移动应用数据安全管理的基本要求包括机构人员、制度保障、分类分级、合规评估、权限管理、安全审计、合作方管理、应急响应、投诉处理、教育培训等方面。
通过明确数据安全管理责任部门,明确职责范围,有助于具体工作的落地和实施。即通过高屋建瓴的方式,由顶层设计开始,逐步向下,落实到实处。不同行业,不同企业,可以根据自身条件,划定符合企业自身发展需要的数据安全责任管理部门。为了更明晰的说明,这里列举某互联网企业的做法,以供参考。例如某互联网企业内部设立数据资产管理委员会,牵头企业内的数据安全管理工作;该委员会的成员由企业负责人如 CEO 或 CTO 牵头,各业务和职能部门数据负责人组成;同时定义和明确了该委员会的具体职责:一是制定公司重要数据安全规章制度,二是对公司数据安全技术能力提出明确要求,三是对公司数据安全相关制度落实情况进行定期合规性评估和检查,四是应急处置有关数据安全方面的重大事件。
明确了数据安全管理责任部门的职责,这些职责的实施和落地需要企业内各个部门分别执行。同样,不同行业,不同企业,可根据自身条件,将管理责任和执行责任划分给不同的部门。这里,继续列举某互联网企业的做法,进行说明。
例如,数据资产管理委员会的具体数据安全管理工作由安全部,法规内控部等承担。各项工作的执行部门包括,但不限于:数据管理业务部门,数据使用部门,系统运维部等。 安全部的职责,建设企业数据安全防护体系,在数据安全各项活动中提供技术支持。法规内控部的职责,对业务部门在数据生命周期各环节的操作行为进行合规性检查,依据法律法规及公司制定,对违规操作进行问责。其他部门将公司相关数据安全规范在日常工作中实施落地,积极配合数据审计及合规工作。
在明确了部门职责的分工后,具体的数据安全管理工作需要由具体的责任人负责执行,企业可以在责任部门和执行部门设立数据安全工作岗位,由该岗位的人员承担相应的工作。同样的,不同行业,不同企业,可根据自身条件,将职责指定或划分给不同的人员
企业应建立完备的数据安全管理制度体系,涵盖数据安全策略、管理制度、操作规程、记录表单等。指导企业管理人员和操作人员执行各类数据安全活动,使数据安全管理工作在企业内有章可循。数据安全管理制度包括但不限于:数据分类分级管理、数据访问权限管理、数据安全合规性评估、数据全生命周期管理、数据合作方管理、数据备份与恢复、数据安全应急响应等。
定期梳理企业数据资产清单,包括通过合法方式收集、产生的,存储在计算机信息系统或其他存储介质中用户个人信息,包括但不限于用户相关数据、生物识别信息等。
在《金融数据安全 数据安全分级指南》中对数据安全的定级目标、数据安全定级原则、数据安全定级范围等做做出了说明,并对如何进行数据安全定级做出了详细说明,各企业可结合企业自身情况进行参考。
围绕数据全生命周期的各环节,采取有针对性的安全保障措施,下面对各环节的安全保障措施,提供一些安全建议,供企业结合自身实际,做出适合的安全保障。
数据采集需要获得用户充分授权,数据传输和存储需要确保数据加密,数据使用过程进行最小授权,大量或高危操作需进行审批,数据交换需法规内控部进行合规审核,数据销毁应按公司制度进行执行。
对于数据特殊需求,如数据出境,需上报主管部门进行审批。
所有数据相关操作,都需要进行留痕进行记录,方便日后进行审计
企业应依据《网络安全法》,《网络安全等级保护基本要求》、《电信和互联网用户个人信息保护规范》、《信息安全技术 个人信息安全规范 》等法律法规开展数据安全合规评估工作。
(1)企业应将数据安全合规性评估作为数据安全管理的重要内容和抓手,按照“谁运营、谁主管、谁负责”的原则,从组织建设、制度流程、技术工具、人员能力等方面开展企业整体数据安全保护水平评估并形成评估报告。评估报告中应包括评估对象基本情况、评估流程、评估要点对标情况、保障措施配备情况与佐证材料说明、问题分析和改进措施等。
(2)数据安全合规性评估内容包括但不限于数据安全制度建设情况、数据分类分级情况、数据安全事件应急响应水平,以及重点业务与系统数据合规处理情况、数据安全保障措施配备情况、合作方数据安全保护水平等。
(3)企业按照数据安全制度规范,按年度开展重点业务数据安全合规性评估并形成评估报告。重点评估业务数据处理活动中相关制度规范执行落实情况、数据安全保护措施配备情况等。实现对新上线业务、重点存量业务的评估全覆盖,业务数据处理模式变化时应动态跟踪评估。
(4)企业按照数据安全制度规范,按年度开展核心数据处理活动平台系统数据安全合规性评估并形成评估报告。重点评估企业内部管理措施执行落实情况、平台建设运维部门及合作方数据安全保护措施配备情况等。
信通院 2020人工智能医疗产业发展蓝皮书
信通院 2020年5G应用创新发展白皮书
信通院 2020年数字安全十大产业方向、十大技术赛道研究报告