数据安全风险评估必要性
(一)履行法律法规义务 降低违规风险
《数据安全法》第三十条 重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。工信部《工业和信息化领域数据安全管理办法》第三十一条 工业和信息化领域重要数据和核心数据处理者应当自行或委托第三方评估机构,每年对其数据处理活动至少开展一次风险评估,及时整改风险问题,并向本地区行业监管部门报送风险评估报告。电信和互联网行业,金融行业,医疗行业均有相应规定要求
(二)常态化监管检查或行政检查
遵循和落实行业监管的数据安全和个人信息合规检查(网信,工信,公安,银保监,证监和政府联合检查等),及时开展数据安全风险评估工作。
(三) 树立企业合规品牌或安全合规背书
通过遵循国家、行业相关法律法规,依托第三方权威机构开展个人信息保护和数据安全评估,从第三方角度向监管机构、合作伙伴和用户等证明企业的数据安全合规能力品牌。业务系统上线时被要求出具数据安全合规评估
(四) 预防网络数据安全事件
现在个人信息泄露或窃密、数据安全滥用等网络安全事件频发,事前开展数据安全风险评估,识别安全风险和用户权利响应问题,降低安全事件发生概率,减少不良影响。
(五) 违规后果严重
企业形象受损,业务发展受阻,拒不改正或者造成大量数据泄露等严重后果的直接负责主管/责任人入刑,个人罚款且一定期限禁止任职董事、高管
数据安全风险评估服务简介
数据安全风险评估:根据《中华人民共和国数据安全法》、《中国人民共和国个人信息保护法》等法律法规要求,
基于组织的主要业务运营所依托的数据资产(客户数据、个人信息、业务生产数据、设计图纸、生产配方和科研数
据等),在不同业务场景涉及的数据的收集、存储、使用、加工、传输、提供、公开等生命周期数据处理活动中,识别所面临的数据法律合规和技术安全风险(防泄露、防被窃、防篡改、防丢失、防被删、防滥用、防误用和合规处理等新风险)以及其应对控制措施有效性,并提出相适应的整改解决方案。
服务方案(数据安全风险评估内容)
数据处理合规风险评估
① 数据采集合法合规正当性;
② 数据采集必要性和最小化原则;
③ 数据采集目的与范围合规性;
④ 数据合作供应链法律合规责任;
⑤ 数据内部使用和管理合法合规责任;
⑥ 业务用户或客户交互展示合规性;
⑦ 数据的行业监管合规性风险识别;
⑧ 提供数据处理相关服务行政合规资质;
⑨ 数据出境安全合规性识别;
数据安全技术风险评估
① 账号权限风险:重要数据资源访问获取账号与权限体系技术安全风险12项,包括账号共享、权限过高、弱口令、认证绕过、越权获取等等;
② 数据暴露风险:高敏感度数据暴露、访问超过业务所需的风险、敏感数据未经脱敏的风险10项;
③ 数据行为风险:异常时间地点和频次的数据
访问、单IP多账号访问行为;异常数据量
和数据资产整体遍历获取行为;后门访问
行为;爬虫风险行为等等25项;
④ 数据流动风险:敏感、重要数据非授权流向境外;从生产区流向测试区,从内网流向外网;
数据处理管理风险评 估
① 数据分类分级保护制度;
② 组织重要数据目录管理;
③ 涉及全流程数据安全管理制度;
④ 数据安全负责人和管理机构管理机制
⑤ 外部供应链数据风险管理机制;
⑥ 数据安全风险信息的获取、分析、研判、预警机制管理;
⑦ 数据安全应急处置机制管理;
⑧ 数据安全、保密教育培训管理;
⑨ 重要数据的出境安全管理;
数据安全风险评估的对象及评估流程
评估对象:涉及重要数据或大量个人信息的核心业务信息系统。
评估流程:根据数据安全风险评估结果,针对每个数据安全风险项,结合被影响的数据资产重
要程度与采取的数据安全控制措施有效程度,评估整体的数据安全风险情况,并协助企业进行整
改优化,以达到风险可控。
评估方法
评估方法
三种层次融合
多方法融合
实施流程
现状调研
• 调研表及补充材料
• 确定对象及范围
• 制定计划,方案
• 项目启动会
差距与合规分析
• 法律合规性评估
• 数据泄露风险
• 数据探针部署
• 远程+现场评估
合规风险 处置方案
• 监管红线;
• 可优化项;
风险整改优化
• 协助企业整改优化
• 现场沟通会议
评估结束
• 编制评估报告
• 交付项目所有材料
现场评估5天
现场5天,其余时间为远程评估,收集企业的数据安全相关文档,远程检测信息系统存在的脆弱性,发现数据安全管理机制和安全技术措施
的风险隐患。
实施周期
活动天数:检测出具问题表2-3周,编制报告1周,合计3-4周
服务交付
交付资料
