移动应用数据安全管理的基本要求包括机构人员、制度保障、分类分级、合规评估、权限管理、安全审计、合作方管理、应急响应、投诉处理、教育培训等方面。 本节主要介绍权限管理
权限管理需要对数据使用过程中的权限进行管理,确保数据使用过程中安全,权限管理基本要求: 一是,明确企业数据处理活动平台系统的用户账号分配、开通、使用、 变更、 注销等安全保障要求, 及账号操作审批要求和操作流程, 形成并定期更新平台系统权限分配表, 重点关注离职人员账号回收、 账号权限变更、 沉默账号安全等问题。 二是,按照业务需求、 安全策略及最小授权原则等,合理配置系统访问权限,避免非授权用户或业务访问数据。 严格控制超级管 理员权限账号数量。 三是,对数据安全管理、 数据使用、 安全审计等人员角色进行分离设置。 涉及授权特定人员超权限处理数据的, 由数据安全管理责任部门进行审批并记录; 涉及数据重大操作的(如数据批量复制、 传输、 处理、 开放共享和销毁等), 采取多人审批授权或操作监督, 并实施日志审计
