大数据环境下会计信息安全管理技术规范.docxVIP

1

大数据环境下会计信息安全管理技术规范

1范围

本文件规定了大数据环境下会计信息安全管理的总体要求、数据分级分类与安全控制要求、身份认证与访问控制要求、数据保护与防篡改要求、数据共享与接口安全要求、日志审计与安全监测要求、备份恢复与业务连续要求、第三方与供应链安全要求、安全事件响应与持续改进等内容。

本文件适用于各类组织在大数据平台、数据中台、数据湖/仓及相关业务系统环境中开展会计信息安全管理与技术防护工作。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T22239

GB/T25070

GB/T35273

GB/T39786

信息安全技术

信息安全技术

信息安全技术

信息安全技术

网络安全等级保护基本要求

网络安全等级保护安全设计技术要求个人信息安全规范

信息系统密码应用基本要求

3

术语和定义

下列术语和定义适用于本文件。

3.1

会计信息accountinginformation

反映组织经济业务活动及其财务状况、经营成果和现金流量等内容的各类数据、文件及其元数据，包括凭证、账簿、报表、明细、交易记录、预算与成本数据、税务相关数据及其关联记录。

3.2

大数据环境bigdataenvironment

以分布式存储与计算为基础，支持海量数据采集、汇聚、处理、分析与共享的数据技术与系统运行环境，通常包括数据湖/数据仓库、数据中台、流式处理、数据服务接口及其运维管理体系。

2

3.3

会计数据资产accountingdataasset

在会计信息范围内具有管理、合规、经营或决策价值的可识别数据集合，包括结构化、半结构化与非结构化数据及其标签、元数据与血缘信息。

3.4

数据分级分类dataclassificationandgrading

依据数据的重要程度、敏感程度、合规要求与影响范围等维度对数据进行类别划分与等级划分，并据此配置差异化安全控制措施的过程。

3.5

最小授权leastprivilege

仅向用户或系统主体授予完成其职责所必需的最小权限集合，并对权限的使用进行控制与审计的原则。

3.6

职责分离segregationofduties

将关键业务操作与关键安全操作在角色、岗位或主体之间进行分离，避免单一主体可独立完成全部关键步骤，从而降低舞弊与滥用风险的控制原则。

3.7

数据脱敏datamasking

对敏感数据进行遮蔽、替换、泛化或扰动等处理，使其在非授权或非必要场景下无法识别敏感内容，同时保持必要的业务可用性。

3.8

安全审计securityauditing

对会计信息访问、处理、共享、导出、配置变更及异常行为等活动进行记录、留存、分析与追溯的管理与技术活动。

4总体要求

4.1安全目标与原则

会计信息安全管理应以保障会计信息的机密性、完整性、可用性与可追溯性为目标，应覆盖会计信息全生命周期及其在大数据环境中的采集、汇聚、处理、分析、共享与归档等活动。

会计信息安全管理应坚持分级分类、最小授权、职责分离、源头控制与持续改进原则，应将安全控制嵌入数据处理链路与业务流程，确保安全措施可执行、可验证、可审计。

3

4.2组织与职责

应建立会计信息安全管理组织体系，应明确财务管理部门、信息化部门、安全管理部门、数据治理部门以及外包/第三方的职责边界与协作机制。

应明确会计信息数据资产责任人、数据管理员、系统管理员、安全管理员与审计角色，并对关键岗位设置授权、复核与审计机制。

涉及会计信息安全的制度、策略、配置与重大变更应履行审批程序并留存记录。

4.3安全制度与流程体系

应建立覆盖数据分级分类、访问控制、共享与导出、加密与密钥管理、日志审计、备份恢复、漏洞管理、供应链管理、安全事件响应与持续改进等制度与流程。

应形成与大数据平台相适配的安全技术基线与配置清单，基线变更应纳入变更管理并可追溯。

应建立定期检查与评价机制，对安全控制有效性进行验证，对发现的问题应闭环整改并复核。

4.4系统与数据边界管理

应识别会计信息涉及的系统边界与数据边界，至少应覆盖业务源系统、财务核算系统、资金系统、税务相关系统、报表与分析系统、大数据平台及数据共享接口等。

应明确跨系统数据流向、数据处理目的、数据共享范围与责任界面，应建立数据血缘与处理链路记录，确保可追溯。

对跨区域、跨主体的数据共享与处理，应开展风险评估并落实相应安全控制措施。

4.5风险评估与控制策划

应定期开展会计信息安全风险评估，识别威胁、脆弱性与影响范围，形成风险清单与控制策划。

风险评估应覆盖内部滥用、外部攻