續(xù)的追蹤能力,優(yōu)化數(shù)據(jù)發(fā)布規(guī)程;
b)應(yīng)參與國際、國家或行業(yè)相關(guān)標(biāo)準(zhǔn)制度,在業(yè)界分享最佳實踐,成為行業(yè)標(biāo)桿。
三、PA17 數(shù)據(jù)接口安全
1、PA描述
通過建立組織的對外數(shù)據(jù)接口的安全管理機制,防范組織數(shù)據(jù)在接口調(diào)用過程中的安全風(fēng)險。
2、等級描述
2.1、等級1:非正式執(zhí)行 該等級的數(shù)據(jù)安全能力描述如下:組織建設(shè):未在任何業(yè)務(wù)或系統(tǒng)中建立成熟穩(wěn)定的數(shù)據(jù)接口安全管理,僅根據(jù)臨時需求或基于個人經(jīng)驗在個別業(yè)務(wù)中關(guān)注了數(shù)據(jù)接口安全。
2.2、等級2:計劃跟蹤 該等級的數(shù)據(jù)安全能力要求描述如下:
①組織建設(shè):應(yīng)由業(yè)務(wù)團隊相關(guān)人員負責(zé)數(shù)據(jù)服務(wù)接口安全管理工作。
②制度流程:核心業(yè)務(wù)或系統(tǒng)應(yīng)定義數(shù)據(jù)接口安全策略。
③技術(shù)工具:應(yīng)采用技術(shù)工具實現(xiàn)對數(shù)據(jù)接口調(diào)用的身份鑒別和訪問控制。
④人員能力:負責(zé)數(shù)據(jù)接口安全工作的人員應(yīng)具備基本的數(shù)據(jù)接口調(diào)用的安全意識和安全知識。
2.3、等級3:充分定義 該等級的數(shù)據(jù)安全能力要求描述如下:
①組織建設(shè):組織應(yīng)設(shè)立了統(tǒng)一負責(zé)數(shù)據(jù)接口安全管理的崗位和人員,由該崗位人員負責(zé)制定整體的規(guī)則并推廣相關(guān)流程的推行。
②制度流程:
a)應(yīng)明確數(shù)據(jù)接口安全控制策略,明確規(guī)定使用數(shù)據(jù)接口的安全限制和安全控制措施,如身份鑒別、訪問控制、授權(quán)策略、簽名、時間戳、安全協(xié)議等;
b)應(yīng)明確數(shù)據(jù)接口安全要求,包括接口名稱、接口參數(shù)等。
c)應(yīng)與數(shù)據(jù)接口調(diào)用方簽署了合作協(xié)議,明確數(shù)據(jù)的使用目的、供應(yīng)方式、保密約定、數(shù)據(jù)安全責(zé)任等。
③技術(shù)工具:
a)應(yīng)具備對接口不安全輸入?yún)?shù)進行限制和過濾能力,為接口提供異常處理能力;
b)應(yīng)具備數(shù)據(jù)接口訪問的審計能力,并能為數(shù)據(jù)安全審計提供可配置的數(shù)據(jù)服務(wù)接口;
c)應(yīng)對跨安全域間的數(shù)據(jù)接口調(diào)用采用安全通道、加密傳輸、時間戳等安全措施。
④人員能力:負責(zé)數(shù)據(jù)接口安全工作的人員應(yīng)充分理解數(shù)據(jù)接口調(diào)用業(yè)務(wù)的使用場景,具備充分的數(shù)據(jù)接口調(diào)用的安全意識、技術(shù)能力和風(fēng)險控制能力。
2.4、等級4:量化控制 該等級的數(shù)據(jù)安全能力要求描述如下:
①技術(shù)工具:應(yīng)建立數(shù)據(jù)接口安全監(jiān)控措施,以對接口調(diào)用進行必要的自動監(jiān)控和處理。
2.5、等級5:持續(xù)優(yōu)化 該等級的數(shù)據(jù)安全能力要求描述如下:
①技術(shù)工具:
a)應(yīng)在對數(shù)據(jù)接口調(diào)用進行必要的自動化監(jiān)控和處理基礎(chǔ)上,及時跟進最近技術(shù)及相關(guān)制度,進行安全管理和工程過程的持續(xù)改進工作。
b)應(yīng)參與國際、國家或行業(yè)相關(guān)標(biāo)準(zhǔn)制度,在業(yè)界分享最佳實踐,成為行業(yè)標(biāo)桿。
燃氣用鋁合金襯塑PE管" width="160" height="152">
鋁合金襯PE-RT" width="160" height="152">
