零信任架构数据安全建设指南.docxVIP

零信任架构数据安全建设指南

第一章建设总体要求

一、建设合规依据

本指南所有落地要求完全贴合现行国家法律法规及国家标准，具体包括《中华人民共和国网络安全法》第二十一条规定的等级保护义务条款、《中华人民共和国数据安全法》第二十七条规定的数据全流程防护要求、《中华人民共和国个人信息保护法》第五十一条规定的个人信息安全保障措施要求，同时严格对齐GB/T39204-2022信息安全技术零信任参考架构、GB/T22239-2019信息安全技术网络安全等级保护基本要求、《网络安全事件报告管理办法》规定的事件上报时限要求，所有建设环节不存在合规盲区，完全满足315消费者权益保护场景下的数据安全核查标准，从根源上规避数据过度采集、用户信息泄露、违规滥用数据等被曝光的常见风险。

二、建设核心目标

本次零信任架构数据安全建设需达成6项可量化核心目标：一是实现所有数据访问主体身份100%核验，不存在任何跳过身份校验的直接访问路径；二是敏感数据全生命周期加密覆盖率达到100%，明文存储敏感数据的场景清零；三是数据泄露事件拦截率不低于99.9%，年度新增数据泄露事件发生率较建设前降低90%以上；四是10万条以上用户个人信息持有主体全部通过网络安全等级保护三级测评，合规通过率100%；五是全量访问日志留存时长不低于180天，溯源定位准确率达到100%；六是315专项核查周期内涉及本单位的数据安全