数据共享权限管理规定

数据共享权限管理规定第一章总则1.1立法依据本规定依据《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《网络安全法》《关键信息基础设施安全保护条例》《GB/T37918-2019数据安全能力成熟度模型》《GB/T35273-2020个人信息安全技术规范》以及公司《信息安全基本制度》制定，适用于××科技股份有限公司（以下简称“公司”）及其境内外全部控股子公司、分支机构、合资公司、受托运维单位。1.2适用数据范围本规定所称“数据”指公司合法拥有或受托处理、以电子或其他方式记录的全部信息资产，包括但不限于：a)个人信息：可单独或与其他信息结合识别自然人身份的数据；b)业务数据：订单、交易、日志、报表、算法模型、源代码、配置文件；c)监管数据：人行、银保监、证监、网信、外汇、海关等监管机构依法要求报备或备案的数据；d)第三方回传数据：合作银行、支付机构、物流、广告平台回传的数据；e)衍生数据：经清洗、加工、建模后形成的新数据集。1.3权限管理目标在“最小可用、按需授权、职责分离、全程留痕、可审计、可撤销”六大原则下，实现：a)数据共享前评估率100%；b)敏感数据共享审批线上化率100%；c)共享权限自动化回收率100%；d)异常访问行为5分钟内告警、30分钟内处置；e)年度合规审计发现问题闭环率100%。第二章组织与职责2.1数据安全委员会（DSC）主任：公司首席安全官（CSO）；成员：法务、合规、内审、风控、技术、业务、人力、财务、行政负责人；职责：审议年度数据共享策略、重大共享项目、权限模型变更、安全事件调查报告。2.2数据共享责任人（DPO）每个一级部门设1名DPO，由部门副总以上职级担任，向DSC汇报；职责：梳理本部门数据资产目录、提出共享申请、组织影响评估、监督共享实施。2.3数据共享审核人（DRC）由安全部、法务部、合规部、内审部各指派2名具备CISP、CISA、CISSP、法律执业资格的中级及以上人员组成；职责：对共享申请进行技术、合规、商业三重评审，行使否决权。2.4数据共享运营团队（DSO）编制8人，隶属安全部，负责权限配置、系统运维、日志分析、权限回收、指标度量。2.5数据共享审计团队（DSA）编制4人，隶属内审部，每季度对20%高风险共享项目进行穿透式审计，出具整改通知书。第三章数据分级与分类3.1分级标准采用“五级三色”模型：L1公开级（绿色）：已主动公开或脱敏后无风险；L2内部级（蓝色）：泄露造成轻微影响；L3秘密级（黄色）：泄露造成较大商业损失或监管关注；L4机密级（橙色）：泄露造成重大商业损失或个人信息泄露10万条以上；L5绝密级（红色）：泄露造成公司上市暂停、牌照吊销、国家安全事件。3.2分类维度a)业务域：支付、信贷、营销、风控、供应链、人力、财务；b)数据主体：个人、企业、设备、组织、监管；c)数据形态：结构化、半结构化、非结构化、二进制；d)数据生命周期：采集、存储、使用、共享、销毁。3.3自动化打标数据湖接入Flume、Kafka、Flink流式任务，调用基于BERT的敏感字段识别模型，完成打标准确率≥95%；打标结果写入ApacheAtlas，形成血缘图谱。第四章权限模型设计4.1RBAC+ABAC混合模型Role-BasedAccessControl负责静态职责分离；Attribute-BasedAccessControl负责动态细粒度控制。4.2角色定义全局角色：DataGovernor、DataSteward、DataEngineer、DataAnalyst、DataScientist、Auditor、Guest；项目角色：ProjectOwner、ProjectMember、ProjectViewer；临时角色：TempDeveloper、TempVendor、TempConsultant，有效期≤30天，到期自动失效。4.3属性集合主体属性：部门、岗位、职级、入职时间、安全考试得分、可信设备、地理位置；客体属性：库、表、列、分区、标签、敏感度、业务域、生命周期状态；环境属性：访问时间、风险评分、链路加密状态、终端安全基线得分；操作属性：select、insert、update、delete、truncate、alter、export、download、share、api_call。4.4策略语法采用ALFA（AxiomaticsLanguageforAuthorization）标准，示例：policyshare_policy{targetresource.sensitivity=="L4"&&action.id=="share"&&subject.department!=subject.resource.department;conditionstringOneAndOnly(subject.clearanceLevel)>="L4"&&stringOneAndOnly(subject.purpose)=="cross_marketing"&&booleanOneAndOnly(subject.drcApproved)==true&&timeInRange("08:00+08:00","20:00+08:00");permitobligationslog("share",subject.id,resource.id,"high");}第五章共享申请流程5.1前置条件a)数据资产已登记入公司“数据地图”系统，拥有唯一18位资产编码；b)数据提供方已完成年度合规评估，评估报告在有效期内（12个月）；c)数据接收方已签署《数据保密协议》（NDA）与《数据处理协议》（DPA），并完成安全能力测评得分≥80/100；d)如涉及跨境传输，已通过国家网信部门安全评估或完成个人信息保护认证。5.2线上申请申请人在OA系统打开“数据共享申请”表单，填写：a)共享目的：模型训练、联合营销、监管报送、商业分析；b)共享方式：库到库、API、文件、消息队列、沙箱；c)数据范围：库表列清单、样本行数、预估总量、更新频率；d)使用期限：起始日期、终止日期，最长不超过12个月；e)脱敏要求：掩码、哈希、Tokenization、差分隐私、同态加密；f)销毁方式：物理删除、逻辑删除、密钥粉碎、硬盘消磁。5.3影响评估（DPIA）系统调用问卷68项，自动计算风险分值：a)数据敏感度权重40%；b)数据量权重20%；c)接收方安全能力权重20%；d)跨境权重10%；e)历史违规权重10%。总分≥60分触发人工复审；≥80分须上报DSC主任审批。5.4技术评审DSO团队检查：a)网络策略：是否走加密隧道（TLS1.3、IPSec、HTTPS）；b)接口鉴权：是否采用OAuth2.0+mTLS；c)流量限制：QPS≤500，单IP白名单；d)日志标准：是否包含req_id、uid、action、timestamp、src_ip、dst_ip、result；e)脱敏脚本：是否在测试环境跑通，抽样验证1000条误差率≤1%。5.5合规评审法务部核查：a)共享目的是否与原始告知目的相符，必要时重新取得个人信息主体授权；b)合同条款是否包含“数据返还与删除”“违约责任”“争议解决地”；c)跨境场景下是否完成SCC（标准合同）备案；d)是否涉及国家核心数据，需走行业主管部门额外审批。5.6审批时效L1-L2数据：系统自动审批≤5分钟；L3数据：DRC初审≤1工作日，复审≤1工作日；L4数据：DSC主任审批≤3工作日；L5数据：董事会下设风险委员会审批≤5工作日。5.7授权下发审批通过后，DSO在ApacheRanger生成策略并同步至：a)数据湖Hive、Spark；b)实时数仓ClickHouse；c)API网关Kong；d)对象存储S3；e)大数据平台HDFS。同步完成自动发送加密邮件至申请人、数据提供方、审计团队。第六章共享实施与运维6.1网络隔离生产区与共享区采用VPC隔离，通过防火墙策略仅开放443、6443端口；共享区内部再分DMZ、沙箱、分析区，东西向流量默认拒绝。6.2加密要求传输：TLS1.3+AES256-GCM+SHA384；存储：AES256-XTS全盘加密，密钥托管在FIPS140-2Level3的HSM；备份：使用SM4国密算法，异地机房相隔≥500km。6.3脱敏执行每日02:00由Airflow调度脱敏任务，生成“共享库”：a)姓名：保留首字，其余替换为；a)姓名：保留首字，其余替换为；b)身份证：保留前3后4，中间10位哈希；c)手机号：中间4位随机置换，映射表保存于加密Redis，7天后销毁；d)地址：精确到区县，门牌号随机化偏移100–500米；e)交易金额：加入Lap(ε=1)噪声。6.4访问监控a)实时：FlinkCEP规则42条，命中异常立即发钉钉、电话、短信；b)离线：每日06:00运行SparkSQL统计昨日访问基线，偏差>3σ生成工单；c)溯源：通过Zipkin+SkyWalking实现分布式追踪，trace_id保留180天；d)大屏：Grafana仪表盘展示共享库QPS、带宽、拒绝数、脱敏失败数。6.5权限回收a)到期回收：系统根据授权有效期T-1日发送提醒，T日00:00自动失效；b)项目结束：ProjectOwner在OA点击“结项”，触发回收脚本；c)人员离职/调岗：HR系统推送事件，DSO在30分钟内完成回收；d)异常回收：检测到非工作时间大批量下载，立即一键KillSession并冻结账号。第七章第三方接收方管理7.1准入测评采用OWASPDSMM2.1版103项指标，得分≥80方可进入白名单；测评报告12个月内有效。7.2合同必备条款a)数据用途限制：禁止转售、转授权、逆向工程；b)次级处理者：须书面同意并承担连带责任；c)数据返还：合同终止5个工作日内完成，返还后3个工作日提供销毁证明；d)审计权：公司有权每年1次现场或远程审计，第三方须配合；e)违约金：每泄露1条个人信息赔偿500元，上限5000万元或合同金额10倍。7.3持续监督a)每季度远程漏洞扫描，高危漏洞7日内修复；b)每年渗透测试1次，测试报告提交DSC；c)接收方发生重大安全事件（如勒索病毒、数据泄露）须在24小时内书面通报。第八章日志与审计8.1日志标准遵循《GB/T36627-2018信息安全技术日志审计产品技术要求》，字段不少于32项，包含主体、客体、操作、结果、环境五维信息。8.2存储周期a)L1-L2数据访问日志：90天；b)L3数据访问日志：180天；c)L4-L5数据访问日志：永久保存，使用WORM存储；d)日志哈希：每日23:50计算SHA256并写入区块链（HyperledgerFabric），防止篡改。8.3审计流程a)季度审计：DSA制定计划→现场抽查→出具报告→责任部门10日内整改；b)专项审计：发生泄露事件后72小时内启动，30日内完成；c)审计工具：使用公司自研“天权”审计平台，支持300+数据源、SQL语义解析、图关联分析；d)审计问责：发现问题分级：轻微（口头警告）、一般（书面警告+扣减绩效5%）、严重（降级或开除）、违法（移送司法机关）。第九章应急与事件响应9.1事件分级P1特别重大：绝密级数据泄露≥1万条或造成股价波动>5%；P2重大：机密级数据泄露≥10万条或监管约谈；P3较大：秘密级数据泄露≥50万条或造成直接损失≥100万元；P4一般：内部级数据泄露或影响用户<1万人。9.2响应流程a)发现：任何员工5分钟内通过400-999-9999热线或“一键报险”App上报；b)定级：安全值班经理15分钟内完成初判，通知CSO、法务、PR；c)遏制：P1/P2事件30分钟内断开共享通道、冻结账号、下线API；d)溯源：使用ClickHouse关联5大日志源，2小时内输出攻击链；e)通报：P1事件1小时内向监管报备，24小时内发用户公告；f)复盘：事件关闭5个工作日内召开复盘会，输出8D报告，3个月内完成整改。9.3应急预案演练每半年组织1次红蓝对抗，模拟“离职员工越权下载L4营销数据并企图出售给竞品”场景，检验权限回收、日志完整、司法取证能力；演练结束生成改进清单，纳入OKR。第十章培训与考核10.1入职培训新员工3日内完成“数据共享权限管理”线上课程2小时，考试90分合格，不合格禁止开通VP