CN114362979B - 一种管理应用的方法和*** - Google Patents
一种管理应用的方法和*** Download PDFInfo
- Publication number
- CN114362979B CN114362979B CN202011037068.9A CN202011037068A CN114362979B CN 114362979 B CN114362979 B CN 114362979B CN 202011037068 A CN202011037068 A CN 202011037068A CN 114362979 B CN114362979 B CN 114362979B
- Authority
- CN
- China
- Prior art keywords
- network security
- requirement
- application
- reply
- list
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 34
- 238000011156 evaluation Methods 0.000 claims abstract description 47
- 230000004044 response Effects 0.000 claims abstract description 9
- 238000012546 transfer Methods 0.000 claims description 20
- 230000005540 biological transmission Effects 0.000 claims description 18
- 238000012549 training Methods 0.000 claims description 3
- 238000000605 extraction Methods 0.000 claims 2
- 238000007726 management method Methods 0.000 description 29
- 235000010957 calcium stearoyl-2-lactylate Nutrition 0.000 description 17
- 238000010586 diagram Methods 0.000 description 9
- 238000004891 communication Methods 0.000 description 5
- 238000004458 analytical method Methods 0.000 description 4
- 238000013500 data storage Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 238000012423 maintenance Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 230000001105 regulatory effect Effects 0.000 description 3
- 238000012550 audit Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000010295 mobile communication Methods 0.000 description 2
- 239000007787 solid Substances 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000010267 cellular communication Effects 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000036541 health Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000013439 planning Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 239000000126 substance Substances 0.000 description 1
- 230000002123 temporal effect Effects 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本公开提供一种由计算机实施的管理应用的方法和***。所述方法包括:接收用户对于新应用的标识符的请求;将包含所述请求的通知发送到网络安全评估***;响应于接收到所述通知,向所述用户发送反馈消息,所述反馈消息中包括用于链接到网络安全要求评估问卷的链接;接收用户对于网络安全要求评估问卷的答复;根据用户对于网络安全要求评估问卷的答复,确定所述应用是涉及网络安全的应用并且基于一组预定义网络安全规则,评估所述应用的一个或多个网络安全要求值;根据所述一个或多个网络安全要求值,从多个网络安全任务创建模板中选择一个或多个网络安全任务创建模板;以及利用所选择的一个或多个网络安全任务创建模板,创建与网络安全相关的任务。
Description
技术领域
本公开涉及软件开发技术,特别涉及一种利用互联网和软件开发技术管理应用的方法、装置和计算机存储介质。
背景技术
最新的《中华人民共和国网络安全法》(以下简称为《网络安全法》或CSL)对于网络运营者、个人信息保护、数据跨境传输、关键信息基础设施等方面均进行了明确的规定。现代社会的制造业企业,尤其是跨国企业,常常也会充当网络运营者的角色,因此必须遵守《网络安全法》的相关规定。
大型的跨国企业通常具有许多个属于不同领域的不同部门,企业内部存在各种类型的项目、应用、产品、基础设施等,它们在开发、维护或运行阶段各自遵守着不同的标准。有必要使这些不同的部门的各自相应的产品、项目、应用等遵循相同的标准,以便符合《网络安全法》的要求。但是,传统手段难以实现对于应用或项目等的计划、实施、审核、跟踪和维护等。
因此,存在对于通过技术手段实现高效地管理应用的方法及***的需求。
发明内容
本公开提供了一种新颖的管理应用的方法和***。
根据本公开的第一方面,提供了一种由计算机实施的管理项目的方法,包括:由管理***接收用户对于新项目的与网络安全属性相关的标识符的请求;响应于接收到所述请求,由管理***将包含所述请求的通知发送到网络安全评估***;响应于接收到所述通知,由网络安全评估***向所述用户发送反馈消息,所述反馈消息中包括用于链接到网络安全要求评估问卷的链接;由网络安全评估***接收用户对于网络安全要求评估问卷的答复;由网络安全评估***根据用户对于网络安全要求评估问卷的答复,确定所述应用是涉及网络安全的应用,并且基于一组预定义网络安全规则,评估所述项目的一个或多个网络安全要求值;由网络安全评估***根据所述一个或多个网络安全要求值,从多个网络安全任务创建模板中选择一个或多个网络安全任务创建模板,并发送到项目管理***;以及在所述项目管理***中利用所选择的一个或多个网络安全任务创建模板,创建与网络安全相关的任务。
根据本公开的第二方面,提供了一种由计算机实施的管理项目的***,包括:终端设备,被配置为接收用户对于新项目的标识符的请求;管理***,被配置为通过网络接收由终端设备发送的用户对于新项目的标识符的请求,并且将包含所述请求的通知发送到网络安全评估***;网络安全评估***,被配置为响应于接收到所述通知,向所述终端设备发送反馈消息,所述反馈消息中包括用于链接到网络安全要求评估问卷的链接,所述网络安全评估***进一步被配置为接收用户对于网络安全要求评估问卷的答复,并且根据用户对于网络安全要求评估问卷的答复,确定所述应用是涉及网络安全的应用,并且基于一组预定义网络安全规则,评估所述项目的一个或多个网络安全要求值;项目管理***,被配置为从所述网络安全评估***接收所选择的一个或多个网络安全任务创建模板,并且利用所述一个或多个网络安全任务创建模板来创建与网络安全相关的任务。
根据本公开的第三方面,提供了一种计算机***,所述计算机***包括:至少一个处理器;和至少一个非暂态的计算机可读介质,其上存储有计算机可执行指令,所述计算机可执行指令在由所述至少一个处理器运行时使得所述至少一个处理器执行前述方法。
根据本公开的第四方面,提供了一种非暂态的计算机可读介质,其上存储有计算机可执行指令,所述计算机可执行指令在由一个或更多个计算设备运行时使得所述一个或更多个计算设备执行前述方法。
通过以下参照附图对本发明的示例性实施例的详细描述,本发明的其它特征及其优点将会变得更为清楚。
附图说明
构成说明书的一部分的附图描述了本公开的实施例,并且连同说明书一起用于解释本公开的原理。
参照附图,根据下面的详细描述,可以更加清楚地理解本公开,其中:
图1示出了根据本发明的一个示例性实施例的管理应用的***的流程图。
图2示出了根据本发明的一个示例性实施例的管理应用的方法的流程图。
图3示出了根据本发明的一个示例性实施例的评估应用的一个或多个网络安全要求值的流程图。
图4示出了根据本发明的一个示例性实施例的网络安全应用的列表的示意图。
图5示出了根据本发明的一个示例性实施例的每个网络安全应用的安全页面的示意图。
图6A和6B示出了根据本发明的一个示例性实施例的用于通过导航页面访问各个清单的用户界面的示意图。
图7示出了根据本发明的一个示例性实施例的用于管理产品的产品库页面的用户界面的示意图。
图8示出了可以实现根据本发明的实施例的计算设备的示例性配置。
具体实施方式
下面将参考附图来详细描述本发明的优选的实施例。不是本发明必需的细节和功能被省略,以便不会混淆本发明的理解。
请注意,类似的参考数字和字母指的是图中的类似的项目,因而一旦在一幅图中定义了一个项目,就不需要在之后的图中讨论了。
在本公开中,术语“第一”、“第二”等仅仅被用来在元件或步骤之间进行区分,而并不意图表示时间顺序、优先级或重要性。
本发明通过利用互联网技术,对应用进行审核、跟踪和维护,特别是就《网络安全法》的要求的实施程度等方面进行审核,维护与之有关的信息,从而便捷高效地管理企业内的所有应用。应当理解,这里以应用作为示例进行描述,本领域技术人员可以理解,本发明构思不限于应用,而是可以应用于产品、服务、项目等。
图1示出了根据本发明的一个示例性实施例的管理应用的***的流程图。
如图1所示,该***包括终端设备101、网络102、管理***103、网络安全评估***104、项目管理***105和数据库106。当用户100想要启动新的项目或产品或应用时,在终端设备101处输入申请新应用的请求,该请求包括请求给该应用分配标识符(ID)。该请求通过有线或无线网络102发送到管理***103。管理***103在接收到该请求时,向网络安全评估***104发送包含该请求的通知。网络安全评估***104在接收到该通知时,向用户100发送反馈消息,所述反馈消息中包括用于链接到网络安全要求评估问卷的链接。用户100通过终端设备101对于网络安全要求评估问卷进行答复,然后将答复通过网络102发送到网络安全评估***104。网络安全评估***104在接收到用户对于网络安全要求评估问卷的答复后,根据该答复,确定所述应用是否是涉及网络安全的应用。如果该应用是涉及网络安全的应用,则进行进一步的网络安全评估。具体来说,网络安全评估***104基于存储在数据库105中的一组预定义网络安全规则,评估所述应用的一个或多个网络安全要求值。
网络安全评估***104可以将评估结果和分配的ID发给用户100。此外,管理***103为每个应用生成信息页面,用于维护与每个应用相关联的信息。管理***103可以根据评估结果,自动更新信息页面中与网络安全相关的页面的信息。此外,网络安全评估***104可以预先在数据库中保存有多个网络安全任务创建模板。网络安全评估***104根据所述评估结果,从所述多个网络安全任务创建模板中选择一个或多个网络安全任务创建模板,并通过网络102发送到项目管理***105。用户或开发人员在所述项目管理***105中利用所选择的一个或多个网络安全任务创建模板,创建与网络安全相关的任务。
这里的一组预定义网络安全规则可以包括网络运营者(NO)要求、网络安全等级保护***(MLPS)要求、个人可标识信息(PII)要求、数据跨境传输(CB)要求、关键信息基础设施(CII)要求等。NO要求是指网络运营者的一般性要求,例如网络运营的范围、网站等级、ICP注册等。MLPS要求是指对于云计算、工业控制***、移动通信、物联网等建立网络安全等级保护方案以保护网络安全等要求。PII要求是指与保护用户信息相关的要求。数据跨境传输要求是指企业在向境外传输在中国境内运营中收集和产生的个人信息和重要数据时,需要满足的条件。CII要求是指与国家规定的关键信息基础设施(例如能源、金融等)相关的要求。
具体来说,《网络安全法》就网络运营者、个人信息保护、数据跨境传输、关键信息基础设施等方面均进行了明确的规定。此外,还存在网络安全方面的其他法律法规、规章制度以及行业标准等。本发明人预先收集了这些法律、规章和行业标准等,并将收集的信息存储在数据库105中进行维护。例如,数据库中对于每个条目可代表一个法律、规章或行业标准,每个条目包括名称、类型、生效日期、与网络安全法的哪个方面相关(例如,NO相关、PII相关)等字段,方便数据库搜索和结构化处理。
然后,基于所建立的法律库,创建与网络安全相关的问卷和各种检查清单,并且将问卷和清单也存储在数据库106中。问卷用于发给用户填写,然后网络安全评估***104基于用户填写的内容,通过与检查清单相比较,来给出评估结果。这里的检查清单例如NO要求清单、MLPS要求清单、PII要求清单、数据跨境(CB)要求清单、CII要求清单。应当理解,这些清单仅仅是示例,而非限制性的,本领域技术人员可以增加其他清单或合并一些清单。例如还可以存在移动应用要求清单或个人金融信息要求清单等。将用户填写结果与清单相比较可以通过文本识别或预定字段的识别和语义分析来进行。基于问卷和检查清单的反馈,生成网络安全评估和整改的指令。这些指令规定了企业对于每个产品和行为应当如何调整以保证符合网络安全法的要求,例如网站和移动APP注册、PII的隐私协议、传输加密等诸如此类的指令。下面将进行详细描述。
图2示出了根据本发明的一个示例性实施例的管理项目的方法的流程图。
在步骤S201中,***接收用户100对于新应用的标识符的请求。具体来说,用户在终端设备101处输入申请新应用的请求,该请求包括请求给该应用分配标识符(ID)。该请求通过有线或无线网络102被管理***103接收。
在步骤S202中,***发送包含所述请求的通知。具体来说,管理***103在接收到该请求时,向网络安全评估***104发送包含该请求的通知。该通知可以通过电子邮件发送给网络安全评估***104。应注意,电子邮件只是一种示例方式,本领域技术人员还理解可以通过其他方式通知给网络安全评估***104的使用者。
在步骤S203中,***响应于接收到所述通知,向用户发送反馈消息,所述反馈消息包含可以链接到网络安全要求评估问卷的链接。具体来说,网络安全评估***104在接收到该通知时,向用户100的邮箱账户发送反馈消息。
在步骤S204中,***接收用户对于网络安全要求评估问卷的答复。具体来说,用户100通过终端设备101对于网络安全要求评估问卷进行答复,然后将答复通过网络102被网络安全评估***104接收。
在步骤S205中,***根据用户对于网络安全要求评估问卷的答复,确定所述应用是否是涉及网络安全的应用。如果该应用是涉及网络安全的应用,则基于一组预定义网络安全规则,评估所述项目的一个或多个网络安全要求值。具体来说,网络安全评估***104在接收到用户的答复后,根据该答复,基于存储在数据库106中的一组预定义网络安全规则,评估所述项目的一个或多个网络安全要求值。后文将结合图3详细描述具体的评估流程。
在步骤S206中,网络安全评估***104根据前面评估得到的一个或多个网络安全要求值,从多个网络安全任务创建模板中选择一个或多个网络安全任务创建模板,并发送到项目管理***105。
在步骤S207中,用户或开发人员在所述项目管理***105中利用所选择的一个或多个网络安全任务创建模板,创建与网络安全相关的任务。该网络安全相关的任务可以被发送给负责网络安全的相关人员,以进行操作和监控。例如,这些网络安全措施相关的任务将被分发给应用和基础架构的开发运维团队实施部署,从而在大型企业复杂的应用***和数据环境中实现网络安全法合规的目标。
此外,虽然图2中未示出,但是本发明的方法还包括一些附加步骤。例如网络安全评估***104可以将评估结果和分配的ID发给用户100。管理***103可以根据评估结果,自动更新用于应用的信息页面中与网络安全相关的页面的信息。此外,网络安全评估***104可以基于问卷和检查清单的反馈,生成网络安全评估和整改的指令。
图3示出了根据本发明的一个示例性实施例的评估项目的一个或多个网络安全要求值的流程图。
如图3所示,在步骤S204中***接收到用户对于网络安全要求评估问卷的答复之后,在步骤300确定所述应用是涉及网络安全的应用。如果确定所述应用是涉及网络安全的应用,则继续进行进一步的评估所述应用的一个或多个网络安全要求值的过程。
具体来说,在步骤S301中,网络安全评估***104通过将所述答复中的与NO要求相关的答复与NO要求清单相比较,来评估网络运营者要求值。如前所述,NO要求涉及网络运营者的一般性要求,例如网络运营的范围、网站等级、ICP注册等。
在步骤S302中,网络安全评估***104通过将所述答复中的与MLPS要求相关的答复与MLPS要求清单相比较,来评估MLPS要求值。如前所述,MLPS要求涉及对于云计算、工业控制***、移动通信、物联网等建立网络安全保护方案以保护网络安全等要求。因此,该步骤可以首先对项目进行MLPS评级,根据项目的重要性可以分为L1级、L2级和L3级。然后根据各个级别的MLPS要求清单评估MLPS要求值。
在步骤S303中,网络安全评估***104通过所述答复判断所述项目是否涉及个人可标识信息(PII)。个人可标识信息例如姓名、生日、性别等个人基本信息;身份证号码、护照号码等个人身份信息;个人健康生理信息;个人财产信息等。
如果所述项目涉及PII,则在步骤S306中通过将所述答复中的与个人可标识信息相关的答复与个人信息安全清单相比较,以进一步判断所述项目是否涉及其他网络安全相关方面。
例如,在步骤S306中判断所述项目涉及移动应用或金融个人信息。如果所述项目涉及移动应用或金融个人数据,则在步骤S308中通过将所述答复中的与移动应用或金融个人数据相关的答复分别与移动应用评估清单或个人金融信息安全清单相比较,来评估个人可标识信息要求值。
另一方面,在步骤S306中通过将所述答复中的与个人可标识信息相关的答复与个人信息安全清单相比较之后,可以在步骤S309中通过所述答复判断所述项目是否涉及跨境数据转移。例如,国外的运维人员访问到中国境内的含供应商个人信息的***、在中国境内运营中收集到的用户数据发送给国外的接口***等。
如果涉及跨境数据转移,则在步骤S310中通过将将所述答复中的与个人可标识信息的转移相关的答复与数据跨境传输评估清单相比较来评估跨境数据转移要求值。
在步骤S304中,网络安全评估***104通过所述答复判断所述项目是否涉及重要数据,例如数据是否涉及电力、通信、电子信息、化学工业、地理信息、金融信息、电子商务等。
如果所述项目涉及重要数据,则同样在步骤S309中判断所述项目是否涉及跨境数据转移。如果涉及跨境数据转移,则同样在步骤S310中通过将将所述答复中的与重要数据的转移相关的答复与数据跨境传输评估清单相比较来评估跨境数据转移要求值。
在步骤S305中,网络安全评估***104通过所述答复判断所述项目是否涉及关键信息基础设施。如前所述,CII要求是指与国家规定的关键信息基础设施(例如能源、金融等)相关的要求。
如果所述项目涉及关键信息基础设施,则在步骤S311中通过将所述答复中的与关键信息基础设施相关的答复与关键信息基础设施评估清单相比较,来评估关键信息基础设施要求值。
上面的将用户的问卷答复结果与各个清单相比较可以通过文本识别和分析或预定字段的识别和分析技术来进行。例如,当使用文本识别技术时,可以针对清单中的每一检查项,逐一对用户的问卷答复进行文本识别和对比。例如针对身份证号码相关的检查项,对用户的问卷答复中与身份证号码相关的问题和答复进行识别,然后确定是否涉及身份证号码也即个人可识别信息问题。
也可以使用预定字段的识别和分析技术。网络安全评估***104预先已知发给用户的问卷的每一个问题可能涉及网络安全的哪些方面,因此可以逐一识别用户的答复中对于每一个问题的答复,根据答复结果,去匹配各个清单的相关检查项。
应当理解,比较步骤的执行可以不限于上述方式,而是可以采用其他方式。例如,问卷和评估清单可以按照数据库存储和查找的方式被进一步结构化,以方便查找和比较。
对于一些项,评估结果可以是yes或no、1或0这样的二元值结果,例如是否涉及PII,涉及是yes,不涉及是no。但对于一些其他项,评估结果也可以是表示等级的值,例如L1、L2等。评估结果也可以是二元值和表示等级的值的结合,例如yes-L1等。本领域技术人员可以根据实际情况设置不同的评估结果值。
对于涉及网络安全的应用,则可以将所述项目归档到网络安全应用的列表中,以便于用户对应用进行跟踪、监督和管理。所述网络安全应用的列表可以是由用户先前已经创建并维护的,也可以是新创建的。
图4示出了根据本发明的一个示例性实施例的网络安全应用的列表的用户界面的示意图。图4的列表示出了两个条目,每个条目表示一个涉及网络安全的应用,每个条目包括项目的ID、名称、负责人、所有权归属类型、以及一个或多个网络安全评估值。例如,ID为APP-00001的项目,名称为XXX,负责人为XYZ,代表是否涉及CSL的评估值为YES,代表是否MLPS接入的评估值为YES,代表MLPS等级的评估值为YES-L1,代表是否CSL接入的评估值为YES。应当注意,图4所示的列表只是一个示范性示例,本领域技术人员根据本发明构思,可以显示包括不同显示元素的列表条目。
如图4所示,可以通过对特定项的选择,来对列表进行搜索和选择性显示。例如可以在表示APP部门的空白框中输入部门名称,从而使显示界面显示该部门的所有涉及CSL的项目。通过维护这样的涉及CSL的列表并且配置用于搜索的工具,可以使得管理者能够直观高效地对企业内的所有项目进行跟踪、监督和管理。
管理***或管理***103或网络安全评估***104还为每个应用配置有专门的网络安全相关的页面,如图5所示。图5是示出了根据本发明的一个示例性实施例的网络安全应用的安全页面的示意图。如图5所示,对于每个应用,***均配置一个管理页,该管理页包括多个子页面,例如产品结构(Product Structure)等。该管理页还特别包括一个安全页面(Security),所述安全页面中包含标识与网络安全相关的问题的多个标签和相应的空白字段。例如,图5中的安全页面包括“Involve CSL”(涉及CSL)标签、“Involve PersonalIdentifiable Information”(涉及个人可识别信息)标签等。每个标签下方均设置由空白框,用于由用户输入相应的信息,或根据用户对问卷的答复或网络安全评估结果自动填入相关的信息。通过为每个项目提供包含安全页面的管理页,可以使得管理者和项目的作者能够对项目的信息进行更新进而对项目进行跟踪、监督和管理。
管理***或管理***103或网络安全评估***104还可以提供专门的导航页面,用于方便用户查找涉及网络安全的内容,例如前文所述的各个检查清单。图6A和6B示出了根据本发明的一个示例性实施例的用于通过导航页面访问各个清单的用户界面的示意图。图6A示出了导航页面。如图6A所示,导航页面可以包括主页和包含多个子页面的页面树。主页可以包括可进入到所述多个子页面的可点击界面元素,如图6A左边的PAGE TREE下方的多个可点击项所示。多个子页面可以至少包括关于网络安全法律和标准的页面(CSLLegislation and Standard)、网络安全相关的清单的页面(CSL Instruction and CheckList)、网络安全培训的页面(CSL Training)和应用注册的页面(APP Registration forCSL homepage)等。
图6B示出了通过点击导航页面上的有关清单的界面元素从而显示的清单子页面。该页面列出了涉及网络安全的各个领域和类别的检查清单,包括前文所述的NO清单(即,CSL一般性要求清单)、MLPS评估清单、个人信息安全清单、APP PI收集评估清单、个人金融信息安全清单、数据跨境传输评估清单、CII评估清单等。通过提供专门的导航页面来管理涉及网络安全的内容,可以使得用户能够方便地查找和了解相关法律、企业规章、以及操作规程等。
管理***或管理***103或网络安全评估***104还可以将CSL相关控制点增加到企业内部控制***中,以使得产品开发人员能够在产品和服务中实现CSL要求。图7示出了根据本发明的一个示例性实施例的用于管理产品的产品库页面的用户界面的示意图。如图7所示,内部控制***可以包括多个分层的页面,例如第一层页面可以是IT Governance&Security Repository,第二层页面可以是Guiding Principles、……Product Depot等。Product Depot是用于管理产品的产品库页面。Product Depot页面下的第三层页面可以包括Compliance manual(合规手册)页面。CSL检查清单可以被***在Compliance manual页面下作为第四层页面。通过点击该显示页面上的可点击元素,用户可以进入清单页面。同样与图6B所示的类似,该清单页面列出了涉及网络安全的各个领域和类别的检查清单,包括前文所述的NO清单(即,CSL一般性要求清单)、MLPS评估清单、个人信息安全清单、APP PI收集评估清单、个人金融信息安全清单、数据跨境传输评估清单、CII评估清单等。通过在内部控制***中设置相应的CSL控制点,确保用户或产品开发者能够遵守相应的规程。
图8示出了可以实现根据本发明的实施例的计算机***的示例性配置。计算机***800是可以应用本发明的上述方面的硬件设备的实例。计算机***800可以是被配置为执行处理和/或计算的任何机器。计算机***800可以是但不限制于工作站、***、台式计算机、膝上型计算机、平板计算机、个人数据助手(PDA)、智能电话、车载计算机或以上组合。
如图8所示,计算机***800可以包括可能经由一个或多个接口与总线802连接或通信的一个或多个元件。总线802可以包括但不限于,工业标准架构(Industry StandardArchitecture,ISA)总线、微通道架构(Micro Channel Architecture,MCA)总线、增强ISA(EISA)总线、视频电子标准协会(VESA)局部总线、以及外设组件互连(PCI)总线等。计算机***800可以包括例如一个或多个处理器804、一个或多个输入设备806、以及一个或多个输出设备808。一个或多个处理器804可以是任何种类的处理器,并且可以包括但不限于一个或多个通用处理器或专用处理器(诸如专用处理芯片)。输入设备806可以是能够向计算设备输入信息的任何类型的输入设备,并且可以包括但不限于鼠标、键盘、触摸屏、麦克风和/或远程控制器。输出设备808可以是能够呈现信息的任何类型的设备,并且可以包括但不限于显示器、扬声器、视频/音频输出终端、振动器和/或打印机。
计算机***800还可以包括或被连接至非暂态存储设备814,该非暂态存储设备814可以是任何非暂态的并且可以实现数据存储的存储设备,并且可以包括但不限于盘驱动器、光存储设备、固态存储器、软盘、柔性盘、硬盘、磁带或任何其他磁性介质、压缩盘或任何其他光学介质、缓存存储器和/或任何其他存储芯片或模块、和/或计算机可以从其中读取数据、指令和/或代码的其他任何介质。计算机***800还可以包括随机存取存储器(RAM)810和只读存储器(ROM)812。ROM 812可以以非易失性方式存储待执行的程序、实用程序或进程。RAM 810可提供易失性数据存储,并存储与计算机***800的操作相关的指令。计算机***800还可包括耦接至数据链路818的网络/总线接口816。网络/总线接口816可以是能够启用与外部装置和/或网络通信的任何种类的设备或***,并且可以包括但不限于调制解调器、网络卡、红外线通信设备、无线通信设备和/或芯片集(诸如蓝牙TM设备、1302.11设备、WiFi设备、WiMax设备、蜂窝通信设施等)。
可单独地或以任何组合方式来使用前述实施方案的各个方面、实施方案、具体实施或特征。可由软件、硬件或硬件与软件的组合来实现前述实施方案的各个方面。
例如,前述实施方案可体现为计算机可读介质上的计算机可读代码。计算机可读介质为可存储数据的任何数据存储设备,所述数据其后可由计算机***读取。计算机可读介质的示例包括只读存储器、随机存取存储器、CD-ROM、DVD、磁带、硬盘驱动器、固态驱动器和光学数据存储设备。计算机可读介质还可分布在网络耦接的计算机***中使得计算机可读代码以分布式方式来存储和执行。
虽然已通过示例详细展示了本发明的一些具体实施例,但是本领域技术人员应当理解,上述示例仅意图是说明性的而不限制本发明的范围。应该认识到的是,前述方法中的一些步骤不一定按照图示的顺序执行,而是它们可以被同时、以不同顺序或以重叠方式执行。此外,本领域技术人员可以根据需要增加一些步骤或省略一些步骤。前述***中的一些部件不是必须按照图示的布置,本领域技术人员可以根据需要增加一些部件或省略一些部件。本领域技术人员应该理解,上述实施例可以在不脱离本发明的范围和实质的情况下被修改。本发明的范围是通过所附的权利要求限定的。
Claims (18)
1.一种由计算机实施的管理应用的方法,包括:
由管理***接收用户经由终端设备发送的对于新应用的标识符的请求;
响应于接收到所述请求,由管理***将包含所述请求的通知发送到网络安全评估***;
响应于接收到所述通知,由网络安全评估***向所述用户发送反馈消息,所述反馈消息中包括用于链接到网络安全要求评估问卷的链接;
由网络安全评估***接收用户对于网络安全要求评估问卷的答复;
由网络安全评估***根据用户对于网络安全要求评估问卷的答复,确定所述应用是涉及网络安全的应用,并且基于一组预定义网络安全规则评估所述应用的一个或多个网络安全要求值;
由网络安全评估***根据所述一个或多个网络安全要求值,从多个网络安全任务创建模板中选择一个或多个网络安全任务创建模板,并发送到项目管理***;以及
在所述项目管理***中利用所选择的一个或多个网络安全任务创建模板,创建与网络安全相关的任务。
2.如权利要求1所述的方法,其中所述一组预定义网络安全规则包括网络运营者要求、网络安全等级保护***要求、个人可标识信息要求、数据跨境传输要求、关键信息基础设施要求。
3.如权利要求2所述的方法,其中所述一个或多个网络安全要求值包括网络运营者要求评估值、网络安全等级保护***要求评估值、个人可标识信息要求评估值、数据跨境传输要求评估值、关键信息基础设施要求评估值,所述评估所述应用的一个或多个网络安全要求值包括:
通过将所述答复中的与网络运营者要求相关的答复与网络运营者要求清单相比较,来评估网络运营者要求评估值;
通过将所述答复中的与网络安全等级保护***要求相关的答复与网络安全等级保护***要求清单相比较,来评估网络安全等级保护***要求评估值;
通过所述答复判断所述应用是否涉及关键信息基础设施;以及
如果所述应用涉及关键信息基础设施,则通过将所述答复中的与关键信息基础设施相关的答复与关键信息基础设施要求清单相比较,来评估关键信息基础设施要求评估值。
4.如权利要求3所述的方法,其中所述评估所述应用的网络安全要求值还包括:
通过所述答复判断所述应用是否涉及个人可标识信息;
如果所述应用涉及个人可标识信息,则:
通过将所述答复中的与个人可标识信息相关的答复与个人可标识信息要求清单相比较,来判断所述应用是否涉及移动应用或金融个人信息;
如果所述应用涉及移动应用或金融个人信息,则通过将所述答复中的与移动应用或金融个人信息相关的答复分别与移动应用要求清单或金融个人信息要求清单相比较,来评估个人可标识信息要求评估值;
通过将所述答复中的与个人可标识信息相关的答复与个人可标识信息要求清单相比较,来判断所述应用是否涉及跨境数据转移;以及
如果所述应用涉及跨境数据转移,则通过将所述答复中的与数据跨境传输相关的答复与数据跨境传输要求清单相比较,来评估评估跨境数据转移要求值。
5.如权利要求4所述的方法,其中所述评估所述应用的网络安全要求值还包括:
通过所述答复判断所述应用是否涉及特定数据;
如果所述应用涉及特定数据,则判断所述特定数据是否涉及数据跨境传输;以及
如果所述特定数据涉及数据跨境传输,则通过将所述答复中的与数据跨境传输相关的答复与数据跨境传输要求清单相比较,来评估数据跨境传输要求评估值。
6.根据权利要求3至5中的任一项所述的方法,其中所述比较步骤通过对所述答复的文本识别或所述答复中预定字段的提取和识别来执行。
7.根据权利要求1所述的方法,还包括:
由所述管理***生成用于维护所述应用的页面,所述页面包括安全子页面,所述安全子页面包含标识与网络安全相关的问题的多个标签和相应的可填写字段,其中所述可填写字段根据所述一个或多个网络安全要求值而被自动填写。
8.根据权利要求3至5中的任一项所述的方法,还包括:
将所述应用归档到网络安全应用的列表中,其中所述列表包括一个或多个涉及网络安全的应用的各自的名称、标识符、负责人信息、以及一个或多个网络安全要求值。
9.根据权利要求5所述的方法,其中所述网络安全要求评估问卷和各个清单是基于存储有与网络安全相关的法律和规定的数据库创建的。
10.根据权利要求9所述的方法,其中各个清单可通过导航页面上的相应的链接访问,所述导航页面包括主页和多个子页面,所述主页包括可进入到所述多个子页面的可点击界面元素,所述多个子页面包括关于网络安全法律和标准的页面、网络安全相关的清单的页面、网络安全培训的页面和应用注册的页面。
11.根据权利要求9所述的方法,其中用于访问各个清单的链接被设置在用于管理产品的产品库页面中。
12.一种由计算机实施的管理应用的***,包括:
终端设备,被配置为接收用户对于新应用的标识符的请求;
管理***,被配置为通过网络接收由终端设备发送的用户对于新应用的标识符的请求,并且将包含所述请求的通知发送到网络安全评估***;
网络安全评估***,被配置为:
响应于接收到所述通知,向所述终端设备发送反馈消息,所述反馈消息中包括用于链接到网络安全要求评估问卷的链接;
接收用户对于网络安全要求评估问卷的答复,并且根据用户对于网络安全要求评估问卷的答复,确定所述应用是涉及网络安全的应用;
基于一组预定义网络安全规则,评估所述应用的一个或多个网络安全要求值;和
根据所述一个或多个网络安全要求值,从多个网络安全任务创建模板中选择一个或多个网络安全任务创建模板;以及项目管理***,被配置为从所述网络安全评估***接收所选择的一个或多个网络安全任务创建模板,并且利用所述一个或多个网络安全任务创建模板来创建与网络安全相关的任务。
13.如权利要求12所述的***,其中所述一个或多个网络安全要求值包括网络运营者要求评估值、网络安全等级保护***要求评估值、个人可标识信息要求评估值、数据跨境传输要求评估值、关键信息基础设施要求评估值,所述评估所述应用的一个或多个网络安全要求值包括:
通过将所述答复中的与网络运营者要求相关的答复与网络运营者要求清单相比较,来评估网络运营者要求评估值;
通过将所述答复中的与网络安全等级保护***要求相关的答复与网络安全等级保护***要求清单相比较,来评估网络安全等级保护***要求评估值;
通过所述答复判断所述应用是否涉及关键信息基础设施;
如果所述应用涉及关键信息基础设施,则通过将所述答复中的与关键信息基础设施相关的答复与关键信息基础设施要求清单相比较,来评估关键信息基础设施要求评估值;
通过所述答复判断所述应用是否涉及个人可标识信息;
如果所述应用涉及个人可标识信息,则:
通过将所述答复中的与个人可标识信息相关的答复与个人可标识信息要求清单相比较,来判断所述应用是否涉及移动应用或金融个人信息;
如果所述应用涉及移动应用或金融个人信息,则通过将所述答复中的与移动应用或金融个人信息相关的答复分别与移动应用要求清单或金融个人信息要求清单相比较,来评估个人可标识信息要求评估值;
通过将所述答复中的与个人可标识信息相关的答复与个人可标识信息要求清单相比较,来判断所述应用是否涉及跨境数据转移;
如果所述应用涉及跨境数据转移,则通过将所述答复中的与数据跨境传输相关的答复与数据跨境传输要求清单相比较,来评估评估跨境数据转移要求值;
通过所述答复判断所述应用是否涉及特定数据;
如果所述应用涉及特定数据,则判断所述特定数据是否涉及数据跨境传输;以及
如果所述特定数据涉及数据跨境传输,则通过将所述答复中的与数据跨境传输相关的答复与数据跨境传输要求清单相比较,来评估数据跨境传输要求评估值。
14.根据权利要求12或13所述的***,其中所述网络安全评估***被配置为通过对所述答复的文本识别或所述答复中预定字段的提取和识别来执行比较步骤。
15.根据权利要求12或13所述的***,其中所述管理***进一步被配置为创建用于维护所述应用的页面,所述页面包括安全子页面,所述安全子页面包含标识与网络安全相关的问题的多个标签和相应的可填写字段,其中所述可填写字段根据所述一个或多个网络安全要求值而被自动填写。
16.根据权利要求12或13所述的***,其中所述管理***进一步被配置为将所述应用归档到网络安全应用的列表中,其中所述列表包括一个或多个涉及网络安全的应用的各自的名称、标识符、负责人信息、以及一个或多个网络安全要求值。
17.一种非暂态的计算机可读介质,其上存储有计算机可执行指令,所述计算机可执行指令在由一个或更多个计算设备运行时使得所述一个或更多个计算设备执行根据权利要求1-11中的任意一个所述的方法。
18.一种计算机***,所述计算机***包括:
至少一个处理器;和
至少一个非暂态的计算机可读介质,其上存储有计算机可执行指令,所述计算机可执行指令在由所述至少一个处理器运行时使得所述至少一个处理器执行根据权利要求1-11中的任意一个所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011037068.9A CN114362979B (zh) | 2020-09-28 | 2020-09-28 | 一种管理应用的方法和*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011037068.9A CN114362979B (zh) | 2020-09-28 | 2020-09-28 | 一种管理应用的方法和*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114362979A CN114362979A (zh) | 2022-04-15 |
| CN114362979B true CN114362979B (zh) | 2023-11-21 |
Family
ID=81090287
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011037068.9A Active CN114362979B (zh) | 2020-09-28 | 2020-09-28 | 一种管理应用的方法和*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114362979B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102693384A (zh) * | 2012-05-22 | 2012-09-26 | 清华大学 | 一种浏览器安全自调适方法及装置 |
| CN104901838A (zh) * | 2015-06-23 | 2015-09-09 | 中国电建集团成都勘测设计研究院有限公司 | 企业网络安全事件管理***及其方法 |
| CN108197305A (zh) * | 2018-01-30 | 2018-06-22 | 深圳壹账通智能科技有限公司 | 调查问卷测评处理方法、装置、计算机设备和存储介质 |
| CN108702367A (zh) * | 2016-02-26 | 2018-10-23 | 甲骨文国际公司 | 用于发现和管理应用的安全性的技术 |
| CN109523295A (zh) * | 2018-10-11 | 2019-03-26 | 平安科技(深圳)有限公司 | 一种信息处理方法、存储介质和服务器 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10706131B2 (en) * | 2016-06-10 | 2020-07-07 | OneTrust, LLC | Data processing systems and methods for efficiently assessing the risk of privacy campaigns |
-
2020
- 2020-09-28 CN CN202011037068.9A patent/CN114362979B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102693384A (zh) * | 2012-05-22 | 2012-09-26 | 清华大学 | 一种浏览器安全自调适方法及装置 |
| CN104901838A (zh) * | 2015-06-23 | 2015-09-09 | 中国电建集团成都勘测设计研究院有限公司 | 企业网络安全事件管理***及其方法 |
| CN108702367A (zh) * | 2016-02-26 | 2018-10-23 | 甲骨文国际公司 | 用于发现和管理应用的安全性的技术 |
| CN108197305A (zh) * | 2018-01-30 | 2018-06-22 | 深圳壹账通智能科技有限公司 | 调查问卷测评处理方法、装置、计算机设备和存储介质 |
| CN109523295A (zh) * | 2018-10-11 | 2019-03-26 | 平安科技(深圳)有限公司 | 一种信息处理方法、存储介质和服务器 |
Non-Patent Citations (1)
| Title |
|---|
| 关于数据出境安全评估办法征求意见稿的若干意见;张金平;;信息安全与通信保密(第06期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114362979A (zh) | 2022-04-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11238169B2 (en) | Privacy score | |
| CN108874638B (zh) | 基于画像信息的智能云管理 | |
| CN102947819A (zh) | 信息追踪***和方法 | |
| KR102207632B1 (ko) | 전문가 긴급 추천 서비스 시스템 | |
| US20180227263A1 (en) | System and method for providing services | |
| US11232229B2 (en) | Unsubscribe and delete automation | |
| US20230139128A1 (en) | Unsubscribe and delete automation | |
| US11863687B2 (en) | Post-completion action management in online document system | |
| US11196693B2 (en) | Unsubscribe automation | |
| CN114362979B (zh) | 一种管理应用的方法和*** | |
| CN109726883B (zh) | 一种保险业务的风险管控方法、装置、设备及存储介质 | |
| US20100057733A1 (en) | Method, computer program product, and apparatus for enabling access to enterprise information | |
| US20220350984A1 (en) | Identity verification in a document management system | |
| US11243969B1 (en) | Systems and methods for interaction between multiple computing devices to process data records | |
| CN113326506A (zh) | 一种小程序监控方法及装置 | |
| KR20200003692A (ko) | 통합 기업 환경 마일리지 제공 관리 방법 | |
| KR101955464B1 (ko) | 지능형 정보제공 시스템, 방법 및 그에 대한 기록매체 | |
| KR20230106435A (ko) | 사용자 개인 정보 보호 및 동의 내역을 관리하는 서비스 제공 방법 및 장치 | |
| IE20190191A1 (en) | Digital user consent preferences and control | |
| CN114327379A (zh) | 用于辅助软件产品开发的方法、装置、计算机***和介质 | |
| CN113377367A (zh) | 数据收集方法、装置、计算机设备和存储介质 | |
| JP2023112776A (ja) | プログラム、情報処理装置、情報処理方法、情報処理システム | |
| CN114661714A (zh) | 数据查询方法、装置和电子设备 | |
| CN117407420A (zh) | 数据构建方法、装置、计算机设备及存储介质 | |
| CN114996295A (zh) | 一种数据权限控制方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |