移动应用数据安全管理的基本要求包括机构人员、制度保障、分类分级、合规评估、权限管理、安全审计、合作方管理、应急响应、投诉处理、教育培训等方面。
安全审计
数据所面临的安全风险是动态变化的,企业需要通过实施数据安全审计掌握安全措施有效性,进而补足薄弱点,优化安全防御策略,真正实现数据安全。
- 企业应对数据安全操作访问等日志留存,包含:授权访问、批量复制、开放共享、销毁、数据接口调用等重点环节。日志记录至少包括执行时间、操作账号、处理方式、授权情况、IP 地址、登录信息等。定期对日志进行备份,防止数据安全事件导致的日志被删除。
- 企业应对数据安全操作访问等日志进行安全审计具备,及时发现攻击行为、违规操作、事后溯源等能力。重点审计分析内容:数据安全攻击事件、数据流动安全分析、数据访问行为分析。
- 企业应对数据操作相关权限进行定期审计。对所有账号及权限进行变化监控,及时发现权限违规变化及权限蔓延情况。
- 企业应加强数据安全审计管理,明确审计对象、审计内容、实施周期、结果规范、问题改进跟踪等要求。企业数据安全管理责任部门或核心数据处理活动相关平台系统负责部门应配备日志安全审计员,加强日志访问和安全审计管理,至少每半年形成一份数据安全审计报告。
-
合作方管理
随着技术进步,社会分工合作越来越精细,不同主体间数据共享、流通、交易需求越来越频繁。企业应该对为提供数据建模、数据挖掘、数据分析、系统集成开发、系统维护和技术支撑的合作方进行管理,确保合作方具有数据安全能力,可以从以下几方面对合作方进行管理:
一是,建立第三方数据合作管理制度,明确在数据合作过程中企业内部各部门的职责、联动机制,明确合作方管理规范和监督流程,明确合作方数据安全监督管理部门和执行配合部门,明确企业对外合作中数据安全保护方式和合作方责任落实要求;
二是,合作方监督管理部门建立合作方台账管理机制,牵头梳理形成并定期更新合作方清单(含合作方企业名称、合作业务或系统、合作形式、合作期限、合作方联系人等),加强对合作方数据使用情况的监督管理
三是,与合作方签订服务合同和安全保密协议中,应根据实际合作项目明确具体条款,包含但不限于下述内容:合作方及项目参与员工可接触到的数据处理相关平台系统范围,及数据使用权限、内容、范围及用途(应符合最小化原则),合作方数据安全责任、保障措施配备情况(保障措施不得低于本企业),合作结束后数据删除要求,合作方违约责任和处罚等
应急响应
移动应用的数据安全管理过程中应急响应是关键的一环节。如果处理不当,会导致业务运营及企业声誉遭受严重打击
- 企业应制定数据安全应急响应体系,制定应急响应管理制度、安全事件管理制度,开展应急响应培训、应急演练。保障数据泄露(丢失)、滥用、被篡改、被损毁、违规使用等突发事件发生时,进行有效应对和写作,保障数据安全。
- 企业应参照《公共互联网网络安全突发事件应急预案》制定数据安全应急预案,包括应急处理流程、系统恢复流程等内容。数据安全事件对企业和个人信息主体合法权益影响等因素划分事件等级。结合事件场景和等级制定应急预案并开展演练,典型场景至少每年开展一次演练。每个核心数据处理活动有关平台系统至少两年开展一次演练。
- 发生数据安全事件时及时采取补救措施,并向相关主管部门报告。发生大规模用户个人信息泄露、毁损和丢失时,采取合理、有效方式告知用户。及时总结数据安全事件情况,分析原因、查找问题,调整企业数据安全策略,形成事件调查记录和总结报告,避免再次发生类似情况。
举报投诉处理
近年来,国家在数据安全和个人信息保护方面已逐步完善顶层立法设计,陆续出台多项规范性文件、行业标准,如《民法典》、《数据安全法(草案)》、《个人信息保护法(草案)》、《个人信息安全规范》等都对举报投诉进行了规范和要求,对企业数据安全和隐私安全合规已经产生显著影响,企业也需不断完善数据安全
用户举报与受理机制,建立用户数据安全举报投诉渠道,将举报投
诉制度落到实处,包括但不限于:
完善数据安全用户举报与受理机制,建立用户数据安全举报投诉渠道,如电子邮件、电话、传真、在线客服、在线表格等;明确举报投诉处理部门和人员、处理流程、处理要求等;针对有效举报线索,及时核查处理并在接到投诉之日起十五日内答复投诉人;
教育培训
数据安全培训教育是数据安全管理的重要部分,通过教育培训等投入,持续提高员工知识、技能和素质水平,更好地保障企业数据安全目标。
- 制定数据安全教育培训相关制度,将培训要求以制度规范的形式,纳入到日常安全管理中来。明确培训目标、对象、时间、形式以及奖惩机制等。
- 明确数据安全培训计划,针对组织范围内不同员工类型有针对性制定培训计划,区分培训内容、培训形式和考核要求。如:区分高层领导、数据操作人员、技术人员、新员工等。
- 拟定数据安全培训内容大纲。数据安全培训内容分布应包括法律法规、政策标准、合规性评估、防护措施、应急响应流程、知识技能、安全意识等方面。
- 构想多样的培训形式。教育培训应在确保培训人员与内容合理的情况下,采取多种的方式结合培训。如:线上直播与线下培训相结合、内训与外训相结合、专项与日常相结合、图文与视频相结合等形式。
- 制定数据安全培训考核奖惩机制。对未达到考核目标的人员进行相关处罚如:强制培训、绑定绩效等;对于有效完成培训的人员给予一定程度的鼓励。