怎样做数据安全?看看行业最佳实践,为了保护公司隐私,将对应企业的名称进行了修订,简称某平台A、B和C
某在线平台A在线
某在线平台A合作业务处理中涉及到患者身份、病情、处方等个人敏感数据,要对开放平台开展数据安全管理。
合作方安全管理制度
制定《合作方安全管理制度》明确在合作业务开展过程中业务部门、法务部、安全部的职责。业务部门负责接入合作方生命周期管理,包含合作方审核、开通、登记等。法务部通过商务合同和安全保密协议,明确合作方数据安全责任、义务落实要求。安全部负责接入合作方技术对接过程安全评估、安全测试、安全验收及后续安全监控工作。
合作方信息管理
资产管理平台创建合作方信息管理,业务部门更新维护合作方清单信息,安全部门定期审计。包含:合作方、合作业务、IP 地址或域名、负责人等信息)。
开放平台安全评估
制定《OPEN API 接口安全设计规范》,包含:机密性、完整性、可用性及身份鉴别等内容。开放平台 API 接口的方案设计、开发过程、功能变更,都要开展安全评估。按照安全设计规范实现安全功能和功能的安全性。面向服务合作方提供完整规范的 API 技术对接文档,要求合作方安全规范接入服务。以下为《OPEN API 接口安全设计规范》
开放平台安全测试
开放平台 API 接口开发上线前进行安全验证测试。参考接口安全设计规范及《OWASP API 安全 Top 10》编写安全测试用例。包含:身份验证、水平越权、数据加密措施等。OPEN API 接口安全测试推荐使用 POSTMAN 工具进行测试。
数据安全监控
对开放平台 API 接口监控并记录日志,通过流量分析系统和ELK 系统对接口传输日志进行记录和统计分析,及时发现数据接口异常流量、用户异常操作行为、异常调用等行为。对敏感数据进行传输情况统计分析,形成敏感数据的外部数据地图
某平台B数据安全最佳实践
某平台B公司高度重视数据安全工作,不断打造