隨著技術的變化，WEB系統面臨的安全威脅越來越多。這些威脅可能來自于組織內部和外部，可能產生破壞性的后果，導致系統宕機或者敏感信息泄露。因此在WEB系統的整個生命周期中都需要關注系統安全，本篇文章基于WEB系統涉及的法律法規和行業規范要求，分析如何制定合理的合規與安全基線。

在制定合規與安全基線時，從以下三個方面進行考慮。

一 考慮WEB系統涉及的法律法規和行業規范要求

從法律法規上講，為進一步規范個人信息安全管理工作，有效防范用戶個人信息安全隱患，根據《電信和互聯網用戶個人信息保護規定》、《關于辦理侵犯公民個人信息刑事案件使用法律若干問題的解釋》、《中華人民共和國網絡安全法》、《信息安全技術個人信息安全規范》、《中華人民共和國個人信息保護法》等相關法律法規指定管理方法。在此基礎上還要根據公司要求，以電信為例，參照電信集團印發的個人信息保護管理方法的制度進行進一步地確定。

需要明確的是，在WEB系統涉及用戶信息的服務或者在向用戶提供其他服務過程中收集、存儲、使用等各個環節中都需要遵守上述的原則和保護要求。

二 考慮WEB系統本身的服務特性和使用場景

《個人信息保護法》中指出，web系統在個人用戶信息讀取和保存中需要遵守以下規則：
第四十一條：
處理個人信息達到國家網信部門規定數量的特定單位應當按照下列情形指定個人信息保護負責人對個人信息處理活動進行檢查、監督，并負責組織個人信息處理條件評估和敏感個人信息泄露、損毀事故發生時的應急處置：
（一）處理敏感個人信息的；
（二）處理不滿十四周歲未成年人個人信息的。
前款規定的特定單位應當將個人信息保護負責人名單及其聯系方式向所在地的省、自治區、直轄市人民有關部門、網信部門備案。個人信息保護負責人應當具備與其履行職責相適應的專業素養和專業知識。

對于WEB系統來講，使用的用戶信息包括但不僅限于用戶名、用戶ID、綁定郵箱、手機號碼、登錄時間、登錄位置、搜索碼等。如有必要，可能還涉及用戶的個人身份證號碼，住址或者ip等信息。根據這些信息的機密程度，還要區分涉及安全基線。

三 制定合規與安全基線的八個步驟

1. 定義合規要求：首先，需要確定項目所需的合規標準。這可以是行業標準（如HIPAA、PCI DSS等），也可以是企業內部標準。
2. 識別風險：對項目進行風險評估，識別出潛在的安全威脅和漏洞。
3. 確定安全需求：根據合規要求和風險評估結果，確定項目的安全需求。這些需求可以包括加密、身份驗證、訪問控制、數據備份等方面。
4. 建立安全策略：基于安全需求，制定相應的安全策略。這些策略應涵蓋物理安全、網絡安全、應用程序安全、訪問控制等方面。
5. 制定安全標準：為項目創建安全標準，包括代碼審查、安全測試、漏洞管理等。
6. 建立監控和報告機制：實施監控和報告機制，確保項目的安全性。這可以包括日志記錄、入侵檢測、安全事件響應等方面。
7. 培訓團隊成員：為團隊成員提供安全意識和培訓，確保他們了解安全政策、標準和技術，并在項目中遵循。
8. 持續改進：定期審查和更新安全策略和標準，以適應項目發展和技術變化。

總之，制定項目合規與安全基線需要綜合考慮多種因素，包括合規要求、風險評估、安全需求、安全策略、安全標準、監控和報告機制、團隊培訓和持續改進。