10 项基本要求
1. 等保二级以上
按照《网络安全等级保护基本要求》进行等保备案。
2. 数据加密
- 传输:HTTPS / TLS 1.2+
- 存储:AES-256
- 密钥管理:硬件加密机
3. 访问控制
- 角色权限管理 (RBAC)
- 最小权限原则
- 异常访问报警
4. 操作日志
- 全量操作日志
- 日志不可篡改
- 日志保留 ≥ 6 个月
5. 数据备份
- 每日增量备份
- 每周全量备份
- 异地备份
6. 灾备恢复
- RTO ≤ 4 小时
- RPO ≤ 1 小时
- 年度演练
7. 个人信息保护
- 用户授权
- 最小化收集
- 不共享给无关方
- 用户可查询 / 删除
8. 数据脱敏
- 测试环境用脱敏数据
- 报表导出脱敏
- API 输出脱敏
9. 第三方对接安全
- API 鉴权
- 流量限制
- 异常监控
10. 安全培训
- 全员年度安全培训
- 钓鱼演练
- 应急演练
法律合规
- 《个人信息保护法》
- 《数据安全法》
- 《网络安全法》
- 《疫苗管理法》
建设步骤
- 安全评估
- 安全规划
- 安全建设
- 等保测评
- 持续运营
评审加分
- 满足"数据安全"评审项
- 满足"信息系统"硬指标
- 数字化亮点
标签:#数据安全#等保#合规
需要一对一咨询?
针对本文内容如有具体疑问,可通过 在线咨询 联系我们的项目顾问。