监督检查计划与频次
公司级数据安全监督检查每年至少一次;成员单位每月至少开展一次数据安全日常监测巡查;综合检查通常不超过5个工作日,专项检查2-5个工作日。
- 本体映射
PolicyRule(supervision_frequency) -> InspectionPlan -> Organization- 智能体用途
- 生成年度/月份巡查任务,判断某单位是否缺失巡查或报告。
- 主要来源
- 数据安全日常监测巡查及监督检查管理规定;网络与信息安全监督检查工作管理办法
Risk Supervision · Ontology · Agent Workflow
把制度条款、已有数据对接、风险模型、督办闭环和效果评估统一到可查询、可派单、可复核、可考核的团队协作页面。
生成规则候选、规则族、本体 schema 与网页版方案。
Closed-loop Operating Model
Rule Family Matrix
公司级数据安全监督检查每年至少一次;成员单位每月至少开展一次数据安全日常监测巡查;综合检查通常不超过5个工作日,专项检查2-5个工作日。
PolicyRule(supervision_frequency) -> InspectionPlan -> Organization检查问题需经检查人员和组长初步认定,反馈被检查单位核实;异议需提供材料申诉,最终认定后以工单/公文通报并明确整改要求与时限。
RiskFinding -> IssueDetermination -> Notification -> SupervisionTask责任单位应制定整改方案并落实;管理部门跟踪进度,对严重落后单位督办;整改期限届满后组织整改验证,并在后续检查中回头看。
SupervisionTask -> RectificationAction -> VerificationActivity -> FollowUpInspection日常巡查发现的一般问题立即整改,重大隐患24小时内上报并处置。
RiskLevel -> SLAConstraint -> EscalationPolicy互联网暴露面高/中危漏洞和内网高/中危漏洞需100%完成整改;涉及公网的所有漏洞需24小时内整改;整改反馈需提供复测扫描结果或有效领导沟通记录。
VulnerabilityRisk -> SLAConstraint -> EvidenceRequirement(rescan_report)误报需提供截图等证明材料并经安全管理确认后进入白名单;无法按期整改或需延期时需提供有效证明和整改计划,可申请考核减免。
ExceptionRule -> WhitelistCase / DeferralCase -> ApprovalEvidence安全审计应基于日志、账号、权限、工单、纸质凭证等有效证据,审计结论必须获得证据支持;审计数据需及时、完整、准确、真实。
AuditFinding -> EvidenceSet -> EvidenceItem审计问题派发给责任部门;发现安全隐患或事件需上报并启动整改;整改完成后通知安全审计员复核;无需整改需部门领导签字后归档。
AuditIssue -> ResponsibleDepartment -> RectificationAction -> VerificationActivity / NoRectificationApproval原始操作日志留存不少于6个月;日志集中管控平台在线保存至少1年审计数据、离线至少2年;定期备份恢复并保留恢复测试结果。
DataRetentionRule -> LogDataSource -> EvidenceRequirement重要及以上数据处理活动每年至少开展一次数据安全风险评估;个人信息保护影响评估每年至少一次;核心数据跨主体处理事前评估;数据出境前评估;评估报告和处理记录至少保存三年。
DataProcessingActivity -> AssessmentRequirement -> ReportEvidence应对数据泄露、篡改、滥用、违规传输、非法访问、流量异常等风险进行预警,及时组织排查并采取必要防范措施。
DataSecurityRiskType -> DetectionRule -> EscalationPolicy新增自有暴露面资产先报备后上线;所有自有资产全量报备;资产信息变更应在5个工作日内在合规平台发起变更;超期10个工作日未回复资产稽核工单可能影响考核。
ExposedAsset -> FilingRequirement -> FilingTicket -> AssessmentRule4A支持账号异常登录占比、金库使用活跃占比等稽核;金库申请原因需规范化,金库实际操作应与申请理由一致;异常申请可事中阻断或事后审计。
PrivilegedOperation -> VaultApproval -> OperationLog -> ConsistencyCheck对内/对外数据提供需审批和安全评估,数据提供原则上不超过一年;涉及客户信息需同意或脱敏;数据销毁需确保不可恢复并做好效果验证和监督记录。
DataProvision -> ApprovalEvidence -> ProtectionMeasure -> VerificationActivity已有指标为是否整改、是否派发问题单、是否派发考核单、工单及时率;建议扩展为整改完成率、整改及时率、平均整改时长、复核通过率、复发率、证据完整率、例外审核通过率。
EvaluationMetric -> EvaluationResult -> SupervisionTaskOntology Architecture
Risk Models
| 需求名称 | 数据源 | 派单 | 操作日志 | 频次 |
|---|---|---|---|---|
| 一证五号合规监测模型 | 日志平台取一证五号校验接口日志 CRM侧每日新入网号码数据 |
是 | 是 | 新增(每天有新增就派单,不存在存量及整改) |
| 涉诈号码停机监测模型 | 反诈用户表 用户状态表 |
未标注 | 未标注 | 用户取消开发,仅模型可实现验收就可以 |
| 白名单用户停机监测模型 | 反诈平台白名单清单 红名单 用户状态表 |
未标注 | 未标注 | 用户取消开发,仅模型可实现验收就可以 |
| 一证十卡监测模型 | 日志平台取一证十卡校验接口日志 CRM侧每日新入网号码数据 |
是 | 是 | 新增(每天有新增就派单,不存在存量及整改) |
| 入网频次合规稽核模型 | 用户入网表 | 未标注 | 是 | 待补齐 |
| 违规登录实时预警 | 4A堡垒机IP清单 主机SYSlog日志(识别主机登录信息) |
是 | 是 | 待补齐 |
| 设备口令监测模型 | 4A纳管资产 基线弱口令扫描结果 |
是 | 否 | 服务器不同,扫描频率不同(1、互联网暴露面24小时复扫;2、终端直连7天复扫;有些可能是1个月复扫,共8种不同服务器,其他6种用户还未定下扫描频率) |
| 违规敏感操作识别 | 1、4A敏感操作清单 2、4A违规操作清单 3、审计系统报备白名单 4、主机syslog日志 5、网络设备日志 6、安全设备日志 |
是 | 是 | 待定 |
| 数据库连通信拨测 | 1、数据库拨测结果清单 | 是 | 否 | 新增 |
| 数据库敏感信息监测 | 1、数据库分类分级信息(3、4级) 2、系统责任人台账 |
是 | 否 | 新增 |
| 4A日志脱敏稽核 | 已具备 | 是 | 否 | 待定 |
| 4A账号的实名认证稽核 | 1.4a主账号表 2.组织机构表 3.B域_用户表 |
是 | 否 | 每周 |
| 涉敏模块操作绕行4A监测 | 1、4A应用金库清单 2、应用涉敏模块操作日志 |
未标注 | 是 | 待补齐 |
| 涉敏表未触发金库稽核模型 | 1、数据库分类分级信息(3级) 2、4A金库审批日志 3、数据库操作日志 |
未标注 | 是 | 待补齐 |
| 终端账号异常登录监测模型 | 1.终端准入系统日志 2.终端准入系统用户清单 |
是 | 是 | 每周 |
| 异常终端识别模型 | 1.终端准入系统日志 | 是 | 是 | 每周 |
| 管控安全软件是否安装稽核 | 1.桌面云日志 2.云桌面设备资产 |
是 | 是 | 每周 |
| 日志采集完整性稽核 | 1.CMDB资产信息 2.CMDB 的网段数据视图 3.ARP 4.4A接管资产信息 5.数据库采集结果及纳管 |
是 | 否 | 每日 |
| 未被4A纳管设备识别 | 1、CMDB设备清单 2、4A设备清单 |
是 | 否 | 每周 |
| 违规绕行识别 | 1、4A主账号信息 2、主机syslog日志 3、4A堡垒机日志 |
是 | 是 | 待定 |
| 跳登审计模型 | 1、4A主账号信息 2、主机syslog日志 3、4A堡垒机日志 4、云桌面登录日志 |
未标注 | 是 | 待补齐 |
| 应用操作绕行4A监测 | 1、4A单点登录日志 2、应用操作日志 |
未标注 | 是 | 待补齐 |
| 终端防绕行设备白名单绕行4A审计 | 1、绕行白名单台账 2、BOSS终端台账 3、云桌面责任人台账 |
是 | 是 | 每周 |
| 高敏感权限账号绕行稽核 | 1、数据库分类分级信息(3、4级) 2、应用操作数据库操作内容 3、4A单点登录日志 |
未标注 | 未标注 | 待补齐 |
| 合规作业执行检测 | 1、基线扫描结果 2、漏洞扫描结果 |
未标注 | 未标注 | 待补齐 |
| 防火墙策略合规监测模型 | 1、4A纳管资产 2、防火墙配置信息 |
未标注 | 未标注 | 待补齐 |
| 通用安全作业工单稽核模型 | 1.BOMC工单信息 | 未标注 | 未标注 | 待补齐 |
| 态势安全告警 | 态势系统发送的高危告警信息 | 未标注 | 未标注 | 待补齐 |
| ds客户端自动化稽核故障主机 | 亚信DS的SYSLOG日志 | 是 | 是 | 新增 |
| 互联网暴露面资产稽核 | 未标注 | 未标注 | 待补齐 | |
| 未纳管账号稽核 | 1、资源从账号清单 2、4A纳管的从账号清单 |
未标注 | 未标注 | 待补齐 |
| 虚拟机上登录零信任的违规稽核 | 1、北信源开放虚拟机的日志 2、零信任的登录日志 |
未标注 | 未标注 | 待补齐 |
Public Review & Feedback
适合把本页作为静态站快速发布,同时用 Functions、D1 或外部 API 承接反馈数据,支持预览链接和正式域名。
查看官方文档适合只读评审版:把 HTML 放到仓库指定分支或目录,通过 Pages 发布;反馈可先用导出文件或 GitHub Issues 承接。
查看官方文档适合快速拖拽发布、给团队发预览链接;需要真实提交反馈时,可加 Serverless Function 写入数据库或表格。
查看官方文档适合静态站加表单收集;也可通过 Functions、Identity 或外部数据服务扩展成带权限的评审工作台。
查看官方文档直接发布当前单文件 HTML,团队通过右侧反馈栏记录意见,并复制 JSON 或导出 CSV 汇总到项目群、飞书表格或需求池。
把反馈表单提交到云函数 API,落库字段包含章节、类型、优先级、反馈人、意见正文、创建时间和处理状态。
由于页面包含制度分析、数据表名和风险模型,公开前建议先脱敏,并放在 Cloudflare Access、企业 SSO、Vercel 保护或内网网关后。
Full Technical Plan
生成日期:2026-07-01 输入目录:/Users/wdeemo/Desktop/制度汇总 既有规则表:/Users/wdeemo/Desktop/本体论-数据对接_20260615.xlsx
本次处理将制度目录、压缩包附件和既有本体数据对接表统一抽取为可检索语料,形成 190 条源记录,其中 164 条为去重后的可用文本,累计约 460 万字符。规则抽取共得到 17,959 条候选约束,覆盖 155 个去重来源,并归并为 15 类可执行规则族。
总体可落地方案是:以制度条款为依据层,以已有 数据表、风险模型、效果评估 三个 sheet 作为实例种子,建设“风险场景-检测模型-数据证据-督办任务-整改验证-效果指标”的本体和知识图谱。后续智能体不直接硬编码制度,而是按风险事件查询本体,自动选择是否派单、责任主体、SLA、证据要求、复核方式、例外审批和考核指标。
source_inventory.csv 标注为 no_text数据表:64 条,其中操作类日志 45 条、非操作类日志 17 条。风险模型:32 条,其中标记发送工单 17 条;操作类日志模型 15 条、非操作类日志模型 7 条。效果评估:是否整改, 是否派发问题单, 是否派发考核单, 工单及时率| 规则族 | 可执行约束 | 本体映射 | 智能体用途 | 主要来源 |
|---|---|---|---|---|
| 监督检查计划与频次 | 公司级数据安全监督检查每年至少一次;成员单位每月至少开展一次数据安全日常监测巡查;综合检查通常不超过5个工作日,专项检查2-5个工作日。 | PolicyRule(supervision_frequency) -> InspectionPlan -> Organization | 生成年度/月份巡查任务,判断某单位是否缺失巡查或报告。 | 数据安全日常监测巡查及监督检查管理规定;网络与信息安全监督检查工作管理办法 |
| 问题认定、申诉与通报 | 检查问题需经检查人员和组长初步认定,反馈被检查单位核实;异议需提供材料申诉,最终认定后以工单/公文通报并明确整改要求与时限。 | RiskFinding -> IssueDetermination -> Notification -> SupervisionTask | 自动生成问题认定记录、申诉入口、最终问题单和整改任务。 | 数据安全日常监测巡查及监督检查管理规定;网络与信息安全监督检查工作管理办法 |
| 整改督导、验证与回头看 | 责任单位应制定整改方案并落实;管理部门跟踪进度,对严重落后单位督办;整改期限届满后组织整改验证,并在后续检查中回头看。 | SupervisionTask -> RectificationAction -> VerificationActivity -> FollowUpInspection | 监控待整改/整改中/复核中/已闭环状态,触发超期预警和回头看任务。 | 数据安全日常监测巡查及监督检查管理规定;网络与信息安全监督检查工作管理办法;数据安全管控能力技术规范 |
| 一般问题与重大隐患处置 | 日常巡查发现的一般问题立即整改,重大隐患24小时内上报并处置。 | RiskLevel -> SLAConstraint -> EscalationPolicy | 按风险等级自动选择处置SLA和升级路径。 | 数据安全日常监测巡查及监督检查管理规定 |
| 漏洞整改与复测 | 互联网暴露面高/中危漏洞和内网高/中危漏洞需100%完成整改;涉及公网的所有漏洞需24小时内整改;整改反馈需提供复测扫描结果或有效领导沟通记录。 | VulnerabilityRisk -> SLAConstraint -> EvidenceRequirement(rescan_report) | 漏洞类风险自动派单、校验复扫证据、判断是否闭环。 | 安全漏洞管理实施细则;安全作业实施细则;安全合规能力技术规范 |
| 漏洞误报、延期与无法整改例外 | 误报需提供截图等证明材料并经安全管理确认后进入白名单;无法按期整改或需延期时需提供有效证明和整改计划,可申请考核减免。 | ExceptionRule -> WhitelistCase / DeferralCase -> ApprovalEvidence | 识别整改结论为误报/延期/无法整改时,要求补齐证明、审批和复核记录。 | 安全漏洞管理实施细则;三同步管理实施细则;安全合规能力技术规范 |
| 安全审计证据约束 | 安全审计应基于日志、账号、权限、工单、纸质凭证等有效证据,审计结论必须获得证据支持;审计数据需及时、完整、准确、真实。 | AuditFinding -> EvidenceSet -> EvidenceItem | 缺证据时不允许自动闭环;按证据类型调用日志、4A、BOMC、审批台账。 | IT领域安全审计管理实施细则;通信网络安全防护符合性评测表 |
| 安全审计问题跟踪闭环 | 审计问题派发给责任部门;发现安全隐患或事件需上报并启动整改;整改完成后通知安全审计员复核;无需整改需部门领导签字后归档。 | AuditIssue -> ResponsibleDepartment -> RectificationAction -> VerificationActivity / NoRectificationApproval | 自动判断整改、无需整改、复核、归档分支,并收集领导签字或复核结果。 | IT领域安全审计管理实施细则 |
| 日志与审计数据留存 | 原始操作日志留存不少于6个月;日志集中管控平台在线保存至少1年审计数据、离线至少2年;定期备份恢复并保留恢复测试结果。 | DataRetentionRule -> LogDataSource -> EvidenceRequirement | 评估某风险证据是否仍可追溯,发现日志缺口时生成数据质量问题。 | IT领域安全审计管理实施细则 |
| 数据安全评估与报告 | 重要及以上数据处理活动每年至少开展一次数据安全风险评估;个人信息保护影响评估每年至少一次;核心数据跨主体处理事前评估;数据出境前评估;评估报告和处理记录至少保存三年。 | DataProcessingActivity -> AssessmentRequirement -> ReportEvidence | 判断数据处理活动是否缺评估、评估是否过期、整改是否完成。 | 数据安全管理实施细则;IT领域数据安全管理办法 |
| 数据安全监测预警 | 应对数据泄露、篡改、滥用、违规传输、非法访问、流量异常等风险进行预警,及时组织排查并采取必要防范措施。 | DataSecurityRiskType -> DetectionRule -> EscalationPolicy | 将态势告警、DLP、数据库审计、4A日志归并为数据安全风险事件。 | 数据安全管理实施细则;数据安全管控能力技术规范 |
| 互联网暴露面资产报备 | 新增自有暴露面资产先报备后上线;所有自有资产全量报备;资产信息变更应在5个工作日内在合规平台发起变更;超期10个工作日未回复资产稽核工单可能影响考核。 | ExposedAsset -> FilingRequirement -> FilingTicket -> AssessmentRule | 发现未报备/信息不一致/变更超期时派发稽核工单并计算考核风险。 | 互联网暴露面资产报备工作规范;暴露面安全管理与防护指南 |
| 4A、金库与敏感操作一致性 | 4A支持账号异常登录占比、金库使用活跃占比等稽核;金库申请原因需规范化,金库实际操作应与申请理由一致;异常申请可事中阻断或事后审计。 | PrivilegedOperation -> VaultApproval -> OperationLog -> ConsistencyCheck | 对4A/堡垒机/金库/应用操作日志进行一致性审计,生成违规敏感操作风险。 | 4A能力技术规范;安全审计能力技术规范;账号管理办法 |
| 数据提供、脱敏与销毁效果验证 | 对内/对外数据提供需审批和安全评估,数据提供原则上不超过一年;涉及客户信息需同意或脱敏;数据销毁需确保不可恢复并做好效果验证和监督记录。 | DataProvision -> ApprovalEvidence -> ProtectionMeasure -> VerificationActivity | 针对数据开放、脱敏、水印、销毁风险生成评估和验证任务。 | 数据安全管理实施细则;数据出境安全指引;脱敏水印溯源技术规范 |
| 效果评估指标 | 已有指标为是否整改、是否派发问题单、是否派发考核单、工单及时率;建议扩展为整改完成率、整改及时率、平均整改时长、复核通过率、复发率、证据完整率、例外审核通过率。 | EvaluationMetric -> EvaluationResult -> SupervisionTask | 闭环后自动计算单任务、单模型、单部门和年度考核维度指标。 | 本体论-数据对接表;数据安全管控能力技术规范;安全合规能力技术规范 |
| 类 | 说明 | 关键属性 |
|---|---|---|
PolicyDocument | 制度文件 | 标题、发文单位、版本、生效日期、来源路径 |
PolicyClause | 条款/表格规则 | 条款号、原文摘要、规则类型、置信度、来源行 |
ControlRequirement | 可执行制度要求 | 规范强度、适用范围、频次、SLA、证据要求 |
RiskScenario | 风险场景 | 风险域、风险类型、默认等级、适用资产 |
RiskModel | 检测/稽核模型 | 数据源、模型表、是否派单、工单频次 |
DetectionRule | 触发规则 | 触发条件、阈值、调度、SQL/算法引用 |
RiskEvent | 风险事件实例 | 资产、模型、发生时间、等级、状态 |
EvidenceItem | 证据 | 来源表、证据类型、采集时间、完整性 |
SupervisionTask | 督办任务 | 责任单位、到期时间、工单号、状态 |
VerificationActivity | 复核验证 | 复扫、日志核验、人工审核、结果 |
ExceptionCase | 例外情形 | 误报、延期、无法整改、审批状态、证明材料 |
EvaluationMetric | 评价指标 | 公式、维度、周期 |
EvaluationResult | 指标结果 | 指标值、主体、周期、证据 |
完整 schema 已输出至 ontology_schema.json。
source_path + source_line + clause_hash,保证智能体解释可追溯。risk_model:违规登录实时预警、table:log4a_dwd.dwd_oper_log_5150_vm_syslog_login_ri、metric:工单及时率。触发条件、适用对象、责任主体、SLA、证据、复核方法、例外、考核影响 八个字段。数据表 sheet 映射将每一行映射为 DataTable 节点,并建立:
DataTable.asset_domain:主机、网络设备、安全设备、业务平台、安全合规日志等。DataTable.asset_subtype:虚拟机、PC服务器、华为交换机、4A接管资产信息等。DataTable.table_name:ODS/DWD/DWS/ADS 物理表。DataTable.join_condition:与资产、账号、资源等主数据的关联字段。DataTable.is_operation_log:判断是否可作为行为审计证据。风险模型 sheet 映射将 32 个需求映射为 RiskModel 节点。建议首批上线 6 类高价值模型:
| 优先级 | 风险模型 | 原因 | 本体需要补齐 |
|---|---|---|---|
| P0 | 违规登录实时预警 | 已有4A堡垒机IP清单与主机SYSlog,适合形成实时/准实时派单 | 违规登录判定条件、SLA、责任归属 |
| P0 | 设备口令监测模型 | 已有4A纳管资产和弱口令扫描结果,且已有24小时/7天复扫规则 | 按资产暴露属性生成复扫周期 |
| P0 | 违规敏感操作识别 | 已有DWS结果表和敏感/违规操作清单、白名单、主机/网络/安全设备日志 | 白名单、金库、4A绕行、复核规则 |
| P1 | 日志采集完整性稽核 | 每日频次,能支撑审计证据完整性 | 数据质量规则、缺失日志影响范围 |
| P1 | 未被4A纳管设备识别 | CMDB与4A设备清单差异可直接督办 | 资产归属、纳管例外 |
| P1 | 互联网暴露面资产稽核 | 与“先报备后上线、五个工作日变更、十个工作日回复”强相关 | 报备状态、变更时间、稽核工单 |
效果评估 sheet 映射已有 4 个指标可作为最小可行指标:
SupervisionTask.status=已闭环 且存在通过的 VerificationActivity。RiskModel.dispatch_required=true 时存在有效 ticket_id。按期闭环任务数 / 应闭环任务数。建议扩展:
输入:风险事件、模型结果表、日志证据、资产/账号/责任人信息。 动作:
RiskEvent.model_id 查询 RiskModel。RiskModel -> RiskScenario -> ControlRequirement 找到适用制度规则。SupervisionTask。输入:督办任务、整改结论、复扫/日志/审批证据、考核规则。 动作:
EvidenceRequirement。输入:新增制度、修订对照表、人工审核意见。 动作:
PolicyClause。RiskEvent。{
"event_id": "risk-20260701-0001",
"model_id": "违规敏感操作识别",
"risk_type": "privileged_operation_violation",
"risk_level": "high",
"asset": {"ip": "10.x.x.x", "system": "某系统", "owner_org": "某部门"},
"evidence": [
{"type": "4A金库申请日志", "table": "log4a_ods.ODS_4A_GOLD_STRATEGY_DF"},
{"type": "堡垒机操作日志", "table": "log4a_dwd..."}
],
"detected_at": "2026-07-01T10:00:00+08:00"
}
| 阶段 | 周期 | 主要工作 | 交付物 |
|---|---|---|---|
| 0. 数据治理准备 | 1-2周 | 接入制度库、OCR扫描PDF、确认工单/日志/资产权限 | 可用语料库、数据源清单、问题清单 |
| 1. 本体一期 | 2-3周 | 建立核心类、关系、规则DSL;导入数据对接表和15类规则族 | 本体schema、种子图谱、规则库v1 |
| 2. 风险模型接入 | 3-6周 | 接入P0模型:违规登录、弱口令、违规敏感操作 | 标准RiskEvent、模型运行日志、证据映射 |
| 3. 督办闭环 | 4-8周 | 打通BOMC/SMP/自建流程,完成派单、催办、复核、例外 | 督办智能体、效果评估引擎、看板 |
| 4. 扩展与运营 | 持续 | 新制度增量抽取、模型扩展、指标优化、人工审核闭环 | 规则版本管理、年度考核支撑 |
source_inventory.csv:源文件覆盖、去重、抽取状态。rule_candidates.csv:17,959 条候选规则。source_rule_summary.csv:每份制度的规则画像。normalized_rule_families.csv:15 类可执行规则族。data_table_catalog.csv:既有数据表映射。risk_model_catalog.csv:既有风险模型映射。effect_metric_catalog.csv:既有效果评估指标。ontology_schema.json:本体 schema 草案。