# 苏州教育E卡通数据安全运维方案

## 方案概述

本方案依据《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019）第三级要求，结合苏州教育E卡通平台实际运维需求，建立一套**实用、可操作**的数据安全管控体系。

**适用范围**：所有参与平台运维、管理的人员，包括系统管理员、客服人员、学校管理人员等。

**方案目标**：确保学生数据安全，满足等保三级合规要求，提供标准化操作指导。

---

## 第一部分：管理要求和责任体系

### 1.1 三级等保合规要求映射

#### 1.1.1 安全管理制度要求

| 等保三级要求 | 本方案对应措施 | 责任角色 | 检查频率 |
|--------------|----------------|----------|----------|
| 安全管理制度 | 本方案及相关操作规程 | 数据安全管理领导小组 | 每年审查 |
| 安全管理机构 | 建立数据安全管理组织架构 | 电教馆、市民卡公司 | 每半年检查 |
| 安全管理人员 | 明确各角色职责和权限 | 各部门负责人 | 持续监督 |
| 安全建设管理 | 系统建设安全规范 | 系统运维人员 | 项目执行时 |
| 安全运维管理 | 日常运维操作规范 | 全体运维人员 | 每日执行 |

#### 1.1.2 技术安全要求

| 等保三级要求 | 技术实现措施 | 验证方法 |
|--------------|--------------|----------|
| 身份鉴别 | 双因素认证、密码复杂度控制 | 登录测试、密码检查 |
| 访问控制 | 基于角色的权限控制、最小权限原则 | 权限审计、访问测试 |
| 安全审计 | 完整的操作日志记录、防篡改 | 日志审查、完整性检查 |
| 数据完整性 | 数据传输加密、存储校验 | 技术检测、定期验证 |
| 数据保密性 | 敏感数据加密、脱敏展示 | 加密检查、数据分类审计 |
| 产品和供应链 | 安全产品采购、供应商管理 | 供应商审查、产品认证检查 |

### 1.2 组织架构和职责分工

#### 1.2.1 数据安全管理领导小组

**组成人员**：
- 组长：电教馆负责人
- 副组长：市民卡公司项目负责人
- 成员：各部门主要负责人

**主要职责**：
- 制定数据安全战略和政策
- 审批重要数据安全管理制度
- 协调解决重大数据安全问题
- 定期评审数据安全状况

#### 1.2.2 日常运维组织架构

**角色责任矩阵**：

| 角色 | 主要职责 | 权限范围 | 禁止行为 | 责任人 |
|------|----------|----------|----------|---------|
| **数据安全官** | 整体安全管理、策略制定 | 制定安全策略、监督检查 | 参与具体业务操作 | 电教馆安全负责人 |
| **系统管理员** | 系统配置、用户管理 | 系统设置、账号管理 | 单独进行关键操作 | 市民卡项目负责人 |
| **业务审核员** | 业务操作审批、数据质量审核 | 审批业务申请、质量检查 | 修改业务数据 | 电教馆E卡通负责人 |
| **安全审计员** | 安全监控、审计分析 | 查看日志、生成报告 | 执行业务操作 | 电教馆安全负责人 |
| **系统运维员** | 系统维护、备份恢复 | 服务器维护、备份执行 | 查看业务数据 | 市民卡系统运维人员 |
| **客服人员** | 用户服务、业务咨询 | 查询基本信息、处理订单 | 查看敏感信息、修改数据 | 市民卡客服人员 |
| **学校管理员** | 本校数据管理 | 本校数据增删改查 | 跨校操作、批量导出 | 各校指定负责人 |

#### 1.2.3 职责分离要求

**强制职责分离**：
- 操作与审批分离：操作执行人不能兼任审批人
- 开发与运维分离：系统开发人员不参与生产运维
- 业务与技术分离：技术人员不直接处理业务数据
- 审计与执行分离：审计人员不参与业务操作

### 1.3 管理制度体系

#### 1.3.1 核心管理制度

1. **《数据安全管理总则》**
   - 数据安全目标和原则
   - 组织架构和职责分工
   - 合规要求和法律责任

2. **《人员安全管理制度》**
   - 人员入职安全审查
   - 岗位职责和权限分配
   - 离职流程和权限回收

3. **《操作安全管理制度》**
   - 操作分类和分级管理
   - 标准化操作流程
   - 异常情况处理

4. **《应急响应管理制度》**
   - 应急组织架构
   - 事件分级和响应流程
   - 恢复和改进措施

#### 1.3.2 操作规程和标准

1. **《系统操作规程》**
   - 各类系统操作的标准步骤
   - 安全控制措施要求
   - 质量检查要点

2. **《数据处理规程》**
   - 数据分类分级标准
   - 数据处理权限要求
   - 数据质量控制措施

3. **《安全审计规程》**
   - 审计范围和内容
   - 审计频率和方法
   - 异常识别和处理

---

## 第二部分：分级管控和操作流程

### 2.1 数据分类分级标准

#### 2.1.1 数据敏感度分类

**核心敏感数据（L1）**：
- 身份证号码、护照号码
- 学生姓名+学号+家庭住址组合
- 监护人身份证和联系方式
- 银行账户信息

**重要敏感数据（L2）**：
- 学生基本信息（姓名、性别、出生日期）
- 学校和班级信息
- 一般联系方式（电话、邮箱）
- 卡片状态和消费记录

**一般数据（L3）**：
- 统计汇总数据
- 公开信息
- 系统配置信息
- 操作日志

#### 2.1.2 数据处理风险分级

| 操作类型 | 数据级别 | 操作规模 | 风险等级 | 管控要求 |
|----------|----------|----------|----------|----------|
| 查询操作 | L1/L2/L3 | 单条/批量 | 一般/重要 | 基础认证/审批 |
| 修改操作 | L1 | 单条 | 关键 | 双因素认证+审批 |
| 修改操作 | L1 | 批量(≥50) | 关键 | 双人确认+双因素认证+审批 |
| 修改操作 | L2 | 单条 | 重要 | 双因素认证+审批 |
| 修改操作 | L2 | 批量(≥50) | 重要 | 双因素认证+审批 |
| 修改操作 | L3 | 任意 | 一般 | 基础认证 |
| 删除操作 | L1/L2 | 任意 | 关键/重要 | 相应等级管控措施 |
| 导出操作 | L1/L2 | 批量(≥50) | 重要 | 双因素认证+审批 |
| 系统配置 | - | 任意 | 关键 | 双人确认+审批+备份 |

### 2.2 操作风险分级体系

#### 2.2.1 关键操作（Level 1）

**操作范围**：
- 核心系统配置修改
- 管理员权限分配和回收
- 审计规则和策略修改
- L1敏感数据批量操作（≥50条）
- 系统重大运维调整
- 数据备份和恢复操作

**管控要求**：
- **事前审批**：纸质审批单，需要数据安全管理领导小组审批
- **双人执行**：一人主操作，一人监督确认
- **双因素认证**：密码+动态口令，必要时增加生物特征
- **全程记录**：屏幕录制+操作日志+结果确认
- **强制备份**：操作前必须完成数据备份
- **时间窗口**：必须在预先批准的维护窗口执行

#### 2.2.2 重要操作（Level 2）

**操作范围**：
- L1敏感数据单条操作
- L2敏感数据批量操作（≥50条）
- 用户账号创建和权限分配
- 业务流程关键节点操作
- 重要报表生成和导出
- 系统参数调整

**管控要求**：
- **审批要求**：需要主管或指定审批人事前审批
- **双因素认证**：密码+动态口令或短信验证
- **操作确认**：关键步骤需要二次确认
- **完整日志**：记录操作全过程和结果
- **事后审核**：审批人需在24小时内审核操作结果

#### 2.2.3 一般操作（Level 3）

**操作范围**：
- L2/L3数据单条操作
- 数据查询（<50条）
- 报表生成和统计
- 补换卡订单处理
- 系统状态查看
- 非敏感信息修改

**管控要求**：
- **基础认证**：用户名密码+图形验证码
- **权限检查**：系统自动验证操作权限
- **操作记录**：记录基本操作信息
- **会话管理**：30分钟超时自动退出
- **异常监控**：异常操作触发告警

### 2.3 标准化操作流程

#### 2.3.1 通用三阶段流程

**所有操作必须遵循以下标准流程**：

```
申请准备 → 审批确认 → 执行操作 → 结果验证 → 记录归档
```

#### 2.3.2 关键操作详细流程

**阶段一：申请准备（T-1天至T-2小时）**

1. **需求确认**
   - 明确操作目的和预期结果
   - 评估操作影响范围和风险
   - 准备操作方案和回滚计划

2. **申请提交**
   - 填写《关键操作申请单》
   - 附操作方案和风险评估报告
   - 提前1-2个工作日提交

3. **材料准备**
   - 确认操作人员权限和资质
   - 准备必要的工具和环境
   - 完成数据备份准备

**阶段二：审批确认（T-2小时至T-0）**

1. **技术审批**
   - 系统管理员审核技术可行性
   - 确认系统状态和备份情况
   - 评估操作风险和影响

2. **业务审批**
   - 业务审核员确认业务必要性
   - 评估业务影响和用户通知
   - 确认操作时间窗口

3. **最终审批**
   - 数据安全管理领导小组审批
   - 确认操作条件和安全保障
   - 签发操作许可

**阶段三：执行操作（T-15分钟至T+30分钟）**

1. **执行前检查**
   - 验证所有审批文件完备
   - 确认系统状态正常
   - 双人确认操作方案

2. **操作执行**
   - 主操作人按方案执行
   - 监督人全程监督确认
   - 实时记录操作过程

3. **结果验证**
   - 验证操作结果正确性
   - 检查系统功能正常
   - 确认无异常情况

**阶段四：记录归档（T+30分钟至T+24小时）**

1. **操作记录**
   - 完整记录操作过程
   - 保存相关日志和截图
   - 填写操作执行报告

2. **结果通知**
   - 通知相关方操作结果
   - 更新系统状态记录
   - 处理后续事宜

3. **资料归档**
   - 整理所有相关文档
   - 按档案管理要求归档
   - 更新操作知识库

---

## 第三部分：具体操作规范

### 3.1 身份认证和访问控制

#### 3.1.1 账户管理规范

**账户创建流程**：

1. **申请阶段**
   - 申请人填写《系统账户申请表》
   - 部门主管审核申请合理性
   - 明确账户权限和使用期限

2. **审批阶段**
   - 一般账户：系统管理员审批
   - 高权限账户：安全管理员会签
   - 临时账户：明确使用期限

3. **创建阶段**
   - 系统管理员执行账户创建
   - 设置初始密码（强制首次修改）
   - 配置相应权限和角色

4. **通知阶段**
   - 通知申请人账户已创建
   - 提供登录指南和安全要求
   - 记录账户创建信息

**账户变更管理**：
- 权限变更：重新履行申请审批流程
- 信息更新：及时更新联系方式等信息
- 角色调整：根据岗位变化调整权限

**账户注销流程**：
1. 离职前：立即冻结账户访问权限
2. 离职后：3个工作日内完成账户注销
3. 权限回收：回收所有相关权限和访问凭据
4. 记录归档：保存账户生命周期完整记录

#### 3.1.2 密码安全管理

**密码策略要求**：
- **长度要求**：最少12位字符
- **复杂度要求**：包含大写字母、小写字母、数字、特殊字符四类
- **历史要求**：禁止使用最近6次使用过的密码
- **有效期**：90天强制更换，提前7天提醒
- **临时账户**：有效期不超过7天

**密码安全规范**：
- 严禁在纸张或电子文档中记录密码
- 严禁使用默认密码或简单密码
- 严禁在非安全环境中输入密码
- 严禁与他人共享个人密码

#### 3.1.3 认证机制

**不同操作级别的认证要求**：

| 操作级别 | 认证方式 | 额外验证 | 会话管理 |
|----------|----------|----------|----------|
| 关键操作 | 三因素认证 | 动态口令+生物特征+审批单 | 15分钟超时 |
| 重要操作 | 双因素认证 | 动态口令+短信验证 | 30分钟超时 |
| 一般操作 | 双因素认证 | 动态口令+图形验证码 | 30分钟超时 |
| 查询操作 | 单因素认证 | 用户名密码 | 60分钟超时 |

**异常登录处理**：
- 连续5次失败锁定账户30分钟
- 异地登录触发二次验证
- 异常时间登录需要审批确认
- 所有异常情况记录并分析

### 3.2 数据操作规范

#### 3.2.1 数据查询操作

**L1敏感数据查询**：
- **权限要求**：至少需要主管级别授权
- **审批要求**：单次查询需要事前审批
- **操作要求**：双因素认证+操作确认
- **记录要求**：完整记录查询条件和结果

**L2敏感数据查询**：
- **权限要求**：相应业务角色权限
- **批量查询**：≥50条需要审批
- **操作要求**：双因素认证
- **记录要求**：记录查询概要信息

**一般数据查询**：
- **权限要求**：基础角色权限
- **操作要求**：标准认证
- **记录要求**：基础操作日志

#### 3.2.2 数据修改操作

**L1数据修改**：
1. **操作前准备**
   - 确认修改必要性和合法性
   - 准备相关证明材料
   - 完成数据备份

2. **申请审批**
   - 填写《数据修改申请表》
   - 提供修改依据和证明材料
   - 获得书面审批

3. **执行修改**
   - 双人确认修改内容
   - 按授权范围执行
   - 实时记录修改过程

4. **结果确认**
   - 验证修改结果正确性
   - 通知相关方
   - 归档操作记录

**L2数据修改**：
- 基本遵循L1流程，但审批层级可适当降低
- 批量修改仍需高级别审批
- 保留完整的修改轨迹

#### 3.2.3 数据导出操作

**导出权限控制**：
- L1数据：原则上禁止导出，特殊情况需领导小组审批
- L2数据：批量导出需要主管审批
- L3数据：按角色权限控制

**导出安全要求**：
- 导出文件加密存储
- 使用安全通道传输
- 按规定期限销毁
- 记录导出完整信息

### 3.3 系统运维操作规范

#### 3.3.1 系统配置管理

**配置变更流程**：

1. **变更申请**
   - 描述变更内容和原因
   - 分析变更影响和风险
   - 制定变更计划和回滚方案

2. **技术评估**
   - 系统管理员评估技术可行性
   - 测试环境验证变更效果
   - 确认兼容性和稳定性

3. **审批执行**
   - 按照风险等级获得相应审批
   - 在维护窗口执行变更
   - 双人确认和监督

4. **验证记录**
   - 验证变更效果
   - 监控系统运行状态
   - 记录变更详细信息

#### 3.3.2 备份和恢复

**备份策略**：
- **实时备份**：关键数据实时同步，RPO≈0
- **增量备份**：每小时增量备份，保留7天
- **全量备份**：每日全量备份，保留30天
- **异地备份**：每日同步到异地存储

**备份操作规范**：
- 备份前检查系统状态
- 验证备份完整性
- 记录备份结果
- 定期测试备份可用性

**恢复操作流程**：
1. **恢复需求确认**
   - 明确恢复范围和目标
   - 评估恢复时间和影响
   - 制定恢复计划

2. **恢复准备**
   - 准备恢复环境和工具
   - 验证备份文件完整性
   - 确认回滚方案

3. **执行恢复**
   - 按计划执行恢复操作
   - 实时监控恢复进度
   - 验证恢复结果

4. **恢复验证**
   - 功能测试和性能验证
   - 业务部门确认
   - 记录恢复过程

### 3.4 安全审计操作规范

#### 3.4.1 日常审计

**审计内容**：
- 用户登录和权限变更
- 敏感数据访问和修改
- 系统配置变更
- 异常操作和失败尝试

**审计频率**：
- 实时监控：关键操作和异常行为
- 每日检查：登录情况和权限变更
- 每周汇总：操作统计和趋势分析
- 每月报告：安全状况综合评估

**审计方法**：
- 系统日志自动分析
- 关键操作人工复核
- 异常模式识别和告警
- 定期完整性检查

#### 3.4.2 专项审计

**审计触发条件**：
- 安全事件发生后
- 系统重大变更前
- 定期合规检查
- 管理层要求

**审计流程**：
1. 制定审计计划
2. 收集和分析证据
3. 识别问题和风险
4. 提出改进建议
5. 跟踪整改落实

---

## 第四部分：监督和改进机制

### 4.1 定期检查和评估

#### 4.1.1 日常监督检查

**检查主体**：
- 各部门负责人：每日检查本部门人员操作合规性
- 安全管理员：每日监控系统安全状态
- 系统管理员：每日检查系统运行状况

**检查内容**：
- 操作权限是否合规
- 操作流程是否规范
- 安全措施是否到位
- 异常情况是否及时处理

**检查方式**：
- 系统日志分析
- 现场抽查
- 人员访谈
- 技术检测

#### 4.1.2 定期安全评估

**月度安全检查**：
- 检查本月所有操作记录
- 分析异常操作和趋势
- 评估安全措施有效性
- 更新风险评估

**季度安全评估**：
- 全面评估安全状况
- 检查制度执行情况
- 分析安全事件和处置效果
- 制定改进措施

**年度安全审计**：
- 第三方安全审计
- 等保合规性检查
- 安全管理体系评估
- 制定下年度安全计划

### 4.2 培训和考核

#### 4.2.1 安全培训体系

**新员工入职培训**（4小时）：
- 数据安全政策和法规（1小时）
- 系统操作规范（1.5小时）
- 安全意识和风险防范（1小时）
- 应急处置流程（0.5小时）

**在职人员定期培训**（每年2小时）：
- 最新安全政策和要求
- 操作规范更新内容
- 安全事件案例分析
- 最佳实践分享

**专项培训**：
- 新系统上线培训
- 新安全措施培训
- 应急演练培训

#### 4.2.2 考核评价机制

**理论考核**：
- 每年1次安全知识考试
- 覆盖政策、规范、操作流程
- 80分以上为合格
- 不合格需重新培训和补考

**实操考核**：
- 每半年1次操作技能考核
- 模拟真实操作场景
- 评估操作规范性
- 发现问题及时纠正

**综合评价**：
- 结合日常工作表现
- 考核结果和培训记录
- 安全事件和违规记录
- 建立个人安全档案

### 4.3 持续改进机制

#### 4.3.1 问题识别和反馈

**问题识别渠道**：
- 日常检查发现问题
- 审计发现风险点
- 用户反馈和建议
- 技术检测结果

**问题分级管理**：
- 严重问题：立即整改，24小时内解决
- 重要问题：制定计划，1周内解决
- 一般问题：持续改进，1个月内解决

#### 4.3.2 改进措施实施

**改进流程**：
1. 问题分析和根本原因识别
2. 制定改进措施和计划
3. 实施改进措施
4. 验证改进效果
5. 固化改进成果

**改进跟踪**：
- 建立改进台账
- 定期检查改进进度
- 评估改进效果
- 持续优化完善

---

## 附录：操作表单模板

### 附录A：关键操作申请单

**关键操作申请单**

申请单编号：EDU-OP-[YYYYMMDD]-[NNNN]
申请时间：____年__月__日 __时__分

**一、申请信息**
申请人姓名：__________________
所属部门：__________________
联系电话：__________________
操作类型：□ 系统配置 □ 数据处理 □ 权限变更 □ 其他：______
操作级别：□ 关键操作 □ 重要操作

**二、操作描述**
操作目的：________________________________________
操作内容：________________________________________
影响范围：________________________________________
计划执行时间：____年__月__日 __时__分
预计执行时长：____分钟

**三、风险评估**
风险等级：□ 高 □ 中 □ 低
风险描述：________________________________________
应对措施：________________________________________
回滚方案：________________________________________

**四、审批意见**
申请人签字：__________________ 日期：__________
技术审核：__________________ 日期：__________
业务审核：__________________ 日期：__________
安全审核：__________________ 日期：__________
最终审批：__________________ 日期：__________

**五、执行结果**
实际执行时间：____年__月__日 __时__分
执行情况：□ 成功 □ 部分成功 □ 失败
问题描述：________________________________________
处理结果：________________________________________
执行人签字：__________________ 日期：__________
监督人签字：__________________ 日期：__________

---

### 附录B：数据修改申请表

**数据修改申请表**

申请编号：EDU-DATA-[YYYYMMDD]-[NNNN]
申请时间：____年__月__日

**一、申请人信息**
申请人：__________________
所属单位：__________________
联系方式：__________________
申请事由：________________________________________

**二、修改对象信息**
学生姓名：__________________
学生编号：__________________
所在学校：__________________
所在班级：__________________

**三、修改内容**
修改字段 | 原内容 | 修改后内容 | 修改原因
---------|--------|------------|----------
________|________|____________|__________
________|________|____________|__________
________|________|____________|__________

**四、证明材料**
□ 身份证复印件
□ 户口本复印件
□ 其他证明：__________________
（附相关证明材料）

**五、审批意见**
申请人签字：__________________ 日期：__________
班主任审核：__________________ 日期：__________
学校审核：__________________ 日期：__________
系统管理员：__________________ 日期：__________
安全审核：__________________ 日期：__________

**六、执行记录**
执行人：__________________ 执行时间：__________
修改结果：□ 成功 □ 失败
复核人：__________________ 复核时间：__________

---

### 附录C：月度安全检查表

**月度安全检查表**

检查月份：____年__月
检查人员：__________________
检查时间：____年__月__日

**一、账户安全检查**
检查项目 | 检查结果 | 问题描述 | 整改要求
---------|----------|----------|----------
休眠账户清理 | □ 正常 □ 异常 | |__________
权限定期审查 | □ 正常 □ 异常 | |__________
密码策略执行 | □ 正常 □ 异常 | |__________
异常登录监控 | □ 正常 □ 异常 | |__________

**二、操作合规检查**
检查项目 | 检查结果 | 问题描述 | 整改要求
---------|----------|----------|----------
操作流程规范 | □ 正常 □ 异常 | |__________
审批手续完备 | □ 正常 □ 异常 | |__________
操作记录完整 | □ 正常 □ 异常 | |__________
双人执行确认 | □ 正常 □ 异常 | |__________

**三、系统安全检查**
检查项目 | 检查结果 | 问题描述 | 整改要求
---------|----------|----------|----------
备份执行情况 | □ 正常 □ 异常 | |__________
补丁更新状态 | □ 正常 □ 异常 | |__________
日志记录完整 | □ 正常 □ 异常 | |__________
安全策略配置 | □ 正常 □ 异常 | |__________

**四、整体评估**
□ 安全状况良好
□ 存在一般问题，需要改进
□ 存在重要问题，需要立即整改

**五、改进措施**
1. ________________________________________
2. ________________________________________
3. ________________________________________

检查人签字：__________________ 日期：__________
负责人审核：__________________ 日期：__________

---

### 附录D：应急响应记录表

**应急响应记录表**

事件编号：EDU-INC-[YYYYMMDD]-[NNNN]
报告时间：____年__月__日 __时__分
发生时间：____年__月__日 __时__分

**一、事件基本信息**
事件类型：□ 数据安全 □ 系统故障 □ 网络攻击 □ 人员违规 □ 其他：______
事件等级：□ 一般 □ 重要 □ 重大
影响范围：________________________________________
影响程度：________________________________________

**二、事件描述**
事件经过：________________________________________
________________________________________
发现方式：________________________________________
报告人员：__________________

**三、响应过程**
响应时间：____分钟
到达时间：____年__月__日 __时__分
处置人员：__________________
处置措施：________________________________________
________________________________________

**四、处置结果**
解决时间：____年__月__日 __时__分
处理时长：____小时__分钟
处置结果：□ 完全解决 □ 部分解决 □ 未解决
损失评估：________________________________________

**五、根本原因分析**
直接原因：________________________________________
根本原因：________________________________________
相关因素：________________________________________

**六、改进措施**
短期措施：________________________________________
长期措施：________________________________________
责任部门：__________________ 完成时间：__________

**七、事件总结**
经验教训：________________________________________
改进建议：________________________________________

报告人签字：__________________ 日期：__________
处理人签字：__________________ 日期：__________
负责人签字：__________________ 日期：__________

---

## 方案生效和修订

**生效日期**：本方案自发布之日起正式生效。

**解释权**：本方案由苏州教育E卡通数据安全管理领导小组负责解释。

**修订程序**：
- 本方案每年至少评审一次
- 根据法规变化和技术发展及时更新
- 重大修订需重新履行审批程序
- 所有修订记录需要完整保存

**联系方式**：
数据安全管理领导小组：__________________
技术支持：__________________
安全热线：__________________

---

**苏州教育E卡通数据安全管理领导小组**
**____年__月__日**