概述
運營商數(shù)據(jù)安全合規(guī)評估服務(wù)基于《網(wǎng)絡(luò)安全法》��、《電信和互聯(lián)網(wǎng)數(shù)據(jù)安全評估規(guī)范》以及《2021年省級基礎(chǔ)電信企業(yè)網(wǎng)絡(luò)與信息安全工作考核要點與評分標(biāo)準(zhǔn)》的要求��,并結(jié)合安華金和在數(shù)據(jù)安全豐富評估經(jīng)驗和項目沉淀���,從基礎(chǔ)性評估����、數(shù)據(jù)生命周期評估和技術(shù)能力評估三方面出發(fā),提升電信企業(yè)數(shù)據(jù)安全能力水平�����。
數(shù)據(jù)安全合規(guī)性評估服務(wù)
評估方法
數(shù)據(jù)庫掃描:對數(shù)據(jù)庫用戶權(quán)限��、弱口令�����、低安全策略����、缺省配置���、高危程序等進行掃描����。
文檔審閱:收集�����、審閱有關(guān)數(shù)據(jù)安全管理制度、數(shù)據(jù)安全技術(shù)規(guī)范��、運行和維護等文檔�。
現(xiàn)場檢查:評估人員通過實際操作方式測試數(shù)據(jù)安全現(xiàn)狀。
綜合分析:評估人員分析和整理通過上述評估過程所收集的各項信息����,并與相關(guān)人員核實、確認(rèn)����。
評估報告:根據(jù)分析結(jié)果,評估人員撰寫���、提交評估報告��,確認(rèn)評估結(jié)果���。
評估要點
基礎(chǔ)性評估要點
選取10個通用的數(shù)據(jù)安全管理內(nèi)容作為評估項目:機構(gòu)人員、制度保障�����、分類分級、權(quán)限管理��、日志留存���、安全審計�����、應(yīng)急響應(yīng)����、投訴處理�����、教育培訓(xùn)�、合作方管理��。
數(shù)據(jù)生命周期評估要點
從數(shù)據(jù)安全屬性及用戶權(quán)益出發(fā)�,選取數(shù)據(jù)生命周期的六個過程作為評估項目:采集、傳輸��、存儲�����、使用、共享�����、銷毀��。
采集源合規(guī)和個人信息授權(quán)���。傳輸場景數(shù)據(jù)出境業(yè)務(wù)���。數(shù)據(jù)存儲安全要求日志審計備份規(guī)程。數(shù)據(jù)使用規(guī)則和個人信息使用�����。對外共享規(guī)范����、合作方協(xié)議和個人信息共享。
數(shù)據(jù)能力評估要點
重點圍繞數(shù)據(jù)識別���、安全審計�����、防泄露�、接口安全管理、個人信息保護等5個方面開展評估���。
評估賦值
將評估要點逐一拆解可得到評估矩陣細則:檢查要點����、檢查對象�����、檢查方法�����、判別條件�����、評估方法�����。
控制水平賦值:
數(shù)據(jù)安全合規(guī)性評估-評估矩陣�����,包括:分類分級的檢查項目��、檢查要點���、檢查方法��、判斷條件��、準(zhǔn)備條件�����、評估方法����、評估結(jié)果����,具體內(nèi)容請咨詢安華金和。
數(shù)據(jù)安全合規(guī)性評估-雷達圖等���。
政策參考
《網(wǎng)絡(luò)安全法》
第三十八條 關(guān)鍵信息基礎(chǔ)設(shè)施的運營者應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機構(gòu)對其網(wǎng)絡(luò)的安全性和可能存在的風(fēng)險每年至少進行一次檢測評估�,并將檢測評估情況和改進措施報送相關(guān)負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作的部門。
《數(shù)據(jù)安全法》
第十六條 國家促進數(shù)據(jù)安全檢測評估���、認(rèn)證等服務(wù)的發(fā)展�,支持?jǐn)?shù)據(jù)檢測評估�、認(rèn)證等專業(yè)機構(gòu)依法開展服務(wù)活動。
第二十八條 重要數(shù)據(jù)的處理者應(yīng)當(dāng)按照規(guī)定對其數(shù)據(jù)活動定期開展風(fēng)險評估,并向有關(guān)主管部門報送風(fēng)險評估報告����。
風(fēng)險評估報告應(yīng)當(dāng)包括本組織掌握的重要數(shù)據(jù)的種類、數(shù)量,收集�、存儲、加工���、使用數(shù)據(jù)的情況,面臨的數(shù)據(jù)安全風(fēng)險及其應(yīng)對措施等�。
工信廳網(wǎng)安函【2020】103號
《電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全管理工作的通知》
六大方面��,十四點要求
1�����、持續(xù)深化行業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全專項治理��。2���、全面開展網(wǎng)絡(luò)數(shù)據(jù)安全合規(guī)性評估���。3、加強行業(yè)重要數(shù)據(jù)和新領(lǐng)域網(wǎng)絡(luò)數(shù)據(jù)安全管理����。4、加快推進網(wǎng)絡(luò)數(shù)據(jù)安全制度標(biāo)準(zhǔn)建設(shè)���。5����、大力提升網(wǎng)絡(luò)數(shù)據(jù)安全技術(shù)保障能力���。6���、強化社會監(jiān)督與宣傳培訓(xùn)。
總體交付物
數(shù)據(jù)安全合規(guī)性評估報告:合規(guī)性基本信息(評估目標(biāo)���、評估依據(jù)�、評估方法、評估范圍)�、數(shù)據(jù)安全現(xiàn)狀問題分析(數(shù)據(jù)庫漏洞、配置缺陷��、弱口令���、賬號權(quán)限等分析)��、基礎(chǔ)性安全管理評估(控制水平指標(biāo)�、差距雷達圖)���、生命周期安全管理評估(控制水平指標(biāo)��、差距雷達圖)����、技術(shù)能力評估(控制水平指標(biāo)��、差距雷達圖)���、數(shù)據(jù)安全整改建議(合規(guī)要求���、管理、流程�、技術(shù)工具防護建議等)。
結(jié)語
運營商數(shù)據(jù)安全合規(guī)性評估服務(wù)為電信和互聯(lián)網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)安全治理提供落地技術(shù)支撐��,幫助電信企業(yè)推進數(shù)據(jù)安全制度標(biāo)準(zhǔn)建設(shè)����,明確數(shù)據(jù)分類分級、風(fēng)險評估�����、安全認(rèn)證����、應(yīng)急響應(yīng)等關(guān)鍵制度規(guī)范要求,有效避免個人信息泄露的違法行為�����。
產(chǎn)品咨詢:4000 258 365 
