数据安全风险评估解决方案 | 全知科技（杭州）有限责任公司

市场背景

在大数据时代，数据泄漏、数据滥用、数据篡改等各类安全风险的存在，让企业在建设执行数据安全风险评估方面变得紧迫和必要；同时，在国家监管层面，从《网络安全法》、《数据安全法》等法律法规也来看，企业网络数据保护、出境数据安全、个人敏感信息数据安全都需要定期开展风险评估工作，并在风险评估报告中明确企业处理数据的种类和量级，活动情况和可能面临的风险，以及相对应的整改措施。

客户痛点

无法评估合规差距

企业在从“信息化”转型到“数据化”过程中，数据量爆炸增加；企业若无合适的数据安全风险评估方法和工具，无法有针对性的摸清所面的风险，也无法评估与法律合规要求的差距。

缺乏有力的抓手

数据安全风险评估是通过技术工具，客观评估出企业中现存的数据安全风险，企业在建设数据安全治理体系的过程中，正是缺少”数据安全风险评估”工具这一有力抓手的助力。

专业能力不具备

传统安全防护采用边界防护的策略，只是保证静态数据安全；而现实中企业一旦开展业务，必然涉及数据流动过程中的安全风险评估和监测，这些都需要有经验的专业安全团队协助解决。

评估手段支撑不足

传统的安全管理调研方式，容易产生风险遗漏且主观性太强；基于数据便于复制、传输、多形态的特性，需要有针对性、专业性、客观性的技术评估手段协助来查缺补漏。

方案特色

APP隐私合规评估

针对企业APP中个人隐私合规评估部分的要求，提供：APP权限申请和使用情况、个人信息采集相关风险、与第三方交互情况等数据风险。

数据出境安全风险评估

针对《数据安全法》、《个人信息保护法》等要求，提供数据出境中涉及的数据类型、数据量级、是否存在向境外提供重要数据等风险的评估。

个人敏感信息风险评估

针对《个人信息保护法》的要求，通过技术工具，提供企业针对个人敏感信息数据全生命周期中，各个阶段的风险评估需求。

数据安全风险测评服务

(1)   针对企业开放大量数据至互联网业务，提供API接口数据安全监测能力。为企业提供接口敏感数据暴露面、接口脆弱性、接口开放数据的合规性等风险的评估。
(2)   针对企业数据在内部业务应用中，内部接口敏感数据暴露面、敏感数据的流动风险、内部人员的合规使用数据等风险的评估。
(3)   针对企业数据库数据、访问控制、安全管理、人员访问行为等风险评估。

方案价值

合法合规: 全局掌控数据现状,提前布局规划,保障组织在数据安全领域的合法合规。

管技共建: 全面厘清数据风险,补齐短板,促进科学数据安全治理和安全管控体系建设。

持续运营: 全力厘清安全需求,协同推进适宜可落地的数据安全技术与运营技术手段。

防御提升: 全效保障数据安全,减少来自内外部的对数据的攻击和隐患,提升防御能力。

成功案例

针对某企业对外业务的风险评估项目

项目背景：该企业开放了一个对外访客接口，需要访客依据要求填写：访客姓名、手机号、身份证号、联系接口人、接口人工号、部门等信息。
项目实施：全知科技在执行风险评估的过程中，通过技术工具可以发现，该访客接口存在以下问题：
a.   技术脆弱性问题：能够未鉴权变更记录ID而遍历查询到所有访客的信息；
b.   该服务对返回的数据量级未做任何的限制，可一次请求返回大量含有个人敏感信息的访客记录，数据量级至数千条。其中还包含非常敏感的人脸识别信息。
c.   返回的访客信息，未进行脱敏加密处理，可直接获取明文数据。

以上这些问题，都暴露出该企业在数据安全风险评估上未建立有效的安全监测机制，对外提供服务的业务接口中，存在大量暴露企业访客和企业内部员工敏感信息的安全问题，很容易发生数据泄漏事件。

某银行

某银行因为近期法律法规的密集发布，内部还存在一些数据安全管理的问题，期望借助第三方的专业能力，从数据安全风险评估出发，摸底行内数据安全管理的整体情况，包括：合法合规情况、数据安全管理现状、数据安全技术防护现状、业务数据使用场景安全管理现状等。

依据第三方提供的，现状风险调研报告，从管理和技术两方面，规划银行内部后续三年整体的数据安全治理体系建设方案。从合法合规和管理落地的角度，完成整体的银行数据安全治理规划建设。