10.2 PA15數據共享安全

10.2 PA15數據共享安全

10.2.1　過程域描述

通過在業務系統、產品對外部客戶提供數據時，以及通過合作的方式與第三方合作伙伴交換數據時執行共享數據的安全風險控制，以降低數據共享場景下的安全風險。

10.2.2　等級描述

10.2.2.1　等級1：非正式執行

? 組織建設：未設立崗位和人員負責數據共享過程的安全風險管控，僅當數據共享的過程中所應考慮的合規要求涉及到數據安全的要求時才考慮對共享方案執行風險評估。(BP.15.01)

10.2.2.2　等級2：計劃跟蹤

? 組織建設：由存在數據共享場景的業務團隊負責對數據共享方案執行安全風險管控，數據服務提供者與共享數據使用者應明確數據保護責任。(BP.15.02)
? 制度流程：針對數據共享的方案，從涉及的組織機構的原始數據內容、共享方案中對數據的處理方式、共享的數據內容、提供的數據展示形式等方面全面了解數據共享的過程，并從共享目的合理性、數據共享授權的合法性、共享方式的安全性、數據共享后管理責任的約束四個方面進行評估。(BP.15.03)

10.2.2.3　等級3：充分定義

? 組織建設：組織機構設立了統一的數據共享過程的安全管理的崗位和人員負責相關原則和技術能力的提供，并推廣相關要求在組織機構內的相關業務場景的落地執行。(BP.15.05)
? 制度流程：
1) 組織機構制定了數據共享的原則及數據保護措施，該要求從國家安全、組織機構的核心價值保護、個人信息保護等方面的數據共享的風險控制提出了要求，明確數據共享涉及機構或部門相關職責和權限，明確共享數據相關的使用者的數據保護責任，確保數據使用的相關方具有對共享數據的足夠的保護能力，從而保障數據共享安全策略的有效性。(BP.15.06)
2) 組織機構在原則要求的基礎上根據組織機構對數據共享涉及的數據類型、數據內容、數據格式、以及對數據共享的常見場景制定了細化的規范要求，以滿足數據共享業務場景需求范圍，提高數據共享效率，指導具體數據共享場景的風險把控。(BP.15.07)
3) 組織機構建立了規范的數據共享的審核流程，審核流程中包括但不限于數據共享的業務方、共享數據在組織機構內部的管理方、數據共享的安全管理團隊，以及根據組織機構數據共享的規范要求所需參與具體風險判定的相關方，如法律團隊、對外公關團隊、財務數據對外管理團隊等其他重要的與數據價值保護相關的團隊，確保共享的數據未超出授權范圍。(BP.15.08)
4) 組織機構制定了數據共享審計策略和審計日志管理規范，明確審計記錄要求，為數據共享安全事件的處置、應急響應和事后調查提供幫助。(BP.15.09)
5) 針對數據交換過程中涉及到第三方的數據交換加工平臺的場景，組織機構制定了明確的安全評估的要求和流程，以保證該數據交換加工平臺已符合組織機構對數據交換過程中的數據安全要求。(BP.15.10)
? 技術工具：
1) 組織機構建立了數據共享審核流程的在線平臺，組織機構內部的對外數據共享可通過平臺進行審核并詳細記錄，確保沒有超出數據服務提供者的數據所有權和授權使用范圍。(BP.15.11)
2) 利用數據加密、安全通道等措施保護數據共享過程中的個人信息、重要數據等敏感信息。
3) 建立數據共享過程的監控工具，對共享數據及數據共享服務過程進行監控，確保共享的數據未超出授權范圍。(BP.15.12)
4) 建立數據共享審計和審計日志管理的工具，明確審計記錄要求，為數據共享安全事件的處置、應急響應和事后調查提供幫助。(BP.15.13)

10.2.2.4　等級4：量化控制

? 制度流程：
1) 在組織機構統一的對數據共享的原則和規范要求下，組織機構針對關鍵的數據共享場景制定了細則，如對外的數據產品/服務的安全細則、對政府機構的數據共享安全細則等。(BP.15.15)
2) 建立對數據共享機制、相關共享組件和共享通道的安全性評估機制，以保證對相關安全風險的持續可控。(BP.15.16)

10.2.2.5　等級5：持續優化

? 制度流程：組織機構及時跟進業務相關的法律法規的更新和產業內的優秀做法，定期評估數據共享機制、服務組件和共享通道的安全性，對數據共享的風險控制方案進行持續的優化調整。(BP.15.18)