9.3 PA12 數據正當使用

9.3 PA12 數據正當使用

9.3.1　過程域描述

基于國家相關法律法規對數據使用和分析處理的相關要求，通過對數據使用過程中的相關責任、機制的建立保證數據的正當使用。

9.3.2　等級描述

9.3.2.1　等級1：非正式執行

? 組織建設：未明確相關崗位和人員負責組織機構內部對數據的正當使用，僅在相關業務系統中隨機關注了對數據的正當使用需求的管理。(BP.12.01)

9.3.2.2　等級2：計劃跟蹤

? 組織建設：核心業務中設置了明確的崗位和人員負責對數據的使用管理，該崗位和人員負責建立明確組織機構內部信息系統相關的用戶身份管理和數據權限管理的原則及要求，并推進相關要求在各信息系統上的落地執行。(BP.12.02)

9.3.2.3　等級3：充分定義

? 組織建設：組織機構內設立了統一的崗位和人員負責整體的身份及訪問管理的原則并提供相關技術能力，并由各信息系統的管理人員負責對相關信息系統的具體的身份及訪問管理。(BP.12.05)
? 制度流程：
1) 制定了組織機構整體的數據權限管理制度，該制度符合網絡安全法等國家相關法律法規對數據使用和分析處理的目的和范圍的要求，同時規定了組織機構內身份及訪問權限的授予、變更、撤銷等流程，以及數據全生命周期的管理要求和責任制。(BP.12.06)
2) 組織機構定義了統一的身份及訪問管理流程，各系統均遵循規范的身份及訪問管理流程對用戶訪問數據資源進行管理，并定期審核當前的數據資源訪問權限是否符合身份及訪問管理的規范要求，身份及訪問管理應遵循最少夠用和職責分離的原則。(BP.12.07)
3) 建立數據使用正當性的內部責任制度，保證在數據使用聲明的目的和范圍內對受保護的個人信息、重要數據等數據進行使用和分析處理。(BP.12.08)
? 技術工具：
1) 建立組織機構內部統一的身份及訪問管理平臺，組織機構內部的系統均需接入，通過平臺實現對組織機構內部數據資源的統一管理策略。(BP.12.09)
2) 針對關鍵的系統采用多因素認證的方式進行身份認證，如可信的數字證書、生物識別方式等。(BP.12.10)
3) 通過身份及訪問管理平臺對各系統的用戶和數據資源進行權限管理，遵循做小夠用的原則，并依據數據使用目的建立相應強度或粒度的訪問控制機制。(BP.12.11)
4) 完整記錄數據使用過程的操作日志，以備潛在違約使用者責任的識別和追責。(BP.12.12)

9.3.2.4　等級4：量化控制

? 制度流程：
1) 具備策略流程或機制，對數據濫用行為進行有效的識別、監控和預警。(BP.12.14)
2) 具備違約責任、締約過失責任、侵權責任等數據使用風險分析和處理制度流程。(BP.12.15)

9.3.2.5　等級5：持續優化

? 技術工具：研究并利用新的技術對用戶的身份及訪問管理能力進行提升，并通過風險監控與審計實現對數據正當使用相關的風險的自動化分析和處理。(BP.12.17)