应用安全与数据安全的工作边界在哪;甲方如何管控对乙方的授权 | FB甲方群话题讨论
💡
原文中文,约3200字,阅读约需8分钟。
📝
内容提要
本文总结了FreeBuf甲方群话题讨论第224期,讨论了公司个人信息合规管理体系建设中的角色和对乙方运维团队授权的高级权限管控措施。需要扮演桥梁和推动者的角色,使用堡垒机或类似的中间件来代替直接连接设备,禁止高危命令和敏感操作以及授权特定组件来执行操作。
🎯
关键要点
- FreeBuf甲方群讨论了公司个人信息合规管理体系建设中的角色。
- 安全部门在合规管理中应扮演桥梁和推动者的角色。
- 应用安全关注应用本身,数据安全关注数据全周期保护。
- 甲方需对乙方运维团队的高级权限进行管控和审计。
- 使用堡垒机或中间件代替直接连接设备,禁止高危命令和敏感操作。
- 合规要求需转化为可实现的方案,并与业务部门合作推动落地。
- 讨论中提到的高级权限管控措施包括签订协议和划定约束措施。
- 等保三级和二级系统可以进行网络对接,但需遵循最小权限访问控制。
- 私有部署的数据库审计不是强制要求,但特殊数据需审计以降低风险。
- 企业服务总线ESB算信息系统,但是否需要等保备案取决于影响范围。
➡️
