12.7 PA26 終端數據安全

12.7 PA26 終端數據安全

12.7.1　過程域描述

基于組織機構對終端層面的數據保護要求，針對組織機構內部的工作終端采取相應的技術和管理方案。

12.7.2　等級描述

12.7.2.1　等級1: 非正式執行

? 組織建設：組織機構未設立相應的崗位和人員負責終端的安全管理。(BP.26.01)

12.7.2.2　等級 2: 計劃跟蹤

? 組織建設：組織機構內的終端管理團隊負責對終端的常規管理。(BP.26.02)
? 制度流程：組織機構制訂了面向終端的數據管理規范，其中包含終端的安全配置管理。(BP.26.03)

12.7.2.3　等級 3: 充分定義

? 組織建設：組織機構內設立了統一的終端數據安全管理崗位和人員。(BP.26.05)
? 制度流程：
1) 組織機構制訂了面向終端的數據安全管理規范，明確了終端層面的數據防泄漏管理要求。(BP.26.06)
2) 組織機構定義了數據泄漏事件處理流程，并由固定的人員角色按照流程跟進事件并記錄事件處理的結果。(BP.26.07)
? 技術工具：
1) 組織機構為進入內部網絡環境的終端設備分配了終端識別號，并實現終端設備與用戶賬號的一對一綁定。(BP.26.08)
2) 組織機構內入網的終端設備均需按照統一的要求部署防護工具，如防病毒、硬盤加密、終端入侵檢測等軟件，并將終端設備納入組織機構整體的訪問控制體系中。(BP.26.09)
3) 組織機構部署了整體的終端數據防泄漏方案，通過技術工具對終端上對數據的操作進行監控。(BP.26.10)
4) 提供整體的終端安全解決方案，實現終端設備與組織機構內部員工的有效綁定，按照統一的部署標準在終端系統上安裝各類防控軟件（如防病毒、硬盤加密、終端入侵檢測等軟件），基于組織機構的數據防泄漏方案對終端系統上的數據進行風險監控。(BP.26.11)

12.7.2.4　等級 4: 量化控制

? 技術工具：組織機構定期對終端的數據防泄漏解決方案的成效進行量化的評估，評估新風險和需要調整的控制措施，量化提升組織機構整體的終端數據防泄露方案。(BP.26.13)

12.7.2.5　等級 5: 持續優化

? 技術工具：基于組織機構內部終端環境的日益變化，利用新的技術實現對多終端環境的數據防泄漏保護。(BP.26.14)