文件编码：XXX-XXXX-011 数据分析安全管理规范 发布/修订日期：2022 年 6 月 20 日 生 效 日 期： 2022 年 6 月 20 日 北京思度咨询科技有限公司文件修改记录 序 号文件代码修改章节文件更改通知单编号 修改日期修改人批准人第一章 总则 第一条 为规范北京思度咨询科技有限公司数据使用、分析及分析结果的安 全，防范在分析过程中出现的数据外泄、越权操作、恶意操作等行为，确保数据 分析全程可知、可控、可管，制定本规范。 第二条 本规范适用于规范北京思度咨询科技有限公司数据分析过程的安全 操作。 第二章 权限职责 第三条 数据安全领导小组办公室主要履行的职责包括但不限于： （一）制定数据分析过程中数据分析人员需要遵守的制度、规范以及流程； （二）负责组织评估数据分析过程中存在的安全风险，定期评审数据分析制 度、规范以及流程合理性、有效性； （三）定期组织针对数据分析人员开展数据安全意识培训工作，加强其数据 保护意识； （四）负责对数据安全分析制度、策略进行推广。 第四条 技术中心-数据分析安全岗人员： （一）参与制定数据分析安全管理规范； （二）对数据挖掘分析任务进行评估，依据任务类型选择合适的数据分析方 法、确定所需具体数据，开展数据挖掘分析工作； （三）管理、审核派发的数据分析挖掘需求工单是否符合规范； （四）负责组织审核数据分析结果、数据与使用的合规性，防止数据分析结 果输出造成安全风险。 第 1 页 共 4 页第三章 数据分析安全原则 第五条 数据采集原则 （一）数据源的获取必须合规合法，可从开源网站、问卷调查、权威机构获 取数据； （二）从数据源采集的数据必须经过数据鉴别和脱敏处理之后才能进行分析 ； （三）从特定数据源采集数据必须获得数据提供方的书面授权； （四）数据采集必须建立相关档案进行存档。 第六条 数据分析质量保障原则 （一）数据源尽量从权威机构获取； （二）获得数据源之后必须采用相关方法对数据进行分析以保证质量，常用 的方法有：同类对比、狭义 /广义比对、相关对比和演绎归谬； （三）在数据分析过程中可采用关联分析、对比分析等方法实现数据分析的 质量保障。 第七条 数据分析过程操作原则 （一）在数据分析过程中须严格按照制定的分析步骤进行分析，不能随意 增 加分析过程的步骤； （二）分析过程需以日 志方式进行全程记录，保证分析过程的可 追溯性； （三）分析过程中所使用的工具 /方法不得随意更 换/更改； （四）分析过程结 束后需将分析过程中的相关文件 整理归档。 第八条 数据分析结果安全审查和授权控制原则 （一）数据分析结 束后得出的分析结果必须经过数据安全领导小组办公室审 核之后才能使用； （二）数据分析结果的审查 内容为：敏感信息、数据源、数据分析过程等； （三）数据分析结果的审查必须 由技术中心-数据分析安全岗人员进行； （四）数据分析结果的使用需获得数据源提供方的书面授权； （五）数据分析结果 转让/授权给第三方使用 时需获得数据源提供方的书面 授权； （六）数据分析结果的审查及授权需建立相 应档案进行归档。 第四章 数据分析安全管理 第 2 页 共 4 页第九条 数据分析挖掘 场景包括但不限于以 下场景： （一）系统、服务器、终端设备等操作日 志的分析； （二）根据客户提出的分析需求，在 北京思度咨询科技有限公司数据 库中选 择相应的数据进行挖掘与分析。 第十条 分析需求的审核。数据安全领导小组办公室 根据需求工单评估数据 分析需求是否合理，主要包括 申请的数据内容与分析内容是否一致，若一致，将 分析需求 下发至相关人员负责需求的操作 。 第十一条 数据访问安全要求 （一）数据分析人员 账号申请及权限管控等过程按照 XXX科技发展有限公司 数据权限相关要求 执行； （二）数据分析人员使用的 账号需精确授权，限制可以 访问的业务范围、使 用的数据 库操作指令等； （三）所有的授权过程需 被审计，保留授权操作日 志。 第十二条 数据处理安全要求 （一）若处理的数据中包 含敏感信息，参考北京思度咨询科技有限公司数据 脱敏安全管理要求，对相关敏 感数据进行脱敏操作，脱敏后 将相关数据提供 给技 术中心-数据分析安全岗人员进行分析； （二）如果不包含敏感信息，则提供相关数据 资源目录、表及字段供技术中 心-数据分析安全岗人员分析； （三）若需要将分析的数据导出 到终端进行分析 时，需进行审批，数据加工 完成后，终端上不得保留原始数据。 第十三条 数据接口安全。当通过接口调取数据进行分析 时，应保护提供的 通道安全，具体的 接口安全管理过程参照北京思度咨询科技有限公司 接口安全管 理要求执行。 第十四条 分析结果安全。数据安全领导小组办公室 应组织相关人员对技术 中心-数据分析安全岗人员提 交的分析结果进行评审，评审的 内容包括： （一）分析的结果中是否包 含敏感数据； （二）分析的结果是否可以关联 到个人敏感信息； （三）分析的结果是否与需求一 致； （四）分析的技术是否安全，是否 会造成敏感信息泄漏等。 第十五条 分析人员操作安全。技术中心 -数据分析安全岗人员在构建数据 仓库、建模、分析、挖掘、展现等方面 时，明确数据分析的 逻辑。分析时所采用 第 3 页 共 4 页 的方法需经过数据安全领导小组办公室审核，不 允许利用获取的相关数据从 事其 他无关的分析 活动。 （一）技术中心-数据分析安全岗人员不得 私自拷贝、使用、 传播、保存与 自己工作无关的数据； （二）技术中心-数据分析安全岗人员 无权在未经批准的 情况下向其他单位 或个人提供分析数据 或其衍生物；如因工作原因需要对外提供的， 应经数据安全 管理员确 认，并做好记录、备案、备查； （三）对于导 入到技术中心-数据分析安全岗人员 终端上的分析数据， 终端 数据的安全管理参 考XXX科技发展有限公司 终端安全管理要求 执行，避免敏感数 据泄露。 第十六条 安全审计 （一）所有的数据处理分析过程需要 被系统审计，包括授权、 访问、数据处 理操作、数据分析操作及导 入导出操作等，所 产生的审计日志并按照《网络安全 法》要求，将日志选择留存6个月以上或永久留存； （二）技术中心-数据分析安全岗人员实 时分析审计日志，及时发现违规行 为，并上报数据安全领导小组办公室进行处 置。 第五章 附则 第十七条 本规范由数据安全领导小组办公室负责制定、 解释和修改。 第十八条 对违反本规定的人员， 将按照北京思度咨询科技有限公司有关规 定进行处 罚。 第十九条 本规范自发布之日 起执行。 第 4 页 共 4 页