移动应用数据安全管理要求(一)

最新推荐文章于 2023-05-21 00:45:00 发布
最新推荐文章于 2023-05-21 00:45:00 发布
阅读量780 收藏 1
点赞数
分类专栏: 网络安全 文章标签: 网络 大数据 人工智能
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/securitypaper/article/details/125606997
版权

移动应用数据安全管理的基本要求包括机构人员、制度保障、分类分级、合规评估、权限管理、安全审计、合作方管理、应急响应、投诉处理、教育培训等方面。

机构人员

通过明确数据安全管理责任部门,明确职责范围,有助于具体工作的落地和实施。即通过高屋建瓴的方式,由顶层设计开始,逐步向下,落实到实处。不同行业,不同企业,可以根据自身条件,划定符合企业自身发展需要的数据安全责任管理部门。为了更明晰的说明,这里列举某互联网企业的做法,以供参考。例如某互联网企业内部设立数据资产管理委员会,牵头企业内的数据安全管理工作;该委员会的成员由企业负责人如 CEO 或 CTO 牵头,各业务和职能部门数据负责人组成;同时定义和明确了该委员会的具体职责:一是制定公司重要数据安全规章制度,二是对公司数据安全技术能力提出明确要求,三是对公司数据安全相关制度落实情况进行定期合规性评估和检查,四是应急处置有关数据安全方面的重大事件。
明确了数据安全管理责任部门的职责,这些职责的实施和落地需要企业内各个部门分别执行。同样,不同行业,不同企业,可根据自身条件,将管理责任和执行责任划分给不同的部门。这里,继续列举某互联网企业的做法,进行说明。
例如,数据资产管理委员会的具体数据安全管理工作由安全部,法规内控部等承担。各项工作的执行部门包括,但不限于:数据管理业务部门,数据使用部门,系统运维部等。 安全部的职责,建设企业数据安全防护体系,在数据安全各项活动中提供技术支持。法规内控部的职责,对业务部门在数据生命周期各环节的操作行为进行合规性检查,依据法律法规及公司制定,对违规操作进行问责。其他部门将公司相关数据安全规范在日常工作中实施落地,积极配合数据审计及合规工作。
在明确了部门职责的分工后,具体的数据安全管理工作需要由具体的责任人负责执行,企业可以在责任部门和执行部门设立数据安全工作岗位,由该岗位的人员承担相应的工作。同样的,不同行业,不同企业,可根据自身条件,将职责指定或划分给不同的人员

制度保障

企业应建立完备的数据安全管理制度体系,涵盖数据安全策略、管理制度、操作规程、记录表单等。指导企业管理人员和操作人员执行各类数据安全活动,使数据安全管理工作在企业内有章可循。数据安全管理制度包括但不限于:数据分类分级管理、数据访问权限管理、数据安全合规性评估、数据全生命周期管理、数据合作方管理、数据备份与恢复、数据安全应急响应等。

分类分级

定期梳理企业数据资产清单,包括通过合法方式收集、产生的,存储在计算机信息系统或其他存储介质中用户个人信息,包括但不限于用户相关数据、生物识别信息等。
在《金融数据安全 数据安全分级指南》中对数据安全的定级目标、数据安全定级原则、数据安全定级范围等做做出了说明,并对如何进行数据安全定级做出了详细说明,各企业可结合企业自身情况进行参考。
围绕数据全生命周期的各环节,采取有针对性的安全保障措施,下面对各环节的安全保障措施,提供一些安全建议,供企业结合自身实际,做出适合的安全保障。
数据采集需要获得用户充分授权,数据传输和存储需要确保数据加密,数据使用过程进行最小授权,大量或高危操作需进行审批,数据交换需法规内控部进行合规审核,数据销毁应按公司制度进行执行。
对于数据特殊需求,如数据出境,需上报主管部门进行审批。
所有数据相关操作,都需要进行留痕进行记录,方便日后进行审计

合规评估

企业应依据《网络安全法》,《网络安全等级保护基本要求》、《电信和互联网用户个人信息保护规范》、《信息安全技术 个人信息安全规范 》等法律法规开展数据安全合规评估工作。
(1)企业应将数据安全合规性评估作为数据安全管理的重要内容和抓手,按照“谁运营、谁主管、谁负责”的原则,从组织建设、制度流程、技术工具、人员能力等方面开展企业整体数据安全保护水平评估并形成评估报告。评估报告中应包括评估对象基本情况、评估流程、评估要点对标情况、保障措施配备情况与佐证材料说明、问题分析和改进措施等。
(2)数据安全合规性评估内容包括但不限于数据安全制度建设情况、数据分类分级情况、数据安全事件应急响应水平,以及重点业务与系统数据合规处理情况、数据安全保障措施配备情况、合作方数据安全保护水平等。
(3)企业按照数据安全制度规范,按年度开展重点业务数据安全合规性评估并形成评估报告。重点评估业务数据处理活动中相关制度规范执行落实情况、数据安全保护措施配备情况等。实现对新上线业务、重点存量业务的评估全覆盖,业务数据处理模式变化时应动态跟踪评估。
(4)企业按照数据安全制度规范,按年度开展核心数据处理活动平台系统数据安全合规性评估并形成评估报告。重点评估企业内部管理措施执行落实情况、平台建设运维部门及合作方数据安全保护措施配备情况等。

参考资料

信通院 2020人工智能医疗产业发展蓝皮书
信通院 2020年5G应用创新发展白皮书
信通院 2020年数字安全十大产业方向、十大技术赛道研究报告

securitypaper
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
数据安全管理制度
^璐三岁要耍蓅氓♡
03-16 4175
数据安全管理制度 1.职责/职能 1.1综合管理部是计算机系统主管部门,统—管理公司的计算机网络。 1.2数据操作员负责公司对外及外来光盘、磁盘、电子邮件等电子文件传递的管理工作。 1.3网站管理员负责公司内、外网站服务器的维护管理工作。 2.内部安全防范管理 2.1公司内各类计算机系统用户,严禁运行未经检验和来历不明的软件,严禁在各自的计算机内安装与各自业务无关的软件,严禁安装运行各种游戏软件,...
一种细粒度的移动数据安全保护模型
01-19
提出一种细粒度的移动数据安全保护模型,通过在智能终端和移动接入网关/服务器处针对移动数据、移动应用进行标记,对移动数据的操作进行控制,达到移动数据安全隔离的目的,进而实现对移动数据细粒度的安全管理功能...
您的移动应用数据安全吗?
weixin_34175509的博客
10-05 87
构建移动产品需要相当多的时间和精力。您不仅需要移动应用开发、跨平台的开发,处理不同屏幕尺寸和分辨率,及其它等等的各领域方面的专业知识。您还需要确保提供能按预期工作,并优雅地处理意外错误打照高质量的产品。您不仅需要担心自己的代码,而且您也需要操心任何您可能会使用的第三方的代码和SDK。一个SDK直接注入到您的应用程序,它是如何工作的会直接影响您的应用程序。所以,当一个SDK使一...
移动互联网数据安全技术能力科普(一)
securitypaper的博客
07-08 816
企业应该采用数据识别技术,对企业数据资产自动数据识别及标识,并定期进行敏感数据扫描,识别未标识的数据,实现数据的分类分级管理
移动应用数据安全性:如何防止应用程序被黑客攻击和数据泄露?
baidu_38876334的博客
05-21 1514
本文通过介绍常见的移动应用安全威胁,提供了一些有效的安全开发实践,并提供了相应的技术案例和示例代码。通过遵循这些实践和采取相应的安全措施,开发人员可以大大提高移动应用程序的数据安全性,保护用户的个人信息不被黑客攻击和数据泄露所威胁。本文将探讨移动应用数据安全性的重要性,并提供一些有效的技术措施来防止应用程序被黑客攻击和数据泄露。安全认证:采用安全的用户认证机制,例如使用双因素身份验证,以防止未经授权的访问。安全存储:敏感数据应该存储在安全的位置,例如加密的数据库或安全的云存储服务。
移动互联网应用程序(App) 安全认证实施规则
Yj9493的博客
11-02 1585
移动互联网应用程序(App) 安全认证实施规则、APP认证、APP安全认证、移动互联网应用程序(App) 安全认证申请、APP安全认证条件、APP安全认证怎么做
移动互联网数据安全蓝皮报告(2021年)
07-10
本报告全面梳理移动互联网数据安全发展现状与趋势,深入探讨移动应用数据安全全周期面临的问题和挑战,并从数据安全管理要求,技术防范能力等多方面进行梳理,以期为移动互联网行业企业提供支撑和帮助。
安全制度-企业内部数据管理制度.docx
03-15
4. 业务数据保存和销毁管理:业务数据的保存方式,分为总部后台底层服务器、部门或区域应用层服务器、个人办公电脑及(移动)硬盘、U 盘、光盘、书面记录、打印复印版等。对于与财务报告相关的各种业务数据,须保存 ...
平衡移动关键数据安全与个人隐私的挑战.pdf
08-07
移动关键数据安全 与 个人隐私 BlackBerry Secure: 保护企业物联网 移动管理扩展至“企业物联网” 超级 安全容器 解决方案 BlackBerry企业应用:专为企业设计 BlackBerry 应用支持所有设备系统 桌面扩展(VDI的替代...
移动应用APP全生命周期安全管理.pdf
08-26
移动应用APP全生命周期安全管理.pdf
中国移动大数据平台安全基线要求.pdf
09-12
中国移动大数据平台安全基线要求规范及明细,精心整理发布版
安全管理制度.docx
05-27
包括安全岗位管理制度安全培训制度;用户管理制度;用户投诉举报处理;个人电子信息安全保护制度;安全事件的监测、报告和应急处置制度
信息系统安全5个层面的安全要求:物理、网络、主机、应用、数据及备份恢复
05-05
信息系统安全5个层面的安全要求:物理、网络、主机、应用、数据及备份恢复
产品安全合规评估工具
dechen6073的博客
04-01 422
CISBenchmark :https://www.cisecurity.org/cis-benchmarks/ 转载于:https://www.cnblogs.com/dhcn/p/10637003.html
大数据技术应用中的安全问题是什么
qq_38397646的博客
10-19 773
大数据技术应用中的安全问题是什么 互联网时代,数据已成为公司的重要资产,许多公司会使用大数据等现代技术来收集和处理数据。大数据应用,有助于公司改善业务运营并预测行业趋势,但是在大数据应用过程中,也存在很多的安全问题,那么大数据技术应用中的安全问题是什么呢?接下来就一起看看吧。 1、分布式系统: 大数据解决方案将数据和操作分布在许多系统中,以实现更快的处理和分析。这种分布式系统可以平衡负载,避免单点故障。但是这样的系统容易受到安全威胁,黑客只要攻击一个点就可以渗透整个网络。 2、数据存取: 大数据系统需要访
数据安全合格有哪些要求
securitypaper的博客
08-27 2898
国务院于2022年6月6日发布的《国务院关于加强数字政府建设的指导意见》强调了数字政府是数字中国的重要组成部分之一,是顺应历史趋势的必然选择以及战略选择。数字政府以数据为关键驱动,提供宏观层面更精准、更有效、更实时的决策分析支撑。数字政府的建设,是政务管理的数据化转型,涉及到各部门协同组织关系变革,重点在于数据管理部门,目前不少省份组建大数据局,负责承建省市的政务云系统及政务网络建设。政务网作为独立的专网环境,大量的政务数据高频流通,涉及到民生各个方面的数据,如人口信息、家庭信息、婚姻信息、学籍管理、交通管
制度通用模板-数据安全组织建设及人员管理办法
流浪法师的博客
10-25 1584
数据安全制度管理体系-《数据安全组织建设及人员管理办法》
信息安全管理与评估_数据安全成熟度评估分析之基础介绍
weixin_39850365的博客
12-04 516
1.评估背景 在数字经济发展的推动下,数据汇聚、融合、流动与应用等场景大幅增加,数据应用技术的复杂性、数据海量汇聚的风险性、数据深度挖掘的隐私安全性都对网络数据安全保护提出新挑战。以安全与信息化为一体之两翼驱动之双轮的核心思想下的建设已逐渐必要化和常态化。近年来,多数组织以围绕数据建业务、保障数据促运营为建设思路,以技术为抓手,以解决短期目标问题(外部合规要求、内部安全需求)为基本原则,进行数据安...
移动应用数据安全管理要求(三)
securitypaper的博客
07-05 845
数据所面临的安全风险是动态变化的,企业需要通过实施数据安全审计掌握安全措施有效性,进而补足薄弱点,优化安全防御策略,真正实现数据安全
企业对组织人员网络安全管理要求
最新发布
07-15
企业对组织人员网络安全管理要求非常重要,以下是一些常见的要求: 1. 安全意识培训:要求组织人员接受网络安全意识培训,了解网络安全的重要性、风险和常见威胁,以及如何识别和应对安全事件。 2. 密码管理:...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值