业务讲堂
技术研究
最新文章
数据安全合规评估服务
作者:UGUARDSEC 发表日期:2021/02/19 来源:原创

在《网络安全法》等相关法律法规基础之上,为强化我国个人信息和重要数据的保护能力,我国陆续出台了多项数据和隐私保护法规和政策,其中《数据安全管理办法(征求意见稿)》(以下简称“数据安全管理办法”)第二条与第六条中明确要求企业应当参照上述标准及其它配套标准履行企业数据安全保护义务。


此外网络安全形势严峻,运营商企业作为国家关键信息基础设施运营单位,需要完善网络安全保障能力,为国家和民众提供安全的互联网环境。网络攻击的目标往往是业务资产和数据资产,因此,做好业务资产和数据资产的梳理与保护是网络安全管理的重要一环。数据安全建设应当首先进行数据安全合规评估,确保企业数据安全建设符合国家及主管机构的要求。通过人工服务结合工具检查的方式对网内业务资产和敏感数据进行发现和检测,排除安全死角,落实数据分类分级与安全管控并对敏感数据进行重点保护,完善数据安全管理制度,提升数据安全防护水平。


一、数据安全合规评估的必要性


2019年5月发布的《数据安全管理办法》(征求意见稿)中的第六条明确指出网络运营者应当按照国家法律法规要求,参照国家网络安全标准,履行数据安全保护义务,开展数据安全风险评估。


工信厅【2019】42号文《电信和互联网行业提升网络数据安全保护能力专项行动方案》中将开展网络数据安全风险评估被列为“电信和互联网行业提升网络数据安全保护能力专项行动的第二大任务。其中“重点工作03”与“重点工作05”要求电信企业与互联网企业进行数据安全合规性自评估并接受主管单位的持续性考核检查,合规性评估落实情况将纳入基础电信企业网络与信息安全考核检查。


中国信息通信研究院(以下简称“信通院”)编制的《电信网和互联网数据安全评估规范》(征求意见稿)中指出,电信运营商企业应在业务运营阶段数据承载环境发生变化时、开展数据重要操作前、主管机构要求下以及其它法律法规所要求的情况下开展数据安全评估。

另外已发布的包括《GB/T 35273-2020个人信息安全规范》、《GB/T 35272-2017大数据服务安全能力要求》、《GB∕T34978-2017移动智能终端个人信息保护技术要求》、《GB/T 37988-2019数据安全能力成熟度模型》等的国家标准则对企业在个人信息保护、大数据平台建设及使用、以及移动APP数据保护技术要求等方面提出了细致要求与规范。


每一个企业都正在面临着来自于监管部门的数据安全合规要求,例如工信部与国资委发布的《2020年省级基础电信企业网络与信息安全工作考核要点与评分标准(征求意见稿)》中“网络与信息安全监管工作”的第一个考核指标便要求电信和互联网企业按照《2020年电信和互联网企业数据安全合规性评估要点》完成数据安全合规性评估工作,形成评估报告。针对2020年年内应组织落实的要点内容,及时完成风险问题整改。因此企业应当依据监管部门要求,以符合标准的方式进行数据安全合规评估工作。


二、评估方法


数据安全合规评估主要利用文件查验、顾问访谈、系统演示及测评验证等多种方法评估企业在各类数据处理活动及数据承载系统平台的保障措施合规情况,从通用性管理与全生命周期管理两方面出发,针对各个指标项明确评估涉及的重要管理措施、重点技术措施及判断标准,明确被评估事项合规性保障基线,以提升企业数据安全管理及相关技术保障措施能力水平。


数据安全合规评估服务


Ø确定评估项:依据对标的合规要求,以符合电信企业实际情况的方式梳理合规评估项,确保整体评估方案的完备性与一致性。

Ø根据评估方法执行评估:基于行业最佳实践的指导与丰富的合规评估实施经验,结合企业实际情况,为每一个评估项确定最优的检查方式,并依据评估方式执行评估工作。

Ø获取证明依据:根据评估方式明确每个检查项所需的证明依据,逐项获取证明依据,提升合规评估的效率与说服力。

Ø记录评估结果:通过评估工作明确每个检查项的符合状态,结合证明依据,详细地记录企业数据安全合规评估结果。

Ø风险分析:根据合规评估结果综合分析企业的数据安全风险,生成数据安全风险矩阵,明确风险处置的顺序,并给出风险整改建议。

Ø出具评估报告:综合统计每一个类别下检查项的符合情况,绘制企业数据安全合规建设现状,并从管理与数据生命周期两个维度提供建设指导。


三、企业做数据安全合规评估的价值


企业通过实施数据安全合规评估,可有效降低企业数据安全合规风险。


降低合规成本:企业在进行管理体系建设、安全规划、系统开发以及平台搭建等工作之前,引入数据安全合规评估可在设计规划阶段有效的发现企业面临的数据安全风险,在管理体系、业务系统与平台正式投入工作前,从设计层面对企业存在的数据安全风险进行控制,可有效降低数据安全风险的时间管理成本、控制措施落地成本以及法律费用。


规避监管处罚:数据安全合规评估报告可作为主管机构检查时提供的有效证明,表明企业高度重视数据安全的建设,并已经依据主管机构要求对企业数据安全风险进行了评估,避免由于工作缺失导致的监管处罚。而当企业发生数据安全事件时,数据安全合规评估报告能够为作为分析安全事件产生原因的要素之一,并且能够向监管部门证明组织已经采取了妥善的措施试图阻止安全事件的发生。


保障数据共享:数据安全合规评估可以作为向合作方提供的数据安全能力凭证,证明企业达到开展数据开放共享业务的合规要求,同时也可通过查验合作方数据安全合规评估结果来确保合作方资质。

天磊卫士通过多年专业网络安全运维服务经验积累,推出了自主研发的一体化安全运维服务平台,配合专业服务人员,对三大风险要素(资产、脆弱性、威胁)进行管理,为客户提供以“等保合规”为基本要求、以“服务可视”为交付效果、以“安全价值”为服务宗旨,以“安全结果”为最终导向的新一代网络安全运维服务。


上一篇:恶意代码排查服务
下一篇:安全通告服务