文件编码：XXX-XXXX-004 数据采集安全管理规范 发布/修订日期：2022 年 6 月 20 日 生 效 日 期： 2022 年 6 月 20 日北京思度咨询科技有限公司 文件修改记录 序 号文件代码修改章节文件更改通知单编号 修改日期修改人批准人第一章 总则 第一条 为规范数据采集过程的管理，提升安全性，降低数据采集过程中可 能出现数据泄漏等安全风险，特制定本规范。 第二条 本规范适用北京思度咨询科技有限公司针对数据采集场景的安全管 理。 第二章 数据采集场景 第三条 北京思度咨询科技有限公司涉及以下数据采集场景： （一）通过业务系统采集的用户数据。 （二）通过跨域多维平台采集的委办局数据、 IOT数据、视频数据，汇聚的 方式主要分为以下两种： 数据接口方式 数据库方式 第三章 数据采集安全 第四条 通过业务系统采集安全。包括但不限于以下方面： （一）应建立、维护和更新所存储的个人敏感信息清单，清单内容包括但不 限于所涉及个人敏感信息类别和数量，与个人敏感信息的收集、使用、转让等环 节相关的所有信息系统； （二）对可访问个人敏感信息的内部授权人员，应确保责任分离和最小授权 ， 使其仅具备完成职责所需权限，并对权限管理建立追责制度； （三）如需对采集的个人敏感信息进行远程访问，应采用加密传输机制； （四）在收集个人敏感信息的过程中，应防止个人敏感信息被窃取、篡改或 劫持。 第五条 数据采集接口安全。数据采集接口安全的管理，按照《数据接口安 全管理规范》执行。 第六条 数据库安全评估。数据库安全管理员定期对存放采集数据的数据库 进行安全检查以及风险评估，主要内容包括但不限于以下方面： （一）基线核查 第 1 页 共 4 页严格禁止所有账号的弱口令、空口令、僵尸账号等情况；检查服务器是否只 开放自身提供服务相关端口，关闭不必要的端口和对 外服务。 （二）系统漏洞扫描 通过评估 工具以本地扫描的方式对 操作系统、数据库及 常见应用/协议进行 漏洞扫描，使用的 扫描工具具有检 测出CVE、MS、CNVD等威胁情报机构已通报漏 洞的能力。 （三）渗透测试 在取得授权后，采用适 当的测试手段，发现测试目标在系统识别、服务 识别、 身份认证、数据库接口 模块、系统漏 洞检测以及验证等方面存在的安全 隐患，出 具渗透测试报告并给出解决办法。 （四）安全加固 数据安全管理员需要 组织依据风险评估 结果对前置机进行安全加 固，包括但 不限于恶意文件清除、基线加 固、安装补丁以及Web shell查杀等。对前置机进 行安全加 固后需再次进行风险评估， 若仍有整改不足之处则继续整改，直至风险 控制在可接 受范围内为止。 第四章 采集内容安全 第七条 数据安全管理小 组办公室应依据数据本身的特性与 各公共管理服务 机构（委办局） 协商数据资源汇聚频率、方式以及范 围。 第八条 数据安全管理小 组办公室应组织数据采集 工作人员对当前存在的数 据采集进程进行管理与维护（包括 目的、方式、频 率、数据内容 字段、任务开 始 时间、任务审批人及负责人等)，并在采集任务有 变动时实时地对结果进行更新。 第九条 若数据汇聚的信息涉及个人信息或其 他重要数据，数据必 须采用国 密算法进行加密，禁止 明文直接传输包 含个人敏感信息等 高风险等级的机密数据， 加密算法的选择以及密钥保存规则按照《密 钥安全管理规范》执行；传输个人信 息数据等敏感数据的接口身 份令牌的更新频 率为传输其 他类型数据接口的两 倍； 必须定期对数据汇聚方式进行 合规性评估，确保采集过程中的个人信息和 重要数 据不被泄 露。 第十条 针对个人数据和其 他重要数据应采用MD5或SHA算法对传输前后数据 的完整性进行校验，避免数据在传输过程中出 错。 第十一条 数据采集安全 岗人员应组织数据定期对 目前已建立的数据采集方 式进行风险评估，评估内容包括但不限于以下方面： （一）数据源数据安全 影响评估 第 2 页 共 4 页确认当前数据源是否在目前的管理目录或者数据接口管理 目录中，避免采集 过期数据 源或非法数据源。 （二）采集频率 确认当前数据采集频 率能否满足数据共享的要求，是否存在公共管理服务机 构汇集数据与公司采集数据频度不一 致的情况。 （三）采集方式 确认当前的采集方式是否 仍然适用，是否存在 当前数据汇聚方式 无法满足数 据汇聚要 求的情况， 例如数据类 型由结构化数据变为非结构化数据时，采集方式 相应也要进行变更。 （四）数据范围 确认目前的数据资源需求是否小于最 初的数据共 享范围，结合最新的合规文 件评估最 初的数据共 享内容是否 仍然合规。 （五）隐私保护 确认采集过程中的用户 告知方式、 告知信息、取 得同意的方式、信息存储期 限、撤回同意等是否符合最新的合规要求。 第十二条 数据采集过程中发现问 题时，应通过 电话、邮件等方式 将问题上 报至数据安全管理员， 由其派发工单至相应责任人进行 事件的处理。 第十三条 采集的数据包括用户数据 时，对于用户的安全管理按照《数据权 限安全管理规范》规范执行。 第五章 附则 第十四条 本规范由数据安全 领导小组办公室负责制定、 解释和修改。 第十五条 对违反本规范的人员， 将按照北京思度咨询科技有限公司有关规 定进行处罚。 第十六条 本规范自发布 之日起执行。 第 3 页 共 4 页