9.2 PA11 數據分析安全

9.2 PA11 數據分析安全

9.2.1　過程域描述

通過在數據分析過程采取適當的安全控制措施，防止數據挖掘、分析過程中有價值信息和個人隱私泄露的安全風險。

9.2.2.1　等級1：非正式執行

? 組織建設：未設立相關團隊進行數據分析過程中的安全風險控制，僅在各業務系統中參考法律法規及相關標準的要求，在數據分析過程關注相關的合規風險。(BP.11.01)

9.2.2.2　等級2：計劃跟蹤

? 組織建設：業務團隊指定相關人員負責對數據分析過程中的數據安全風險控制。(BP.11.02)
? 制度流程：
1) 業務團隊明確在數據分析過程中的數據安全要求，如對個人明細數據、業務明細數據進行聚合分析過程的安全控制。(BP.11.03)

9.2.2.3　等級3：充分定義

? 組織建設：組織機構設立統一負責數據分析安全的崗位，負責整體的原則制定、并提供相應技術支持；由業務團隊指定人員在數據分析過程中負責安全保護管理。(BP.11.05)
? 制度流程：
1) 制定了數據分析中獲取數據和使用數據的安全保護規范，主要從分析邏輯、分析結果等方面分別展開。(BP.11.06)
2) 制定多源數據派生、聚合、關聯分析等數據分析過程中的數據資源操作規范和實施指南，整體保證大數據分析的預期不會超過相關分析團隊對數據的權限范圍。(BP.11.07)
3) 建立大數據分析結果輸出和使用的安全審查、合規風險評估和授權流程，避免分析結果輸出中包含可恢復的個人信息、重要數據等數據和結構標識，從而防止個人信息、重要數據等敏感信息的泄漏。(BP.11.08)
? 技術工具：
1) 提供對數據分析中的個人數據執行了去標識化處理的技術工具，即對任何個人識別信息（Personally Identifiable Information, 如姓名、地址、身份證號等）從數據中進行了去標識化處理。(BP.11.09)
2) 對數據分析過程的個人身份信息、重要或敏感數據的操作行為進行日志記錄,以備對分析結果質量和真實性進行數據溯源。(BP.11.10)

9.2.2.4　等級4：量化控制

? 技術工具：
1) 采用多種技術手段結合以降低數據分析過程中安全風險，比如基于機器學習的重要數據自動識別、數據安全分析算法設計等。(BP.11.12)
2) 對數據分析的結果數據進行掃描并采取必要的阻斷措施，以保證大數據分析的結果不會構成對個人隱私、公司商業價值、以及國家安全的侵犯。(BP.11.13)

9.2.2.5　等級5：持續優化

? 制度流程：持續跟進國內外的個人信息保護法律法規的變化和技術發展變化，基于法律法規的要求調整組織機構在數據分析過程中的個人信息保護方案。(BP.11.15)