概述
運營商數據安全合規評估服務基于《網絡安全法》�����、《電信和互聯網數據安全評估規范》以及《2021年省級基礎電信企業網絡與信息安全工作考核要點與評分標準》的要求,并結合安華金和在數據安全豐富評估經驗和項目沉淀,從基礎性評估�、數據生命周期評估和技術能力評估三方面出發����,提升電信企業數據安全能力水平�。
數據安全合規性評估服務
評估方法
數據庫掃描:對數據庫用戶權限、弱口令、低安全策略、缺省配置�、高危程序等進行掃描��。
文檔審閱:收集、審閱有關數據安全管理制度、數據安全技術規范���、運行和維護等文檔。
現場檢查:評估人員通過實際操作方式測試數據安全現狀。
綜合分析:評估人員分析和整理通過上述評估過程所收集的各項信息�,并與相關人員核實���、確認��。
評估報告:根據分析結果����,評估人員撰寫�、提交評估報告,確認評估結果。
評估要點
基礎性評估要點
選取10個通用的數據安全管理內容作為評估項目:機構人員����、制度保障�����、分類分級、權限管理、日志留存、安全審計��、應急響應�、投訴處理、教育培訓、合作方管理����。
數據生命周期評估要點
從數據安全屬性及用戶權益出發,選取數據生命周期的六個過程作為評估項目:采集����、傳輸�、存儲�����、使用���、共享�、銷毀。
采集源合規和個人信息授權��。傳輸場景數據出境業務��。數據存儲安全要求日志審計備份規程�����。數據使用規則和個人信息使用���。對外共享規范����、合作方協議和個人信息共享����。
數據能力評估要點
重點圍繞數據識別、安全審計����、防泄露、接口安全管理�����、個人信息保護等5個方面開展評估���。
評估賦值
將評估要點逐一拆解可得到評估矩陣細則:檢查要點�����、檢查對象�����、檢查方法、判別條件���、評估方法。
控制水平賦值:
數據安全合規性評估-評估矩陣�,包括:分類分級的檢查項目��、檢查要點、檢查方法�����、判斷條件���、準備條件���、評估方法、評估結果�����,具體內容請咨詢安華金和�����。
數據安全合規性評估-雷達圖等。
政策參考
《網絡安全法》
第三十八條 關鍵信息基礎設施的運營者應當自行或者委托網絡安全服務機構對其網絡的安全性和可能存在的風險每年至少進行一次檢測評估,并將檢測評估情況和改進措施報送相關負責關鍵信息基礎設施安全保護工作的部門�。
《數據安全法》
第十六條 國家促進數據安全檢測評估�、認證等服務的發展�����,支持數據檢測評估����、認證等專業機構依法開展服務活動。
第二十八條 重要數據的處理者應當按照規定對其數據活動定期開展風險評估,并向有關主管部門報送風險評估報告��。
風險評估報告應當包括本組織掌握的重要數據的種類��、數量,收集��、存儲、加工�、使用數據的情況,面臨的數據安全風險及其應對措施等����。
工信廳網安函【2020】103號
《電信和互聯網行業網絡數據安全管理工作的通知》
六大方面��,十四點要求
1����、持續深化行業網絡數據安全專項治理����。2����、全面開展網絡數據安全合規性評估。3����、加強行業重要數據和新領域網絡數據安全管理�。4����、加快推進網絡數據安全制度標準建設。5、大力提升網絡數據安全技術保障能力��。6��、強化社會監督與宣傳培訓��。
總體交付物
數據安全合規性評估報告:合規性基本信息(評估目標、評估依據、評估方法����、評估范圍)�、數據安全現狀問題分析(數據庫漏洞�、配置缺陷、弱口令、賬號權限等分析)�、基礎性安全管理評估(控制水平指標���、差距雷達圖)�、生命周期安全管理評估(控制水平指標�、差距雷達圖)、技術能力評估(控制水平指標�、差距雷達圖)���、數據安全整改建議(合規要求�����、管理�����、流程�、技術工具防護建議等)�����。
結語
運營商數據安全合規性評估服務為電信和互聯網網絡數據安全治理提供落地技術支撐����,幫助電信企業推進數據安全制度標準建設�,明確數據分類分級、風險評估�、安全認證��、應急響應等關鍵制度規范要求,有效避免個人信息泄露的違法行為�����。
產品咨詢:4000 258 365 
