跳转至

DSMM-011 数据分析安全管理规范V1.0

第一章 总则

第一条 为规范北京思度咨询科技有限公司数据使用、分析及分析结果的安全,防范在分析过程中出现的数据外泄、越权操作、恶意操作等行为,确保数据分析全程可知、可控、可管,制定本规范。

第二条 本规范适用于规范北京思度咨询科技有限公司数据分析过程的安全操作。

第二章 权限职责

第三条 数据安全领导小组办公室主要履行的职责包括但不限于:

(一)制定数据分析过程中数据分析人员需要遵守的制度、规范以及流程;

(二)负责组织评估数据分析过程中存在的安全风险,定期评审数据分析制度、规范以及流程合理性、有效性;

(三)定期组织针对数据分析人员开展数据安全意识培训工作,加强其数据保护意识;

(四)负责对数据安全分析制度、策略进行推广。

第四条 技术中心-数据分析安全岗人员:

(一)参与制定数据分析安全管理规范;

(二)对数据挖掘分析任务进行评估,依据任务类型选择合适的数据分析方法、确定所需具体数据,开展数据挖掘分析工作;

(三)管理、审核派发的数据分析挖掘需求工单是否符合规范;

(四)负责组织审核数据分析结果、数据与使用的合规性,防止数据分析结果输出造成安全风险。

第三章 数据分析安全原则

第五条 数据采集原则

(一)数据源的获取必须合规合法,可从开源网站、问卷调查、权威机构获取数据;

(二)从数据源采集的数据必须经过数据鉴别和脱敏处理之后才能进行分析;

(三)从特定数据源采集数据必须获得数据提供方的书面授权;

(四)数据采集必须建立相关档案进行存档。

第六条 数据分析质量保障原则

(一)数据源尽量从权威机构获取;

(二)获得数据源之后必须采用相关方法对数据进行分析以保证质量,常用的方法有:同类对比、狭义/广义比对、相关对比和演绎归谬;

(三)在数据分析过程中可采用关联分析、对比分析等方法实现数据分析的质量保障。

第七条 数据分析过程操作原则

(一)在数据分析过程中须严格按照制定的分析步骤进行分析,不能随意增加分析过程的步骤;

(二)分析过程需以日志方式进行全程记录,保证分析过程的可追溯性;

(三)分析过程中所使用的工具/方法不得随意更换/更改;

(四)分析过程结束后需将分析过程中的相关文件整理归档。

第八条 数据分析结果安全审查和授权控制原则

(一)数据分析结束后得出的分析结果必须经过数据安全领导小组办公室审核之后才能使用;

(二)数据分析结果的审查内容为:敏感信息、数据源、数据分析过程等;

(三)数据分析结果的审查必须由技术中心-数据分析安全岗人员进行;

(四)数据分析结果的使用需获得数据源提供方的书面授权;

(五)数据分析结果转让/授权给第三方使用时需获得数据源提供方的书面授权;

(六)数据分析结果的审查及授权需建立相应档案进行归档。

第四章 数据分析安全管理

第九条 数据分析挖掘场景包括但不限于以下场景:

(一)系统、服务器、终端设备等操作日志的分析;

(二)根据客户提出的分析需求,在北京思度咨询科技有限公司数据库中选择相应的数据进行挖掘与分析。

第十条 分析需求的审核。数据安全领导小组办公室根据需求工单评估数据分析需求是否合理,主要包括申请的数据内容与分析内容是否一致,若一致,将分析需求下发至相关人员负责需求的操作。

第十一条 数据访问安全要求

(一)数据分析人员账号申请及权限管控等过程按照XXX科技发展有限公司数据权限相关要求执行;

(二)数据分析人员使用的账号需精确授权,限制可以访问的业务范围、使用的数据库操作指令等;

(三)所有的授权过程需被审计,保留授权操作日志。

第十二条 数据处理安全要求

(一)若处理的数据中包含敏感信息,参考北京思度咨询科技有限公司数据脱敏安全管理要求,对相关敏感数据进行脱敏操作,脱敏后将相关数据提供给技术中心-数据分析安全岗人员进行分析;

(二)如果不包含敏感信息,则提供相关数据资源目录、表及字段供技术中心-数据分析安全岗人员分析;

(三)若需要将分析的数据导出到终端进行分析时,需进行审批,数据加工完成后,终端上不得保留原始数据。

第十三条 数据接口安全。当通过接口调取数据进行分析时,应保护提供的通道安全,具体的接口安全管理过程参照北京思度咨询科技有限公司接口安全管理要求执行。

第十四条 分析结果安全。数据安全领导小组办公室应组织相关人员对技术中心-数据分析安全岗人员提交的分析结果进行评审,评审的内容包括:

(一)分析的结果中是否包含敏感数据;

(二)分析的结果是否可以关联到个人敏感信息;

(三)分析的结果是否与需求一致;

(四)分析的技术是否安全,是否会造成敏感信息泄漏等。

第十五条 分析人员操作安全。技术中心-数据分析安全岗人员在构建数据仓库、建模、分析、挖掘、展现等方面时,明确数据分析的逻辑。分析时所采用的方法需经过数据安全领导小组办公室审核,不允许利用获取的相关数据从事其他无关的分析活动。

(一)技术中心-数据分析安全岗人员不得私自拷贝、使用、传播、保存与自己工作无关的数据;

(二)技术中心-数据分析安全岗人员无权在未经批准的情况下向其他单位或个人提供分析数据或其衍生物;如因工作原因需要对外提供的,应经数据安全管理员确认,并做好记录、备案、备查;

(三)对于导入到技术中心-数据分析安全岗人员终端上的分析数据,终端数据的安全管理参考XXX科技发展有限公司终端安全管理要求执行,避免敏感数据泄露。

第十六条 安全审计

(一)所有的数据处理分析过程需要被系统审计,包括授权、访问、数据处理操作、数据分析操作及导入导出操作等,所产生的审计日志并按照《网络安全法》要求,将日志选择留存6个月以上或永久留存;

(二)技术中心-数据分析安全岗人员实时分析审计日志,及时发现违规行为,并上报数据安全领导小组办公室进行处置。

第五章 附则

第十七条 本规范由数据安全领导小组办公室负责制定、解释和修改。

第十八条 对违反本规定的人员,将按照北京思度咨询科技有限公司有关规定进行处罚。

第十九条 本规范自发布之日起执行。

Back to top