電信運(yùn)營(yíng)商大數(shù)據(jù)對(duì)外共享安全管控機(jī)制優(yōu)化研究

段煉

（中國(guó)移動(dòng)通信集團(tuán)江蘇有限公司，南京 210012）

大數(shù)據(jù)資產(chǎn)是電信運(yùn)營(yíng)商推動(dòng)創(chuàng)業(yè)布局、創(chuàng)新發(fā)展和轉(zhuǎn)型突破的戰(zhàn)略性資源。電信運(yùn)營(yíng)商大數(shù)據(jù)的特點(diǎn)是豐富、精準(zhǔn)、可信。首先，數(shù)據(jù)可以對(duì)應(yīng)到具體用戶(hù)，數(shù)據(jù)真實(shí)程度很高；其次，通過(guò)對(duì)大數(shù)據(jù)的采集可以得到精確的用戶(hù)敏感信息，例如位置信息；再次，通過(guò)大數(shù)據(jù)之間的關(guān)聯(lián)分析，可以全面了解用戶(hù)各種行為愛(ài)好。電信運(yùn)營(yíng)商所擁有的大數(shù)據(jù)資源幾乎涵蓋了所有個(gè)人和大量設(shè)備的行為數(shù)據(jù)，理論上講可以在外部共享應(yīng)用中挖掘出巨大的商業(yè)價(jià)值，但是出于個(gè)人信息保護(hù)、數(shù)據(jù)開(kāi)放安全等因素的考慮，目前外部應(yīng)用受到很大影響。工信部在《大數(shù)據(jù)產(chǎn)業(yè)發(fā)展規(guī)劃（2016-2020）》中將電信行業(yè)作為重點(diǎn)領(lǐng)域，在鼓勵(lì)大數(shù)據(jù)業(yè)務(wù)發(fā)展創(chuàng)新的同時(shí)要求建設(shè)完善重要數(shù)據(jù)資源和信息系統(tǒng)的安全保密防護(hù)體系，防止其收集的眾多用戶(hù)數(shù)據(jù)受到侵害。因此，保護(hù)好用戶(hù)隱私和數(shù)據(jù)資產(chǎn)，持續(xù)強(qiáng)化大數(shù)據(jù)安全管理和保障，已成為發(fā)展大數(shù)據(jù)業(yè)務(wù)的關(guān)鍵。

1 大數(shù)據(jù)合作業(yè)務(wù)中存在的安全管理問(wèn)題

1.1 電信大數(shù)據(jù)對(duì)外開(kāi)放的安全風(fēng)險(xiǎn)

電信運(yùn)營(yíng)商在推廣大數(shù)據(jù)業(yè)務(wù)時(shí)往往只追求業(yè)務(wù)的快速發(fā)展，當(dāng)業(yè)務(wù)發(fā)展與安全要求矛盾時(shí)，未能將安全工作嵌入到業(yè)務(wù)流程中，造成了安全監(jiān)管缺失。另外，目前已有的傳統(tǒng)安全防護(hù)手段關(guān)注的重點(diǎn)是通信網(wǎng)絡(luò)，面對(duì)大數(shù)據(jù)平臺(tái)的新特性、新變化難以進(jìn)行有效管控，造成了技術(shù)手段缺失。根據(jù)往年上級(jí)主管單位檢查情況，目前公司內(nèi)部的大數(shù)據(jù)信息安全存在以下風(fēng)險(xiǎn)。

一方面，電信運(yùn)營(yíng)商在數(shù)據(jù)共享、數(shù)據(jù)分析、運(yùn)維支撐等方面與外部單位開(kāi)展廣泛合作，一旦發(fā)生安全事件，將對(duì)企業(yè)聲譽(yù)、公司利益、業(yè)務(wù)開(kāi)展、用戶(hù)隱私等產(chǎn)生重大影響。現(xiàn)階段與合作方簽署的保密協(xié)議或信息安全承諾書(shū)往往沒(méi)有明確其在數(shù)據(jù)開(kāi)放共享、數(shù)據(jù)試用、代分析挖掘及業(yè)務(wù)合作過(guò)程中對(duì)敏感數(shù)據(jù)保護(hù)的責(zé)任，對(duì)合作方的危險(xiǎn)操作及敏感信息泄露無(wú)法控制和處罰。

另外，在實(shí)際工作中未建立包括合作方背景調(diào)查、安全資質(zhì)審查等內(nèi)容的數(shù)據(jù)安全管控制度；針對(duì)對(duì)外提供的各類(lèi)數(shù)據(jù)，缺乏專(zhuān)項(xiàng)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估和客戶(hù)信息安全審核。特別是面向大數(shù)據(jù)金融系統(tǒng)在開(kāi)展數(shù)據(jù)變現(xiàn)類(lèi)大數(shù)據(jù)業(yè)務(wù)過(guò)程中，未對(duì)合作伙伴的既往合作情況及運(yùn)營(yíng)歷史背景進(jìn)行調(diào)查，且未簽署保密協(xié)議，缺乏對(duì)數(shù)據(jù)使用、轉(zhuǎn)售等具體場(chǎng)景的安全保密要求。

1.2 問(wèn)題根因分析

目前在電信運(yùn)營(yíng)商內(nèi)部，大數(shù)據(jù)管理模式延續(xù)了傳統(tǒng)集團(tuán)客戶(hù)/行業(yè)客戶(hù)業(yè)務(wù)管理模式，市場(chǎng)運(yùn)營(yíng)線條、業(yè)務(wù)支撐線條、網(wǎng)絡(luò)維護(hù)線條和信息安全線條分別承擔(dān)相應(yīng)職責(zé)，共同為大數(shù)據(jù)消費(fèi)方提供大數(shù)據(jù)業(yè)務(wù)服務(wù)。其中，政企客戶(hù)部門(mén)作為大數(shù)據(jù)業(yè)務(wù)管理方，承擔(dān)大數(shù)據(jù)業(yè)務(wù)推廣職能，負(fù)責(zé)制定大數(shù)據(jù)的業(yè)務(wù)規(guī)劃，開(kāi)發(fā)大數(shù)據(jù)業(yè)務(wù)產(chǎn)品，實(shí)施大數(shù)據(jù)業(yè)務(wù)應(yīng)用、數(shù)據(jù)運(yùn)營(yíng)及內(nèi)容服務(wù)；業(yè)務(wù)支撐部門(mén)和網(wǎng)絡(luò)維護(hù)部門(mén)作為大數(shù)據(jù)提供方，承擔(dān)大數(shù)據(jù)生產(chǎn)職能，負(fù)責(zé)數(shù)據(jù)的采集、傳輸、處理工作，并建設(shè)運(yùn)維大數(shù)據(jù)平臺(tái)，為大數(shù)據(jù)業(yè)務(wù)應(yīng)用提供數(shù)據(jù)挖掘、數(shù)據(jù)分析、數(shù)據(jù)脫敏等能力支撐；信息安全部門(mén)作為大數(shù)據(jù)安全管理方，承擔(dān)大數(shù)據(jù)安全管理職能，負(fù)責(zé)制定大數(shù)據(jù)安全保護(hù)管理制度，研究大數(shù)據(jù)安全保護(hù)的技術(shù)手段，定期組織大數(shù)據(jù)安全檢查，從總體上對(duì)大數(shù)據(jù)安全管理起到指導(dǎo)、協(xié)調(diào)、監(jiān)督等作用。

傳統(tǒng)的面向集團(tuán)客戶(hù)/行業(yè)客戶(hù)產(chǎn)品主要是一些標(biāo)準(zhǔn)化產(chǎn)品和行業(yè)應(yīng)用，這類(lèi)產(chǎn)品運(yùn)營(yíng)過(guò)程中產(chǎn)生的數(shù)據(jù)均保存在公司內(nèi)部，不涉及對(duì)外合作。因此，在傳統(tǒng)信息安全管理體系中，相關(guān)部門(mén)只需做到公司內(nèi)部的關(guān)鍵環(huán)節(jié)可管可控，即可滿(mǎn)足安全防護(hù)的需求。大數(shù)據(jù)業(yè)務(wù)作為一種新興業(yè)態(tài)，較傳統(tǒng)業(yè)務(wù)相比增加了數(shù)據(jù)共享環(huán)節(jié)，數(shù)據(jù)消費(fèi)方大多為外部合作單位，必然造成數(shù)據(jù)在大量外部合作單位中開(kāi)放共享，任一方措施不當(dāng)，都可能引起數(shù)據(jù)泄漏。然而目前的管理職責(zé)分工中，沒(méi)有明確各部門(mén)在大數(shù)據(jù)對(duì)外合作監(jiān)管中應(yīng)承擔(dān)的主體責(zé)任，造成了工作邊界不清，部門(mén)間相互推諉的現(xiàn)象時(shí)有發(fā)生。

筆者曾就大數(shù)據(jù)對(duì)外合作責(zé)任歸屬問(wèn)題訪談了大數(shù)據(jù)提供方、大數(shù)據(jù)業(yè)務(wù)管理方、大數(shù)據(jù)安全管理方的相關(guān)人員。大數(shù)據(jù)提供方認(rèn)為，一旦數(shù)據(jù)離開(kāi)了大數(shù)據(jù)平臺(tái)，數(shù)據(jù)的權(quán)屬就轉(zhuǎn)移到數(shù)據(jù)業(yè)務(wù)管理方，按照“誰(shuí)使用、誰(shuí)負(fù)責(zé)”的原則，應(yīng)該由大數(shù)據(jù)業(yè)務(wù)管理方對(duì)外部合作單位進(jìn)行監(jiān)管。大數(shù)據(jù)業(yè)務(wù)管理方認(rèn)為，作為前臺(tái)的經(jīng)營(yíng)部門(mén)，其職責(zé)主要在業(yè)務(wù)開(kāi)發(fā)和推廣上，安全管理工作應(yīng)該由信息安全管理部門(mén)統(tǒng)一扎口。大數(shù)據(jù)安全管理方認(rèn)為，大數(shù)據(jù)保護(hù)與業(yè)務(wù)流程緊密相關(guān)，只有將安全管控嵌入到日常業(yè)務(wù)流程中，才能將大數(shù)據(jù)安全管理辦法真正落地，大數(shù)據(jù)業(yè)務(wù)管理方作為大數(shù)據(jù)主管部門(mén)責(zé)無(wú)旁貸。從訪談結(jié)果可以看出，由于公司內(nèi)部缺少大數(shù)據(jù)對(duì)外合作監(jiān)管的框架，各方對(duì)于職責(zé)劃分看法不一致，使得合作單位成為了“三不管”的監(jiān)管死角。

2 運(yùn)營(yíng)商大數(shù)據(jù)安全管控機(jī)制優(yōu)化建議

大數(shù)據(jù)業(yè)務(wù)涉及數(shù)據(jù)的全生命周期管理，與傳統(tǒng)業(yè)務(wù)相比關(guān)鍵環(huán)節(jié)多，涉及到眾多外部合作單位，在實(shí)際工作中容易造成監(jiān)管缺失。要解決合作單位安全監(jiān)管職責(zé)不清的問(wèn)題，需要各部門(mén)通力合作，加強(qiáng)溝通協(xié)調(diào)，厘清工作界面，共同推動(dòng)監(jiān)管工作落地，如圖1所示。

圖1 合作單位安全監(jiān)管分工界面

大數(shù)據(jù)業(yè)務(wù)管理部門(mén)與合作單位的聯(lián)系最為密切，需要把好第一道關(guān)卡。在合作單位提出合作申請(qǐng)時(shí)，應(yīng)該對(duì)其基本資質(zhì)進(jìn)行嚴(yán)格審核，篩選掉以往存在不良記錄的合作單位。大數(shù)據(jù)業(yè)務(wù)管理部門(mén)還承擔(dān)著合作單位和其他相關(guān)部門(mén)的溝通橋梁作用，牽頭協(xié)調(diào)相關(guān)部門(mén)對(duì)合作單位開(kāi)展各層面的調(diào)查，并將合作單位的情況及時(shí)反饋到公司內(nèi)部。在大數(shù)據(jù)業(yè)務(wù)完成后，大數(shù)據(jù)業(yè)務(wù)管理部門(mén)還需要對(duì)合作方進(jìn)行后評(píng)估，為后續(xù)合作開(kāi)展提供參考。

大數(shù)據(jù)提供部門(mén)作為數(shù)據(jù)所有者，在開(kāi)展安全監(jiān)管時(shí)擁有很大的主動(dòng)權(quán)。在業(yè)務(wù)開(kāi)展之前，應(yīng)該對(duì)合作單位需求的可行性進(jìn)行審核，對(duì)于違反數(shù)據(jù)保護(hù)規(guī)定的需求應(yīng)予以拒絕。圍繞著數(shù)據(jù)的全生命周期的各個(gè)階段，大數(shù)據(jù)提供部門(mén)應(yīng)采取相應(yīng)的安全管理和技術(shù)手段直接對(duì)合作單位進(jìn)行過(guò)程管控。大數(shù)據(jù)提供部門(mén)還應(yīng)定期對(duì)合作單位的大數(shù)據(jù)使用情況進(jìn)行審計(jì)，及時(shí)發(fā)現(xiàn)問(wèn)題并責(zé)令其整改，確保形成管理閉環(huán)。

大數(shù)據(jù)安全管理部門(mén)作為安全歸口管理部門(mén)，應(yīng)對(duì)合作單位的安全資質(zhì)進(jìn)行審查，對(duì)于安全管理制度和安全防護(hù)手段進(jìn)行評(píng)估，防止合作單位存在安全管理或技術(shù)漏洞而導(dǎo)致數(shù)據(jù)泄露。大數(shù)據(jù)安全管理部門(mén)以問(wèn)題為導(dǎo)向?qū)献鲉挝贿M(jìn)行監(jiān)管，通過(guò)定期檢查的方式發(fā)現(xiàn)各類(lèi)安全隱患和違規(guī)問(wèn)題，及時(shí)為業(yè)務(wù)發(fā)展“踩剎車(chē)”。

通過(guò)對(duì)合作單位安全監(jiān)管要求的梳理，按照事前、事中、事后的順序?qū)⒈O(jiān)管職責(zé)細(xì)分3個(gè)階段、9項(xiàng)任務(wù)，并明確大數(shù)據(jù)提供方、大數(shù)據(jù)業(yè)務(wù)管理方和大數(shù)據(jù)安全管理方的責(zé)任矩陣，如表1所示。

表1 合作單位安全監(jiān)管責(zé)任矩陣

2.1 事前安全防范

2.1.1 合作單位資質(zhì)審查

要解決合作單位監(jiān)管問(wèn)題，首先必須從源頭抓起，在大數(shù)據(jù)業(yè)務(wù)開(kāi)展之前針對(duì)合作單位開(kāi)展全面的調(diào)研審查，確定其是否具備開(kāi)展大數(shù)據(jù)業(yè)務(wù)相關(guān)的能力，是否具備完善的安全管理和技術(shù)能力，是否存在數(shù)據(jù)泄露而危害國(guó)家安全、用戶(hù)權(quán)益的風(fēng)險(xiǎn)。

在這一過(guò)程中，由大數(shù)據(jù)業(yè)務(wù)管理部門(mén)開(kāi)展合作單位背景調(diào)查，重點(diǎn)做好合作方股權(quán)關(guān)系、境內(nèi)外合作關(guān)系、既往合作情況、運(yùn)營(yíng)歷史背景等的調(diào)查。如涉及與境外單位合作，需要及時(shí)上報(bào)上級(jí)主管部門(mén)，經(jīng)批準(zhǔn)后方可開(kāi)展合作。合作單位自身的安全水平也非常重要，應(yīng)由大數(shù)據(jù)安全管理部門(mén)開(kāi)展合作方安全資質(zhì)審查，包括綜合評(píng)估合作單位的信息安全保障能力、安全管理制度、技術(shù)防護(hù)手段等。

2.1.2 業(yè)務(wù)需求審查

合法合規(guī)是開(kāi)展大數(shù)據(jù)相關(guān)業(yè)務(wù)的前提。對(duì)于合作單位來(lái)說(shuō)，如能獲取原始數(shù)據(jù)，經(jīng)過(guò)二次分析后便能得到更多更有價(jià)值的信息。合作單位在提出合作需求時(shí)，總是希望能共享到原始數(shù)據(jù)而不是經(jīng)過(guò)處理的數(shù)據(jù)。針對(duì)這個(gè)情況，必須制定完善的大數(shù)據(jù)業(yè)務(wù)需求審批流程，按照公司大數(shù)據(jù)分類(lèi)分級(jí)標(biāo)準(zhǔn)，對(duì)合作單位需求中涉及的數(shù)據(jù)內(nèi)容、交接方式、敏感程度以及應(yīng)用范圍等進(jìn)行嚴(yán)格審核，對(duì)應(yīng)用輸出數(shù)據(jù)的必要性和安全性進(jìn)行審核。未經(jīng)正式審批的企業(yè)內(nèi)部數(shù)據(jù)嚴(yán)禁泄露、出售或者非法向他人或外部單位提供。

2.1.3 簽訂保密協(xié)議

目前與合作單位的安全保密協(xié)議仍沿用傳統(tǒng)集團(tuán)客戶(hù)業(yè)務(wù)的模板，未包含數(shù)據(jù)共享相關(guān)責(zé)任條款。應(yīng)該在《網(wǎng)絡(luò)安全法》、《全國(guó)人民代表大會(huì)常務(wù)委員會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》、《電信和互聯(lián)網(wǎng)用戶(hù)個(gè)人信息保護(hù)規(guī)定》、《侵害消費(fèi)者權(quán)益行為處罰辦法》等法律法規(guī)的框架內(nèi)重新修訂安全保密協(xié)議，界定雙方在大數(shù)據(jù)業(yè)務(wù)開(kāi)展中的安全責(zé)任，對(duì)于用戶(hù)授權(quán)、數(shù)據(jù)應(yīng)用、權(quán)責(zé)分配、接入細(xì)節(jié)等內(nèi)容進(jìn)行約定，明確合作單位的保密責(zé)任、保密內(nèi)容、保密有效期及違約罰則；明確合作單位數(shù)據(jù)使用范圍和場(chǎng)景，限制數(shù)據(jù)轉(zhuǎn)租轉(zhuǎn)售行為，明確合作單位應(yīng)承擔(dān)的安全責(zé)任，并明確處罰機(jī)制；要求合作單位建立數(shù)據(jù)保護(hù)制度，具備應(yīng)有的數(shù)據(jù)保護(hù)手段，與其員工簽訂保密協(xié)議，并明確員工的保密責(zé)任、違約罰則。

2.2 事中安全管控

2.2.1 人員賬號(hào)權(quán)限管理

當(dāng)合作單位需要與我公司系統(tǒng)對(duì)接，或者使用我公司系統(tǒng)進(jìn)行數(shù)據(jù)分析時(shí)，可以向大數(shù)據(jù)業(yè)務(wù)管理部門(mén)提交賬號(hào)申請(qǐng)，說(shuō)明需要使用的系統(tǒng)、訪問(wèn)數(shù)據(jù)范圍、數(shù)據(jù)類(lèi)型等信息，由大數(shù)據(jù)業(yè)務(wù)管理部門(mén)按照“權(quán)限明確、職責(zé)分離、最小特權(quán)”的原則進(jìn)行審批，為合作單位分配適當(dāng)?shù)臋?quán)限，避免合作單位越權(quán)訪問(wèn)數(shù)據(jù)。

尤其是未經(jīng)脫敏處理的用戶(hù)個(gè)人隱私數(shù)據(jù)等敏感數(shù)據(jù)，數(shù)據(jù)必須經(jīng)數(shù)據(jù)輸出審核（包括技術(shù)和管理雙重審核），審核通過(guò)后才能對(duì)外輸出。

2.2.2 數(shù)據(jù)全生命周期管理

從數(shù)據(jù)運(yùn)營(yíng)的角度，依據(jù)數(shù)據(jù)全生命周期各環(huán)節(jié)面臨不同的安全環(huán)境和安全威脅，將日常安全管理工作嵌入到采集、傳輸、存儲(chǔ)、使用、共享和銷(xiāo)毀各環(huán)節(jié)中。并將身份認(rèn)證、訪問(wèn)控制、金庫(kù)模式、安全審計(jì)、異常行為監(jiān)測(cè)預(yù)警、數(shù)據(jù)加密、數(shù)據(jù)脫敏、數(shù)據(jù)防泄漏等數(shù)據(jù)安全防護(hù)能力嵌入到大數(shù)據(jù)平臺(tái)、后臺(tái)運(yùn)維管理系統(tǒng)中，或與其進(jìn)行無(wú)縫對(duì)接，從而實(shí)現(xiàn)安全責(zé)任制、數(shù)據(jù)分級(jí)分類(lèi)管理等管理制度在實(shí)際業(yè)務(wù)流程中充分落地。

2.2.3 安全預(yù)警管理

大數(shù)據(jù)安全管理部門(mén)應(yīng)按照“誰(shuí)主管誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)行誰(shuí)負(fù)責(zé)”的原則，組織相關(guān)干系方對(duì)大數(shù)據(jù)基礎(chǔ)設(shè)施開(kāi)展安全監(jiān)測(cè)工作，從管理、技術(shù)、人員等方面建立完善的監(jiān)測(cè)預(yù)警和應(yīng)急響應(yīng)機(jī)制，為大數(shù)據(jù)基礎(chǔ)設(shè)施制定應(yīng)急響應(yīng)計(jì)劃，做好應(yīng)急預(yù)案、風(fēng)險(xiǎn)監(jiān)測(cè)、實(shí)時(shí)預(yù)警、事態(tài)遏制、問(wèn)題根除、系統(tǒng)恢復(fù)、跟蹤總結(jié)等各項(xiàng)舉措，并定期演練，確保在緊急情況下重要信息資源的可用性。

2.3 事后稽核審計(jì)

2.3.1 安全審計(jì)

根據(jù)“職責(zé)分離”原則在大數(shù)據(jù)提供部門(mén)設(shè)置獨(dú)立的安全審計(jì)員，安全審計(jì)員應(yīng)開(kāi)展定期的大數(shù)據(jù)安全日常審計(jì)和不定期的專(zhuān)項(xiàng)審計(jì)。日常審計(jì)至少每月一次，主要針對(duì)大數(shù)據(jù)平臺(tái)的系統(tǒng)訪問(wèn)日志進(jìn)行審計(jì)，一是審計(jì)操作人員、操作時(shí)間、操作內(nèi)容等信息，確認(rèn)是否存在違規(guī)訪問(wèn)與操作；二是對(duì)數(shù)據(jù)導(dǎo)出行為進(jìn)行審計(jì)，確認(rèn)行為是否規(guī)范、數(shù)據(jù)是否模糊化處理。

專(zhuān)項(xiàng)審計(jì)主要聚焦大數(shù)據(jù)平臺(tái)和業(yè)務(wù)的安全管理和技術(shù)要求落實(shí)情況、大數(shù)據(jù)平臺(tái)系統(tǒng)和業(yè)務(wù)訪問(wèn)情況、大數(shù)據(jù)平臺(tái)用戶(hù)個(gè)人信息訪問(wèn)情況。通過(guò)人員訪談、審閱臺(tái)賬、現(xiàn)場(chǎng)驗(yàn)證、技術(shù)檢測(cè)等方式及時(shí)發(fā)現(xiàn)系統(tǒng)存在的安全隱患和安全威脅，并有針對(duì)性的提出改進(jìn)措施，跟蹤整改情況，對(duì)未在規(guī)定時(shí)限內(nèi)完成整改的，應(yīng)依據(jù)相關(guān)規(guī)定進(jìn)行處罰。安全審計(jì)員將情況匯總后，梳理存在問(wèn)題，通報(bào)審計(jì)結(jié)果；針對(duì)發(fā)現(xiàn)的重大安全隱患或違規(guī)行為，應(yīng)向管理層匯報(bào)。

2.3.2 安全合規(guī)檢查

大數(shù)據(jù)安全管理部門(mén)負(fù)責(zé)對(duì)合作單位進(jìn)行大數(shù)據(jù)管理合規(guī)性檢查，主要分為日常合規(guī)檢查和專(zhuān)項(xiàng)合規(guī)檢查兩種。日常合規(guī)檢查至少每月一次，檢查數(shù)據(jù)合作單位的數(shù)據(jù)使用、管理等方面的安全制度和執(zhí)行情況。對(duì)檢查過(guò)程中發(fā)現(xiàn)的問(wèn)題應(yīng)責(zé)成合作單位在規(guī)定時(shí)限內(nèi)整改，未及時(shí)完成的應(yīng)依據(jù)相關(guān)規(guī)定進(jìn)行處罰。專(zhuān)項(xiàng)合規(guī)檢查范圍更廣，每年至少進(jìn)行一次。在開(kāi)展安全合規(guī)檢查前，與合作單位溝通檢查范圍、檢查內(nèi)容、檢查方法、檢查任務(wù)、檢查報(bào)告及相應(yīng)流程。檢查結(jié)束后及時(shí)匯總檢查情況，梳理存在問(wèn)題，通報(bào)結(jié)果；針對(duì)發(fā)現(xiàn)的重大安全隱患或違規(guī)行為，應(yīng)向公司管理層匯報(bào)。

2.3.3 評(píng)價(jià)追責(zé)

圍繞以往安全協(xié)議的履行情況建立合作伙伴評(píng)價(jià)機(jī)制和黑名單機(jī)制，評(píng)價(jià)結(jié)果作為開(kāi)展后續(xù)合作的依據(jù)。黑名單內(nèi)的合作單位在一定期限內(nèi)不予準(zhǔn)入。在后評(píng)估中如果發(fā)現(xiàn)合作單位違反合同協(xié)議中明確規(guī)定的數(shù)據(jù)安全保護(hù)的義務(wù)，公司可以采取必要手段進(jìn)行處懲，例如解除合同關(guān)系，甚至對(duì)合作單位提起違約或侵權(quán)民事訴訟，要求承諾人承擔(dān)相應(yīng)的民事責(zé)任。

3 結(jié)語(yǔ)

電信運(yùn)營(yíng)商作為央企，構(gòu)筑國(guó)家通信基礎(chǔ)設(shè)施和重要信息系統(tǒng)的安全屏障是義不容辭的政治任務(wù)和社會(huì)責(zé)任；提供安全可信的大數(shù)據(jù)服務(wù)是維護(hù)用戶(hù)權(quán)益、提升客戶(hù)感知的必然要求；“以安全保發(fā)展，以發(fā)展促安全”是企業(yè)在新常態(tài)下持續(xù)健康發(fā)展的有力保障。大數(shù)據(jù)安全保障工作無(wú)所不在，涉及到大部分業(yè)務(wù)部門(mén)和單位，涉及大量重點(diǎn)崗位，涉及所有第三方合作伙伴，也是公司所有員工的共同責(zé)任。大數(shù)據(jù)安全管理工作是一個(gè)復(fù)雜的系統(tǒng)性工程，我們要充分意識(shí)到目前面臨的威脅并做好各項(xiàng)應(yīng)對(duì)措施，只有這樣才能更好地利用大數(shù)據(jù)而不被大數(shù)據(jù)利用。