概述
運(yùn)營(yíng)商數(shù)據(jù)安全合規(guī)評(píng)估服務(wù)基于《網(wǎng)絡(luò)安全法》�����、《電信和互聯(lián)網(wǎng)數(shù)據(jù)安全評(píng)估規(guī)范》以及《2021年省級(jí)基礎(chǔ)電信企業(yè)網(wǎng)絡(luò)與信息安全工作考核要點(diǎn)與評(píng)分標(biāo)準(zhǔn)》的要求��,并結(jié)合安華金和在數(shù)據(jù)安全豐富評(píng)估經(jīng)驗(yàn)和項(xiàng)目沉淀����,從基礎(chǔ)性評(píng)估�����、數(shù)據(jù)生命周期評(píng)估和技術(shù)能力評(píng)估三方面出發(fā)����,提升電信企業(yè)數(shù)據(jù)安全能力水平����。
數(shù)據(jù)安全合規(guī)性評(píng)估服務(wù)
評(píng)估方法
數(shù)據(jù)庫(kù)掃描:對(duì)數(shù)據(jù)庫(kù)用戶權(quán)限����、弱口令��、低安全策略�、缺省配置、高危程序等進(jìn)行掃描��。
文檔審閱:收集�����、審閱有關(guān)數(shù)據(jù)安全管理制度�、數(shù)據(jù)安全技術(shù)規(guī)范、運(yùn)行和維護(hù)等文檔�����。
現(xiàn)場(chǎng)檢查:評(píng)估人員通過(guò)實(shí)際操作方式測(cè)試數(shù)據(jù)安全現(xiàn)狀�。
綜合分析:評(píng)估人員分析和整理通過(guò)上述評(píng)估過(guò)程所收集的各項(xiàng)信息��,并與相關(guān)人員核實(shí)����、確認(rèn)�����。
評(píng)估報(bào)告:根據(jù)分析結(jié)果����,評(píng)估人員撰寫(xiě)�、提交評(píng)估報(bào)告,確認(rèn)評(píng)估結(jié)果。
評(píng)估要點(diǎn)
基礎(chǔ)性評(píng)估要點(diǎn)
選取10個(gè)通用的數(shù)據(jù)安全管理內(nèi)容作為評(píng)估項(xiàng)目:機(jī)構(gòu)人員、制度保障����、分類分級(jí)����、權(quán)限管理、日志留存�、安全審計(jì)、應(yīng)急響應(yīng)、投訴處理、教育培訓(xùn)、合作方管理��。
數(shù)據(jù)生命周期評(píng)估要點(diǎn)
從數(shù)據(jù)安全屬性及用戶權(quán)益出發(fā)�����,選取數(shù)據(jù)生命周期的六個(gè)過(guò)程作為評(píng)估項(xiàng)目:采集��、傳輸����、存儲(chǔ)、使用、共享��、銷毀�����。
采集源合規(guī)和個(gè)人信息授權(quán)。傳輸場(chǎng)景數(shù)據(jù)出境業(yè)務(wù)。數(shù)據(jù)存儲(chǔ)安全要求日志審計(jì)備份規(guī)程�。數(shù)據(jù)使用規(guī)則和個(gè)人信息使用��。對(duì)外共享規(guī)范��、合作方協(xié)議和個(gè)人信息共享。
數(shù)據(jù)能力評(píng)估要點(diǎn)
重點(diǎn)圍繞數(shù)據(jù)識(shí)別��、安全審計(jì)�、防泄露���、接口安全管理、個(gè)人信息保護(hù)等5個(gè)方面開(kāi)展評(píng)估����。
評(píng)估賦值
將評(píng)估要點(diǎn)逐一拆解可得到評(píng)估矩陣細(xì)則:檢查要點(diǎn)���、檢查對(duì)象、檢查方法�����、判別條件��、評(píng)估方法�����。
控制水平賦值:
數(shù)據(jù)安全合規(guī)性評(píng)估-評(píng)估矩陣����,包括:分類分級(jí)的檢查項(xiàng)目、檢查要點(diǎn)�����、檢查方法����、判斷條件、準(zhǔn)備條件�、評(píng)估方法�����、評(píng)估結(jié)果��,具體內(nèi)容請(qǐng)咨詢安華金和�。
數(shù)據(jù)安全合規(guī)性評(píng)估-雷達(dá)圖等���。
政策參考
《網(wǎng)絡(luò)安全法》
第三十八條 關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對(duì)其網(wǎng)絡(luò)的安全性和可能存在的風(fēng)險(xiǎn)每年至少進(jìn)行一次檢測(cè)評(píng)估���,并將檢測(cè)評(píng)估情況和改進(jìn)措施報(bào)送相關(guān)負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門(mén)。
《數(shù)據(jù)安全法》
第十六條 國(guó)家促進(jìn)數(shù)據(jù)安全檢測(cè)評(píng)估����、認(rèn)證等服務(wù)的發(fā)展�����,支持?jǐn)?shù)據(jù)檢測(cè)評(píng)估��、認(rèn)證等專業(yè)機(jī)構(gòu)依法開(kāi)展服務(wù)活動(dòng)����。
第二十八條 重要數(shù)據(jù)的處理者應(yīng)當(dāng)按照規(guī)定對(duì)其數(shù)據(jù)活動(dòng)定期開(kāi)展風(fēng)險(xiǎn)評(píng)估,并向有關(guān)主管部門(mén)報(bào)送風(fēng)險(xiǎn)評(píng)估報(bào)告��。
風(fēng)險(xiǎn)評(píng)估報(bào)告應(yīng)當(dāng)包括本組織掌握的重要數(shù)據(jù)的種類��、數(shù)量,收集����、存儲(chǔ)���、加工�、使用數(shù)據(jù)的情況,面臨的數(shù)據(jù)安全風(fēng)險(xiǎn)及其應(yīng)對(duì)措施等�����。
工信廳網(wǎng)安函【2020】103號(hào)
《電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全管理工作的通知》
六大方面��,十四點(diǎn)要求
1���、持續(xù)深化行業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全專項(xiàng)治理�。2��、全面開(kāi)展網(wǎng)絡(luò)數(shù)據(jù)安全合規(guī)性評(píng)估���。3�、加強(qiáng)行業(yè)重要數(shù)據(jù)和新領(lǐng)域網(wǎng)絡(luò)數(shù)據(jù)安全管理。4���、加快推進(jìn)網(wǎng)絡(luò)數(shù)據(jù)安全制度標(biāo)準(zhǔn)建設(shè)����。5����、大力提升網(wǎng)絡(luò)數(shù)據(jù)安全技術(shù)保障能力。6�����、強(qiáng)化社會(huì)監(jiān)督與宣傳培訓(xùn)�����。
總體交付物
數(shù)據(jù)安全合規(guī)性評(píng)估報(bào)告:合規(guī)性基本信息(評(píng)估目標(biāo)���、評(píng)估依據(jù)、評(píng)估方法���、評(píng)估范圍)����、數(shù)據(jù)安全現(xiàn)狀問(wèn)題分析(數(shù)據(jù)庫(kù)漏洞、配置缺陷����、弱口令、賬號(hào)權(quán)限等分析)�����、基礎(chǔ)性安全管理評(píng)估(控制水平指標(biāo)�、差距雷達(dá)圖)、生命周期安全管理評(píng)估(控制水平指標(biāo)����、差距雷達(dá)圖)、技術(shù)能力評(píng)估(控制水平指標(biāo)����、差距雷達(dá)圖)、數(shù)據(jù)安全整改建議(合規(guī)要求�����、管理、流程�、技術(shù)工具防護(hù)建議等)。
結(jié)語(yǔ)
運(yùn)營(yíng)商數(shù)據(jù)安全合規(guī)性評(píng)估服務(wù)為電信和互聯(lián)網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)安全治理提供落地技術(shù)支撐�,幫助電信企業(yè)推進(jìn)數(shù)據(jù)安全制度標(biāo)準(zhǔn)建設(shè),明確數(shù)據(jù)分類分級(jí)�����、風(fēng)險(xiǎn)評(píng)估���、安全認(rèn)證����、應(yīng)急響應(yīng)等關(guān)鍵制度規(guī)范要求����,有效避免個(gè)人信息泄露的違法行為。
產(chǎn)品咨詢:4000 258 365 
