9.4 PA13 數據處理環境安全

9.4 PA13 數據處理環境安全

9.4.1　過程域描述

為組織機構內部的數據處理環境建立安全保護機制，提供統一的數據計算、開發平臺，確保數據處理的過程中有完整的安全控制管理和技術支持。

9.4.2　等級描述

9.4.2.1　等級1: 非正式執行

? 組織建設：由組織機構內各數據處理環境的管理崗位和人員負責對其進行安全管理。(BP.13.01)

9.4.2.2　等級 2: 計劃跟蹤

? 組織建設：組織機構內設立了崗位和人員負責對數據處理環境執行安全管理，與各數據處理環境的系統/平臺的管理團隊配合，實現相關管理規則在系統/平臺上的落地。(BP.13.02)

9.4.2.3　等級 3: 充分定義

? 制度流程：數據處理環境的系統/平臺的設計、開發和運維階段均制定了相應的安全控制措施，實現對安全風險的管理。(BP.13.03)
? 技術工具：
1) 數據處理平臺與數據權限管理平臺實現了聯動，用戶在使用數據平臺前已獲得了授權。(BP.13.04)
2) 基于大數據處理平臺的多租戶的特性，對不同的租戶保證其在該平臺中的數據、系統功能、會話、調度和運營環境等資源實現隔離控制。(BP.13.05)
3) 建立數據處理日志管理工具，記錄用戶在數據處理平臺上的加工操作，以備后期追溯。(BP.13.06)
4) 針對基于云平臺的數據處理平臺，需保證各工作節點的功能穩定、對工作節點的偽裝風險監測、惡意篡改風險監測。(BP.13.07)

9.4.2.4　等級 4: 量化控制

? 制度流程：針對用戶在數據處理平臺上對數據的操作開展定期審計，確定用戶對數據的加工未超出前期申請數據時的目的。(BP.13.09)

9.4.2.5　等級 5: 持續優化

? 制度流程：對用戶在數據處理平臺上的操作執行實時監控和風險跟進。(BP.13.10)