文件编码：XXX-XXXX-024 数据安全监控与审计 管理规范 发布/修订日期：2022 年 6 月 20 日 生 效 日 期： 2022 年 6 月 20 日 北京思度咨询科技有限公司文件修改记录 序 号文件代码修改章节文件更改通知单编号 修改日期修改人批准人第一章 总则 第一条 为规范北京思度咨询科技有限公司内部各类数据访问和操作的日志 管理、监控与审计及数据正当使用工作，确保日志的完整性、有效性，保证对数 据的访问和操作均得到有效的监控和审计，以实现对数据生命周期各阶段中可能 存在的未授权访问、数据滥用、数据泄漏等安全风险的安全保护，制定本规范。 第二条 本规范适用于指导北京思度咨询科技有限公司对数据访问及操作的 日常监控及日志审计分析管理。 第二章职责权限 第三条 数据安全审计岗，负责数据在全生命周期的访问和操作的日志管理 、 监控审计工作，主要履行的职责包括但不限于： （一）负责数据访问和操作日志的监控与审计相关策略或办法的起草与执行 ； （二）负责审计日志备份保留策略的设置和变更的审批； （三）负责组织对单位内部员工数据操作行为定时或实时人工审计； （四）负责对数据的使用行为进行评估； （五）负责对提交的风险行为分析报告审批及审核； （六）负责组织数据库运维人员实时对数据安全操作及访问行为进行审计和 分析，并提供分析报告； （七）负责组织数据库运维人员分析数据操作日志，并制定数据安全风险行 为识别和评估规则。 第四条 数据库运维岗，主要履行的职责包括但不限于： （一）负责维护数据访问和操作日志监控审计设备并保证其正常运行； （二）负责实时分析访问和操作审计日志，及时发现违规操作行为，并提交 相关分析报告； （三）负责维护安全设备审计策略并及时优化，并进行日志备份； （四）负责制定数据安全风险行为识别规则或模型，并根据数据进行优化。 第三章 安全监控管理 第五条 应实时对数据库的访问和操作行为进行监控。 第 1 页 共 6 页第六条 应充分考虑监控对象的特点及存储数据的安全级别进行监控策略的 制定，确定相应的监控指标和监控形式等。 第七条 应充分考虑完成监控功能所需的条件，在技术条件许可的前提下， 应尽量采用自动监控策略，对于关键监控对象，如果没有自动监控条件，应进行 人工监控。 第八条 监控策略应根据相关管理要求和实际使用情况而不断优化，至少每 年进行监控策略审核 。 第九条 应通过技术手段对存储系统的 CPU利用率进行监控，通过监控和调 整系统资源，来对未来容量的需求作出预测，以确保系统性能 满足日常使用。 第十条 数据库运维岗每日对数据库的访问及操作审计日志、 登录日志等进 行统计分析，形成 《日志监控分析报告 》，发送至数据安全审计岗。 第四章 日志安全管理 第十一条 实时收集数据访问与操作审计日志、告 警日志，审计监测日志、 运维日志、操作日志、 网络事件及设备运行 状态日志等，并形成相应的日志记录 文件以供 查询，定期进行 检查、分析、备份和 清理。 （一）运维审计日志内容包括：用 户登录、注销、数据查询、插入、数据修 改、数据 删除、修改配置等； （二）数据库审计日志内容包括：用 户操作时的用 户识别符、登录时间、注 销时间、事件发生的日期和时 间，事件内容或操作 结果、数据库 客户端软件、数 据库客户端源地址、数据库用 户名、访问的数据库对象、数据库操作类型、数据 库操作内容（使用的 SQL语句）等。 （三）告警日志内容包括：告 警时间、告警类型、告 警方式以及告 警详情等。 （四）运行状态日志内容包括：CPU使用率、内存 占用、硬盘空闲空间大小 、 网络连接速度等。 第十二条 对于日志 信息存储保存及访问应通过技术手段进行保护，以 防止 日志信息的篡改和未授权访问。 第十三条 应部署时钟同步服务器，保证所有 信息处理系统的时 钟应按照统 一的参考时间源保持同步，从而保证日志记录的时 间信息有效。 第十四条 安全日志的备份和存储策略应根据各系统和设备的日志特点，制 定日志备份保留策略。对于关键性日志（ 登录日志，操作日志以及告 警日志、审 计日志等）一 般至少保留一年。 第 2 页 共 6 页第十五条为确保日志的完整性及 真实性，在保留期内 任何人不得删除和修改 日志。 第十六条数据库运维岗在监控过 程中如发现 异常情况，应及时报告，并 针对 发现的异常情况，进行评估和 处理，排除可能存在的 隐患。 第五章 安全审计管理 第十七条 数据安全审计岗应组织每 季度针对保存的数据访问及操作日志进 行审计，并 且评估数据库运维人员所提交分析报告的 事件级别。 第十八条 针对发现的数据安全 事件以及突发事件等，应 按照《数据安全 事 件应急管理规范 》组织相关 方进行事件处置及应急响应。 第六章 数据使用评估 第十九条 在任何情况下， 若需使用数据，提交数据使用 申请后，均应由数 据安全审计岗评估 是否含有个人信息和重要数据。 第二十条 涉及个人信息和重要数据的使用，则应 先进行安全 影响评估，再 进行合规评估， 满足合规要求后，方可允许使用数据。 第二十一条 个人信息安全影响评估流程如图1所示： 第 3 页 共 6 页图1 个人信息安全影响评估 （一）评估前，对 个人信息的处理过程进行全面的调研，形成清晰的数据清 单及数据 映射图表。同时结合个人信息处理的具体场景，初步判定所处理的个人 信息哪些属于个人敏感信息，梳理出待评估的个人信息处理活动。 （二）分析个人信息处理活动对个人权益造成的影响，并判定相应的 影响程 度； （三）对个人信息处理活动涉及的特点、安全 措施、相关方、规模等进行分 析，判定相应影响相关安全 事件发生的可能性； （四）综合分析影响程度和可能性 两个要素，得出风险等级，并 给出相应的 改进建议，最终形成评估报告。 第二十二条 个人信息使用合规性评估的内容包 含： （一）含有的个人信息数据是否能精确定位到特定 个人； （二）是否含有信用、资产和健康等敏感数据； （三）敏感数据是否按照脱敏、加密等安全要求进行 处理； （四）是否超过该申请人的数据使用权限； （五）是否超出收集数据时所 声明的目的和范围。 第二十三条 数据安全审计岗应每 季度组织对公司内部员工的数据访问、操 作及使用行为进行审计，对违规访问、操作和使用数据的员工， 予以处罚。对因 违规访问、操作和使用数据而 给公司造成损害的员工， 按照《人员安全管理规 范》中的数据 追责机制予以处罚。 第六章 风险分析及预 警 第二十四条 数据库运维岗需 按照要求实时 针对审计日志进行分析，及时发 现异常行为，识别数据安全访问和操作中的安全风险，并及时 将发现的风险 事件 上报给数据安全审计岗，优化风险识别规则。 第二十五条 应使用统一的日志监控 平台及工具建立数据安全风险识别模型 或规则，所识别的风险 事件包括但不限于用 户越权访问、用 户权限升级、更改 口 令、新建用户、非正常时间登录、多次错误登录、审计策略更改和其 他异常事件。 （一）越权访问行为： 针对数据的权限进行 梳理并建立数据权限安全 基线。 通过关联数据库防火墙日志、数据 防泄漏日志、数据库审计日志，与数据权限安 全基线碰撞分析是否存在越权访问行为，如一定周期内 某账号有操作日志记录， 第 4 页 共 6 页但在此周期内无登录日志记录；或 某账号本没有数据库的访问权限，但 却出现了 操作日志记录等。 （二）异常操作行为： 针对操作行为 建立行为准则 合规基线。通过操作审计 日志（包括时 间、客户端IP和端口、客户端程序、账号、操作命 令、操作对象 （库、表、列）、操作 结果、响应时间）等信息，发现异常的查询频率、异常登 陆行为、异常修改数据、 异常删除数据以及数据的导出等行为。 （三）敏感数据泄露：针对敏感数据泄露的攻击行为建立安全分析模型。通 过对数据 防泄露设备日志 深入分析，检测是否存在SQL注入导致的爆库行为， 是 否存在数据库的 拖库现象。 （四）非工作时间访问行为： 建立工作人员正常工作时 间基线。通过分析 登 陆日志、操作日志等 建立工作人员的正常工作 基线，以机器学习的方式发现非正 常工作时 间的数据库访问行为。 （五）高频访问行为：操作人员 频繁的登陆和登出，不在正常的 基线范围内。 （六）高风险指令：操作人员使用 删除操作、或root账户登陆行为。 第七章 附则 第二十六条 本规范由数据安全 领导小组办公室负责制定、 解释和修改。 第二十七条 对违反本规定的人员， 将按照北京思度咨询科技有限公司有关 规定进行 处罚。 第二十八条 本规范自发布 之日起执行。 第 5 页 共 6 页