25 KiB
苏州教育E卡通数据安全运维方案
方案概述
本方案依据《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)第三级要求,结合苏州教育E卡通平台实际运维需求,建立一套实用、可操作的数据安全管控体系。
适用范围:所有参与平台运维、管理的人员,包括系统管理员、客服人员、学校管理人员等。
方案目标:确保学生数据安全,满足等保三级合规要求,提供标准化操作指导。
第一部分:管理要求和责任体系
1.1 三级等保合规要求映射
1.1.1 安全管理制度要求
| 等保三级要求 | 本方案对应措施 | 责任角色 | 检查频率 |
|---|---|---|---|
| 安全管理制度 | 本方案及相关操作规程 | 数据安全管理领导小组 | 每年审查 |
| 安全管理机构 | 建立数据安全管理组织架构 | 电教馆、市民卡公司 | 每半年检查 |
| 安全管理人员 | 明确各角色职责和权限 | 各部门负责人 | 持续监督 |
| 安全建设管理 | 系统建设安全规范 | 系统运维人员 | 项目执行时 |
| 安全运维管理 | 日常运维操作规范 | 全体运维人员 | 每日执行 |
1.1.2 技术安全要求
| 等保三级要求 | 技术实现措施 | 验证方法 |
|---|---|---|
| 身份鉴别 | 双因素认证、密码复杂度控制 | 登录测试、密码检查 |
| 访问控制 | 基于角色的权限控制、最小权限原则 | 权限审计、访问测试 |
| 安全审计 | 完整的操作日志记录、防篡改 | 日志审查、完整性检查 |
| 数据完整性 | 数据传输加密、存储校验 | 技术检测、定期验证 |
| 数据保密性 | 敏感数据加密、脱敏展示 | 加密检查、数据分类审计 |
| 产品和供应链 | 安全产品采购、供应商管理 | 供应商审查、产品认证检查 |
1.2 组织架构和职责分工
1.2.1 数据安全管理领导小组
组成人员:
- 组长:电教馆负责人
- 副组长:市民卡公司项目负责人
- 成员:各部门主要负责人
主要职责:
- 制定数据安全战略和政策
- 审批重要数据安全管理制度
- 协调解决重大数据安全问题
- 定期评审数据安全状况
1.2.2 日常运维组织架构
角色责任矩阵:
| 角色 | 主要职责 | 权限范围 | 禁止行为 | 责任人 |
|---|---|---|---|---|
| 数据安全官 | 整体安全管理、策略制定 | 制定安全策略、监督检查 | 参与具体业务操作 | 电教馆安全负责人 |
| 系统管理员 | 系统配置、用户管理 | 系统设置、账号管理 | 单独进行关键操作 | 市民卡项目负责人 |
| 业务审核员 | 业务操作审批、数据质量审核 | 审批业务申请、质量检查 | 修改业务数据 | 电教馆E卡通负责人 |
| 安全审计员 | 安全监控、审计分析 | 查看日志、生成报告 | 执行业务操作 | 电教馆安全负责人 |
| 系统运维员 | 系统维护、备份恢复 | 服务器维护、备份执行 | 查看业务数据 | 市民卡系统运维人员 |
| 客服人员 | 用户服务、业务咨询 | 查询基本信息、处理订单 | 查看敏感信息、修改数据 | 市民卡客服人员 |
| 学校管理员 | 本校数据管理 | 本校数据增删改查 | 跨校操作、批量导出 | 各校指定负责人 |
1.2.3 职责分离要求
强制职责分离:
- 操作与审批分离:操作执行人不能兼任审批人
- 开发与运维分离:系统开发人员不参与生产运维
- 业务与技术分离:技术人员不直接处理业务数据
- 审计与执行分离:审计人员不参与业务操作
1.3 管理制度体系
1.3.1 核心管理制度
-
《数据安全管理总则》
- 数据安全目标和原则
- 组织架构和职责分工
- 合规要求和法律责任
-
《人员安全管理制度》
- 人员入职安全审查
- 岗位职责和权限分配
- 离职流程和权限回收
-
《操作安全管理制度》
- 操作分类和分级管理
- 标准化操作流程
- 异常情况处理
-
《应急响应管理制度》
- 应急组织架构
- 事件分级和响应流程
- 恢复和改进措施
1.3.2 操作规程和标准
-
《系统操作规程》
- 各类系统操作的标准步骤
- 安全控制措施要求
- 质量检查要点
-
《数据处理规程》
- 数据分类分级标准
- 数据处理权限要求
- 数据质量控制措施
-
《安全审计规程》
- 审计范围和内容
- 审计频率和方法
- 异常识别和处理
第二部分:分级管控和操作流程
2.1 数据分类分级标准
2.1.1 数据敏感度分类
核心敏感数据(L1):
- 身份证号码、护照号码
- 学生姓名+学号+家庭住址组合
- 监护人身份证和联系方式
- 银行账户信息
重要敏感数据(L2):
- 学生基本信息(姓名、性别、出生日期)
- 学校和班级信息
- 一般联系方式(电话、邮箱)
- 卡片状态和消费记录
一般数据(L3):
- 统计汇总数据
- 公开信息
- 系统配置信息
- 操作日志
2.1.2 数据处理风险分级
| 操作类型 | 数据级别 | 操作规模 | 风险等级 | 管控要求 |
|---|---|---|---|---|
| 查询操作 | L1/L2/L3 | 单条/批量 | 一般/重要 | 基础认证/审批 |
| 修改操作 | L1 | 单条 | 关键 | 双因素认证+审批 |
| 修改操作 | L1 | 批量(≥50) | 关键 | 双人确认+双因素认证+审批 |
| 修改操作 | L2 | 单条 | 重要 | 双因素认证+审批 |
| 修改操作 | L2 | 批量(≥50) | 重要 | 双因素认证+审批 |
| 修改操作 | L3 | 任意 | 一般 | 基础认证 |
| 删除操作 | L1/L2 | 任意 | 关键/重要 | 相应等级管控措施 |
| 导出操作 | L1/L2 | 批量(≥50) | 重要 | 双因素认证+审批 |
| 系统配置 | - | 任意 | 关键 | 双人确认+审批+备份 |
2.2 操作风险分级体系
2.2.1 关键操作(Level 1)
操作范围:
- 核心系统配置修改
- 管理员权限分配和回收
- 审计规则和策略修改
- L1敏感数据批量操作(≥50条)
- 系统重大运维调整
- 数据备份和恢复操作
管控要求:
- 事前审批:纸质审批单,需要数据安全管理领导小组审批
- 双人执行:一人主操作,一人监督确认
- 双因素认证:密码+动态口令,必要时增加生物特征
- 全程记录:屏幕录制+操作日志+结果确认
- 强制备份:操作前必须完成数据备份
- 时间窗口:必须在预先批准的维护窗口执行
2.2.2 重要操作(Level 2)
操作范围:
- L1敏感数据单条操作
- L2敏感数据批量操作(≥50条)
- 用户账号创建和权限分配
- 业务流程关键节点操作
- 重要报表生成和导出
- 系统参数调整
管控要求:
- 审批要求:需要主管或指定审批人事前审批
- 双因素认证:密码+动态口令或短信验证
- 操作确认:关键步骤需要二次确认
- 完整日志:记录操作全过程和结果
- 事后审核:审批人需在24小时内审核操作结果
2.2.3 一般操作(Level 3)
操作范围:
- L2/L3数据单条操作
- 数据查询(<50条)
- 报表生成和统计
- 补换卡订单处理
- 系统状态查看
- 非敏感信息修改
管控要求:
- 基础认证:用户名密码+图形验证码
- 权限检查:系统自动验证操作权限
- 操作记录:记录基本操作信息
- 会话管理:30分钟超时自动退出
- 异常监控:异常操作触发告警
2.3 标准化操作流程
2.3.1 通用三阶段流程
所有操作必须遵循以下标准流程:
申请准备 → 审批确认 → 执行操作 → 结果验证 → 记录归档
2.3.2 关键操作详细流程
阶段一:申请准备(T-1天至T-2小时)
-
需求确认
- 明确操作目的和预期结果
- 评估操作影响范围和风险
- 准备操作方案和回滚计划
-
申请提交
- 填写《关键操作申请单》
- 附操作方案和风险评估报告
- 提前1-2个工作日提交
-
材料准备
- 确认操作人员权限和资质
- 准备必要的工具和环境
- 完成数据备份准备
阶段二:审批确认(T-2小时至T-0)
-
技术审批
- 系统管理员审核技术可行性
- 确认系统状态和备份情况
- 评估操作风险和影响
-
业务审批
- 业务审核员确认业务必要性
- 评估业务影响和用户通知
- 确认操作时间窗口
-
最终审批
- 数据安全管理领导小组审批
- 确认操作条件和安全保障
- 签发操作许可
阶段三:执行操作(T-15分钟至T+30分钟)
-
执行前检查
- 验证所有审批文件完备
- 确认系统状态正常
- 双人确认操作方案
-
操作执行
- 主操作人按方案执行
- 监督人全程监督确认
- 实时记录操作过程
-
结果验证
- 验证操作结果正确性
- 检查系统功能正常
- 确认无异常情况
阶段四:记录归档(T+30分钟至T+24小时)
-
操作记录
- 完整记录操作过程
- 保存相关日志和截图
- 填写操作执行报告
-
结果通知
- 通知相关方操作结果
- 更新系统状态记录
- 处理后续事宜
-
资料归档
- 整理所有相关文档
- 按档案管理要求归档
- 更新操作知识库
第三部分:具体操作规范
3.1 身份认证和访问控制
3.1.1 账户管理规范
账户创建流程:
-
申请阶段
- 申请人填写《系统账户申请表》
- 部门主管审核申请合理性
- 明确账户权限和使用期限
-
审批阶段
- 一般账户:系统管理员审批
- 高权限账户:安全管理员会签
- 临时账户:明确使用期限
-
创建阶段
- 系统管理员执行账户创建
- 设置初始密码(强制首次修改)
- 配置相应权限和角色
-
通知阶段
- 通知申请人账户已创建
- 提供登录指南和安全要求
- 记录账户创建信息
账户变更管理:
- 权限变更:重新履行申请审批流程
- 信息更新:及时更新联系方式等信息
- 角色调整:根据岗位变化调整权限
账户注销流程:
- 离职前:立即冻结账户访问权限
- 离职后:3个工作日内完成账户注销
- 权限回收:回收所有相关权限和访问凭据
- 记录归档:保存账户生命周期完整记录
3.1.2 密码安全管理
密码策略要求:
- 长度要求:最少12位字符
- 复杂度要求:包含大写字母、小写字母、数字、特殊字符四类
- 历史要求:禁止使用最近6次使用过的密码
- 有效期:90天强制更换,提前7天提醒
- 临时账户:有效期不超过7天
密码安全规范:
- 严禁在纸张或电子文档中记录密码
- 严禁使用默认密码或简单密码
- 严禁在非安全环境中输入密码
- 严禁与他人共享个人密码
3.1.3 认证机制
不同操作级别的认证要求:
| 操作级别 | 认证方式 | 额外验证 | 会话管理 |
|---|---|---|---|
| 关键操作 | 三因素认证 | 动态口令+生物特征+审批单 | 15分钟超时 |
| 重要操作 | 双因素认证 | 动态口令+短信验证 | 30分钟超时 |
| 一般操作 | 双因素认证 | 动态口令+图形验证码 | 30分钟超时 |
| 查询操作 | 单因素认证 | 用户名密码 | 60分钟超时 |
异常登录处理:
- 连续5次失败锁定账户30分钟
- 异地登录触发二次验证
- 异常时间登录需要审批确认
- 所有异常情况记录并分析
3.2 数据操作规范
3.2.1 数据查询操作
L1敏感数据查询:
- 权限要求:至少需要主管级别授权
- 审批要求:单次查询需要事前审批
- 操作要求:双因素认证+操作确认
- 记录要求:完整记录查询条件和结果
L2敏感数据查询:
- 权限要求:相应业务角色权限
- 批量查询:≥50条需要审批
- 操作要求:双因素认证
- 记录要求:记录查询概要信息
一般数据查询:
- 权限要求:基础角色权限
- 操作要求:标准认证
- 记录要求:基础操作日志
3.2.2 数据修改操作
L1数据修改:
-
操作前准备
- 确认修改必要性和合法性
- 准备相关证明材料
- 完成数据备份
-
申请审批
- 填写《数据修改申请表》
- 提供修改依据和证明材料
- 获得书面审批
-
执行修改
- 双人确认修改内容
- 按授权范围执行
- 实时记录修改过程
-
结果确认
- 验证修改结果正确性
- 通知相关方
- 归档操作记录
L2数据修改:
- 基本遵循L1流程,但审批层级可适当降低
- 批量修改仍需高级别审批
- 保留完整的修改轨迹
3.2.3 数据导出操作
导出权限控制:
- L1数据:原则上禁止导出,特殊情况需领导小组审批
- L2数据:批量导出需要主管审批
- L3数据:按角色权限控制
导出安全要求:
- 导出文件加密存储
- 使用安全通道传输
- 按规定期限销毁
- 记录导出完整信息
3.3 系统运维操作规范
3.3.1 系统配置管理
配置变更流程:
-
变更申请
- 描述变更内容和原因
- 分析变更影响和风险
- 制定变更计划和回滚方案
-
技术评估
- 系统管理员评估技术可行性
- 测试环境验证变更效果
- 确认兼容性和稳定性
-
审批执行
- 按照风险等级获得相应审批
- 在维护窗口执行变更
- 双人确认和监督
-
验证记录
- 验证变更效果
- 监控系统运行状态
- 记录变更详细信息
3.3.2 备份和恢复
备份策略:
- 实时备份:关键数据实时同步,RPO≈0
- 增量备份:每小时增量备份,保留7天
- 全量备份:每日全量备份,保留30天
- 异地备份:每日同步到异地存储
备份操作规范:
- 备份前检查系统状态
- 验证备份完整性
- 记录备份结果
- 定期测试备份可用性
恢复操作流程:
-
恢复需求确认
- 明确恢复范围和目标
- 评估恢复时间和影响
- 制定恢复计划
-
恢复准备
- 准备恢复环境和工具
- 验证备份文件完整性
- 确认回滚方案
-
执行恢复
- 按计划执行恢复操作
- 实时监控恢复进度
- 验证恢复结果
-
恢复验证
- 功能测试和性能验证
- 业务部门确认
- 记录恢复过程
3.4 安全审计操作规范
3.4.1 日常审计
审计内容:
- 用户登录和权限变更
- 敏感数据访问和修改
- 系统配置变更
- 异常操作和失败尝试
审计频率:
- 实时监控:关键操作和异常行为
- 每日检查:登录情况和权限变更
- 每周汇总:操作统计和趋势分析
- 每月报告:安全状况综合评估
审计方法:
- 系统日志自动分析
- 关键操作人工复核
- 异常模式识别和告警
- 定期完整性检查
3.4.2 专项审计
审计触发条件:
- 安全事件发生后
- 系统重大变更前
- 定期合规检查
- 管理层要求
审计流程:
- 制定审计计划
- 收集和分析证据
- 识别问题和风险
- 提出改进建议
- 跟踪整改落实
第四部分:监督和改进机制
4.1 定期检查和评估
4.1.1 日常监督检查
检查主体:
- 各部门负责人:每日检查本部门人员操作合规性
- 安全管理员:每日监控系统安全状态
- 系统管理员:每日检查系统运行状况
检查内容:
- 操作权限是否合规
- 操作流程是否规范
- 安全措施是否到位
- 异常情况是否及时处理
检查方式:
- 系统日志分析
- 现场抽查
- 人员访谈
- 技术检测
4.1.2 定期安全评估
月度安全检查:
- 检查本月所有操作记录
- 分析异常操作和趋势
- 评估安全措施有效性
- 更新风险评估
季度安全评估:
- 全面评估安全状况
- 检查制度执行情况
- 分析安全事件和处置效果
- 制定改进措施
年度安全审计:
- 第三方安全审计
- 等保合规性检查
- 安全管理体系评估
- 制定下年度安全计划
4.2 培训和考核
4.2.1 安全培训体系
新员工入职培训(4小时):
- 数据安全政策和法规(1小时)
- 系统操作规范(1.5小时)
- 安全意识和风险防范(1小时)
- 应急处置流程(0.5小时)
在职人员定期培训(每年2小时):
- 最新安全政策和要求
- 操作规范更新内容
- 安全事件案例分析
- 最佳实践分享
专项培训:
- 新系统上线培训
- 新安全措施培训
- 应急演练培训
4.2.2 考核评价机制
理论考核:
- 每年1次安全知识考试
- 覆盖政策、规范、操作流程
- 80分以上为合格
- 不合格需重新培训和补考
实操考核:
- 每半年1次操作技能考核
- 模拟真实操作场景
- 评估操作规范性
- 发现问题及时纠正
综合评价:
- 结合日常工作表现
- 考核结果和培训记录
- 安全事件和违规记录
- 建立个人安全档案
4.3 持续改进机制
4.3.1 问题识别和反馈
问题识别渠道:
- 日常检查发现问题
- 审计发现风险点
- 用户反馈和建议
- 技术检测结果
问题分级管理:
- 严重问题:立即整改,24小时内解决
- 重要问题:制定计划,1周内解决
- 一般问题:持续改进,1个月内解决
4.3.2 改进措施实施
改进流程:
- 问题分析和根本原因识别
- 制定改进措施和计划
- 实施改进措施
- 验证改进效果
- 固化改进成果
改进跟踪:
- 建立改进台账
- 定期检查改进进度
- 评估改进效果
- 持续优化完善
附录:操作表单模板
附录A:关键操作申请单
关键操作申请单
申请单编号:EDU-OP-[YYYYMMDD]-[NNNN] 申请时间:____年__月__日 __时__分
一、申请信息 申请人姓名:__________________ 所属部门:__________________ 联系电话:__________________ 操作类型:□ 系统配置 □ 数据处理 □ 权限变更 □ 其他:______ 操作级别:□ 关键操作 □ 重要操作
二、操作描述 操作目的:________________________________________ 操作内容:________________________________________ 影响范围:________________________________________ 计划执行时间:____年__月__日 __时__分 预计执行时长:____分钟
三、风险评估 风险等级:□ 高 □ 中 □ 低 风险描述:________________________________________ 应对措施:________________________________________ 回滚方案:________________________________________
四、审批意见 申请人签字:__________________ 日期:__________ 技术审核:__________________ 日期:__________ 业务审核:__________________ 日期:__________ 安全审核:__________________ 日期:__________ 最终审批:__________________ 日期:__________
五、执行结果 实际执行时间:年__月__日 时__分 执行情况:□ 成功 □ 部分成功 □ 失败 问题描述:__________________________________ 处理结果:________________________________________ 执行人签字:__________________ 日期:__________ 监督人签字:__________________ 日期:__________
附录B:数据修改申请表
数据修改申请表
申请编号:EDU-DATA-[YYYYMMDD]-[NNNN] 申请时间:____年__月__日
一、申请人信息 申请人:__________________ 所属单位:__________________ 联系方式:__________________ 申请事由:________________________________________
二、修改对象信息 学生姓名:__________________ 学生编号:__________________ 所在学校:__________________ 所在班级:__________________
三、修改内容
| 修改字段 | 原内容 | 修改后内容 | 修改原因 |
|---|---|---|---|
| ________ | ________ | ____________ | __________ |
| ________ | ________ | ____________ | __________ |
| ________ | ________ | ____________ | __________ |
四、证明材料 □ 身份证复印件 □ 户口本复印件 □ 其他证明:__________________ (附相关证明材料)
五、审批意见 申请人签字:__________________ 日期:__________ 班主任审核:__________________ 日期:__________ 学校审核:__________________ 日期:__________ 系统管理员:__________________ 日期:__________ 安全审核:__________________ 日期:__________
六、执行记录 执行人:__________________ 执行时间:__________ 修改结果:□ 成功 □ 失败 复核人:__________________ 复核时间:__________
附录C:月度安全检查表
月度安全检查表
检查月份:年__月 检查人员:______________ 检查时间:____年__月__日
一、账户安全检查
| 检查项目 | 检查结果 | 问题描述 | 整改要求 |
|---|---|---|---|
| 休眠账户清理 | □ 正常 □ 异常 | __________ | |
| 权限定期审查 | □ 正常 □ 异常 | __________ | |
| 密码策略执行 | □ 正常 □ 异常 | __________ | |
| 异常登录监控 | □ 正常 □ 异常 | __________ |
二、操作合规检查
| 检查项目 | 检查结果 | 问题描述 | 整改要求 |
|---|---|---|---|
| 操作流程规范 | □ 正常 □ 异常 | __________ | |
| 审批手续完备 | □ 正常 □ 异常 | __________ | |
| 操作记录完整 | □ 正常 □ 异常 | __________ | |
| 双人执行确认 | □ 正常 □ 异常 | __________ |
三、系统安全检查
| 检查项目 | 检查结果 | 问题描述 | 整改要求 |
|---|---|---|---|
| 备份执行情况 | □ 正常 □ 异常 | __________ | |
| 补丁更新状态 | □ 正常 □ 异常 | __________ | |
| 日志记录完整 | □ 正常 □ 异常 | __________ | |
| 安全策略配置 | □ 正常 □ 异常 | __________ |
四、整体评估 □ 安全状况良好 □ 存在一般问题,需要改进 □ 存在重要问题,需要立即整改
五、改进措施
检查人签字:__________________ 日期:__________ 负责人审核:__________________ 日期:__________
附录D:应急响应记录表
应急响应记录表
事件编号:EDU-INC-[YYYYMMDD]-[NNNN] 报告时间:____年__月__日 __时__分 发生时间:____年__月__日 __时__分
一、事件基本信息 事件类型:□ 数据安全 □ 系统故障 □ 网络攻击 □ 人员违规 □ 其他:______ 事件等级:□ 一般 □ 重要 □ 重大 影响范围:________________________________________ 影响程度:________________________________________
二、事件描述 事件经过:________________________________________
发现方式:________________________________________ 报告人员:__________________
三、响应过程 响应时间:分钟 到达时间:年__月__日 时__分 处置人员:________ 处置措施:________________________________________
四、处置结果 解决时间:年__月__日 时__分 处理时长:小时__分钟 处置结果:□ 完全解决 □ 部分解决 □ 未解决 损失评估:______________________________
五、根本原因分析 直接原因:________________________________________ 根本原因:________________________________________ 相关因素:________________________________________
六、改进措施 短期措施:________________________________________ 长期措施:________________________________________ 责任部门:__________________ 完成时间:__________
七、事件总结 经验教训:________________________________________ 改进建议:________________________________________
报告人签字:__________________ 日期:__________ 处理人签字:__________________ 日期:__________ 负责人签字:__________________ 日期:__________
方案生效和修订
生效日期:本方案自发布之日起正式生效。
解释权:本方案由苏州教育E卡通数据安全管理领导小组负责解释。
修订程序:
- 本方案每年至少评审一次
- 根据法规变化和技术发展及时更新
- 重大修订需重新履行审批程序
- 所有修订记录需要完整保存
联系方式: 数据安全管理领导小组:__________________ 技术支持:__________________ 安全热线:__________________
苏州教育E卡通数据安全管理领导小组 ____年__月__日