(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211294512.4 (22)申请日 2022.10.21 (71)申请人 四川航空股份有限公司 地址 610000 四川省成 都市双流国际机场 航空大厦 (72)发明人 刘晓东　宋世彬　罗江林　孙智达　 刘柳　冯涛　 (74)专利代理 机构 四川言己律师事务所 51349 专利代理师 罗韬 (51)Int.Cl. G06Q 10/06(2012.01) G06Q 50/26(2012.01) G06Q 50/30(2012.01) G06F 21/31(2013.01) (54)发明名称 基于通用数据保护条例的合规资质动态权 限管控系统及方法 (57)摘要 本发明公开了一种基于通用数据保护条例 的合规资质动态权限管控系统， 属一种线上合规 管理系统， 包括权限管理系统， GDPR资质授权管 理模块与培训与考试模块， GDPR资质授权管理模 块用于创建合规资质认证考试以及与合规资质 认证考试相对应的题库、 培训文件， 并传输至培 训与考试模块； 合规资质 认证考试为多个类型， 且分别与受控 人员的岗位相对应； 合规资质认证 考试具有各自的有效周期； 通过设计GDPR资质授 权管理模块与权限管理系统联动使用， 结合培训 与考试模块可对受控人员学习、 考试、 权限验证 进行动态管 理， 使得受控人员的合规资质与数据 访问权限相关联， 也有利于将相关责任落实到岗 位操作层粒度， 有助于消除受控 人员意识不强导 致的合规管理隐患。 权利要求书2页 说明书7页 附图3页 CN 115456480 A 2022.12.09 CN 115456480 A 1.一种基于通用数据保护条例的合规资质动态权限管控系统， 其特征在于所述的系统 包括： 权限管理系统， 用于存 储受控人员在各个业 务系统中的权限数据； GDPR资质授权管理模块， 用于创建合 规资质认证考试并传输 至培训与考试模块； 所述合规资质认证考试为多个类型， 且分别与受控人员的岗位相对应； 所述合规资质 认证考试 具有各自的有效周期； 培训与考试模块， 用于基于所述合规资质认证考试生成考试计划与培训计划， 所述考 试计划与培训计划均包含对应的受控人员ID， 以及各自的时间起止点； 所述培训与考试模 块中具有与所述 合规资质认证考试相对应的题库、 培训文件； 所述培训与考试模块还用于将考试计划与培训计划推送至对应的受控人员， 并记录各 个受控人员的培训记录与考试结果， 且在考试计划的时间止点到达后， 将所述考试结果反 馈至所述GD PR资质授权管理模块； 所述GDPR资质授权管理模块还用于根据所述考试结果， 修改各个受控人员的GDPR合规 资质授权标识符状态， 然后同步至所述权限管理系统； 所述GDPR合规资质授权标识符状态 包括生效与禁用。 2.根据权利要求1所述的基于通用数据保护条例的合规资质动态权限管控系统， 其特 征在于： 所述GDPR资质授权管 理模块还用于定时将各个受控 人员的GDPR合规资质授权标识 符状态推送至权限管理系统， 并从所述权限管理系统中获取当前受控人员的岗位状态数 据； 所述GDPR资质授权管理模块还用于当受控人员的岗位状态发生变化时， 调用权限管理 系统的API接口， 修改所述GD PR合规资质授权标识符状态。 3.根据权利要求1或2所述的基于通用数据保护条例的合规资质动态权限管控系统， 其 特征在于： 所述权限管理系统还用于当受控人员 访问或登陆所述业务系统， 业务系统向权 限管理系统请求验证当前 受控人员是否具有访问或登陆权限时， 向当前业务管理系统反馈 验证结果数据， 所述验证结果数据至少包括当前受控人员的GDPR合规资质授权标识符状 态。 4.根据权利要求1所述的基于通用数据保护条例的合规资质动态权限管控系统， 其特 征在于： 所述GDPR资质授权管理模块还用于当所述考试结果为通过时， 将当前受控人员的 GDPR合规资质授权标识符状态 修改为生效， 且在当前合规资质认证考试的有效周期 止点到 达前， 向对应的受控人员和/或受控人员所属的管理员发送提 示信息。 5.根据权利要求1或4所述的基于通用数据保护条例的合规资质动态权限管控系统， 其 特征在于： 所述受控人员为航空公司中涉及接触各个业务系统中航空旅客个人敏感信息的 人员。 6.根据权利要求1所述的基于通用数据保护条例的合规资质动态权限管控系统， 其特 征在于： 所述GDPR资质授权管理模块以航空公司的业务系统为单位， 并按照业务领域、 受控 人员的岗位类型生成对应的合 规资质认证考试。 7.根据权利要求1所述的基于通用数据保护条例的合规资质动态权限管控系统， 其特 征在于： 各个业 务系统中具有GD PR合规资质授权标识符验证启用与关闭配置 。 8.一种基于通用数据保护条例的合规资质动态权限管控方法， 其特征在于所述方法包权　利　要　求　书 1/2 页 2 CN 115456480 A 2括如下步骤： GDPR资质授权管理模块创建合规资质认证考试并传输至培训与考试模块； 所述合规资 质认证考试为多个 类型， 且分别与受控人员的岗位相对应； 所述合规资质认证考试 具有各自的有效周期； 培训与考试模块基于所述合规资质认证考试生成考试计划与培训计划， 所述考试计划 与培训计划均包含对应的受控人员ID， 以及各自的时间起止点； 所述培训与考试模块中具 有与所述 合规资质认证考试相对应的题库、 培训文件； 培训与考试模块将考试计划与培训计划推送至对应的受控人员， 记录各个受控人员的 培训记录与考试结果， 并在考试计划的时间止点到达后， 将所述考试结果反馈至所述GDPR 资质授权管理模块； GDPR资质授权管理模块根据所述考试结果， 修改各个受控人员的GDPR合规资质授权标 识符状态， 然后同步至所述权限管理系统； 所述GDPR合规资质授权标识符状态包括生效与 禁用。 9.根据权利要求8所述的基于通用数据保护条例的合规资质动态权限管控方法， 其特 征在于所述的方法还 包括如下步骤： 所述GDPR资质授权管理模块还用于定时将各个受控人员的GDPR合规资质授权标识符 状态推送至 权限管理系统， 并从所述权限管理系统中获取当前受控人员的岗位状态数据； 当受控人员的岗位状态发生变化时， GDPR资质授权管理模块调用权限管理系 统的API 接口， 修改所述GD PR合规资质授权标识符状态； 当受控人员访问或登陆所述业务系统， 业务系统向权限管理系统请求验证当前受控人 员是否具有访问或登陆权限时， 权限管理系统向当前业务管理系统反馈验证结果数据， 所 述验证结果数据至少包括当前受控人员的GD PR合规资质授权标识符状态。 10.根据权利要求8或9所述的基于通用数据保护条例的合规资质动态权限管控方法， 其特征在于所述的方法还 包括如下步骤： 当所述考试结果为通过时， 将当前受控人员的GDPR合规资质授权标识符状态修改为生 效， 且在当前合规资质认证考试的有效周期止点到达前， GDPR资质授权管理模块向对应的 受控人员和/或受控人员所属的管理员发送提 示信息。权　利　要　求　书 2/2 页 3 CN 115456480 A 3