扫码微信咨询
DSMM数据安全过程维度之数据交换安全
1.数据共享安全
通过业务系统、产品对外部组织提供数据时,以及通过合作的方式与合作伙伴交换数据时执行共享数据的安全风险控制,以降低数据共享场景下的安全风险。DSMM标准在充分定义级要求如下:
a)组织建设:组织应设立了统一的数据共享交换安全管理的岗位和人员,负责相关原则和技术能力的提供,并推广相关要求在相关业务的落地执行。b)制度流程:
1)应明确数据共享的原则和安全规范,明确数据共享内容范围和数据共享的管控措施,及数据共享涉及机构或部门相关用户职责和权限;2)应明确数据提供者与共享数据使用者的数据安全责任和安全防护能力;
3)应明确数据共享审计规程和审计日志管理要求,明确审计记录要求,为数据共享安全事件的处置,应急响应和事后调查提供帮助;4)使用外部的软件开发包/组件/源码前应进行安全评估,获取的数据应符合组织的数据安全要求。
c)技术工具:1)应采取措施确保个人信息在委托处理、共享、转让等对外提供场景的安全合规,如数据脱敏﹑数据加密、安全通道、共享交换区域等;
2)应对共享数据及数据共享过程进行监控审计,共享的数据应属于共享业务需求且没有超出数据共享使用授权范围;
3)应明确共享数据格式规范,如提供机器可读的格式规范。d)人员能力:负责该项工作的人员应能够充分理解组织的数据共享规程,并根据数据共享的业务执行相应的风险评估﹐从而提出实际的解决方案。
2.数据发布安全在对外部组织进行数据发布的过程中,通过对发布数据的格式,适用范围、发布者与使用者权利和义务执行的必要控制,以实现数据发布过程中数据的安全可控与合规。
DSMM标准在充分定义级要求如下:a)组织建设:组织应设立相关岗位人员,负责组织的数据公开发布信息,并且对数据发布人员进行安全培训。
b)制度流程:1)应明确数据公开发布的审核制度,严格审核数据发布合规要求;
2)应明确数据公开内容、适用范围及规范,发布者与使用者权利和义务;3)应定期审查公开发布的数据中是否含有非公开信息,并采取相关措施满足数据发布的合规性;
4)应采取必要措施建立数据公开事件应急处理流程。c)技术工具:应建立数据发布系统,实现公开数据登记、用户注册等发布数据和发布组件的验证机制。
d)人员能力:负责数据发布安全管理工作的人员应充分理解数据安全发布的制度和流程,通过了岗位能力评估,并能够根据实际发布要求建立相应的应急方案。3.数据接口安全
通过建立组织的对外数据接口的安全管理机制,防范组织数据在接口调用过程中的安全风险。DSMM标准在充分定义级要求如下:
a)组织建设:组织应设立统一负责数据接口安全管理的岗位和人员,由该岗位人员负责制定整体的规则并推广相关流程的推行。b)制度流程:
1)应明确数据接口安全控制策略,明确规定使用数据接口的安全限制和安全控制措施,如身份鉴别、访问控制、授权策略、签名、时间戳、安全协议等;2)应明确数据接口安全要求,包括接口名称、接口参数等;
3)应与数据接口调用方签署了合作协议,明确数据的使用目的,供应方式,保密约定,数据安全责任等。c)技术工具:
1)应具备对接口不安全输入参数进行限制或过滤能力,为接口提供异常处理能力;2)应具备数据接口访问的审计能力,并能为数据安全审计提供可配置的数据服务接口;
3)应对跨安全域间的数据接口调用采用安全通道、加密传输、时间戳等安全措施。d)人员能力:负责数据接口安全工作的人员应充分理解数据接口调用业务的使用场景,具备充分的数据接口调用的安全意识、技术能力和风险控制能力。
擎标提醒大数据时代,数据只有“活”起来,才能发挥出应有的价值,企业进行数据共享交换才会带来更大的经济效益,所以数据交换会发生的的很频繁,随之产生的安全风险也非常高,在这样的场景下,数据交换安全显得尤为重要。