400-100-9516
solution
数据安全风险评估解决方案
市场背景
市场背景

2016年11月,《中华人民共和国网络安全法》正式发布,国家从法律层面上,对网络运营者提出了要求,其中第二十一条的内容对网络数据的保护提出了要求;2019年5月,《数据安全管理办法(征求意见稿)》中,第四条、第三十五条,对数据安全出境的风险和针对个人信息的数据安全事件提出了保护要求;2021年6月,《中华人民共和国数据安全法》正式发布,其中对国家和重要数据的处理者,都提出了针对数据安全风险评估的需求。

从以上这些法律法规要求来看,企业网络数据保护、出境数据安全、个人敏感信息数据安全都需要定期开展风险评估工作,并在风险评估报告中明确企业处理数据的种类和量级,活动情况和可能面临的风险,以及相对应的整改措施。

客户痛点
缺乏现状分析和合规差距评估

企业在从“信息化”转型到“数据化”过程中,大数据的发展呈几何级数增长,内外部获取和产生的数据爆炸增加。如无合适的数据安全风险评估方法和工具,无法有针对性的摸清所面的风险。从法律法规和监管要求上,也需要企业摸清数据资产现状,明确数据安全现状,落实数据安全风险合规要求,做好数据安全治理的工作。

缺乏有力的抓手

企业安全人员在进行数据安全治理的过程中,最大的问题是知道问题很多,不知道如何下手,无法给领导一个满意的交代,也推动不了其他部门配合自己的工作。而数据安全风险评估,恰恰能够通过技术工具,评估出企业中已经在发生的数据安全风险。有了这部分客观真实的风险情况材料,企业安全人员上可以跟领导汇报,协调到上层领导的支持;下可以拿风险来说事,推动其他部门配合整改。数据安全风险评估,作为抓手是一般企业进行数据安全治理的有效助力。

专业能力不具备

企业信息化过程中,对数据本体这种摸不到、看不着的东西,缺乏有效且合理的评估手段。特别是传统安全防护更多的是采用边界防护的策略,保证数据在不动的情况下的安全。但现实中企业一旦开展业务,必然涉及数据流动,特别是网络环境经营中,所有的重要数据都是通过网络访问的,甚至还有跨境访问的可能性。这些都是传统企业无法解决的新问题,需要有经验有能力的专业团队协助解决。

评估手段支撑不足

数据安全风险评估,传统的管理调研方式采用访谈、问卷、现有业务系统检查等方式,很容易产生遗漏且主观性太强。基于数据便于复制、传输、多形态的特性,更需要有针对性、专业性、客观性的技术评估工具协助来查缺补漏,更好的适配数据安全管理流程的落地。

方案特色
数据安全风险评估
基于对企业对法律法规、行业监管、自身业务运营要求保障等需求,全知科技推出数据安全风险评估的专项服务。通过以下服务,协助企业快速掌握自身的数据安全风险情况。
  • APP隐私合规评估
    针对企业APP中个人隐私合规评估部分的要求,提供:APP权限申请和使用情况、个人信息采集相关风险、与第三方交互情况等数据风险      
  • 数据出境安全风险评估
    针对《数据安全法》、《个人信息保护法》等要求,提供数据出境中涉及的数据类型、数据量级、是否存在向境外提供重要数据等风险的评估   
  • 个人敏感信息风险评估
    针对《个人信息保护法》的要求,通过技术工具,提供企业针对个人敏感信息数据全生命周期中,各个阶段的风险评估需求
  • 运营商数据安全合规评估服务
    针对《工信厅网安函【2020】103号》文件的合规评估服务。      
  • 数据安全风险测评服务
    针对企业开放大量数据至互联网业务,提供API接口数据安全监测能力。为企业提供接口敏感数据暴露面、接口脆弱性、接口开放数据的合规性等风险的评估。
    针对企业数据在内部业务应用中,内部接口敏感数据暴露面、敏感数据的流动风险、内部人员的合规使用数据等风险的评估。
    针对企业数据库数据、访问控制、安全管理、人员访问行为等风险评估。
特点
  • 全面性
    基于《数安法》、《个信法(草案)》等相关法律法规和监管要求,通过技术型工具和专家服务,协助企业在短时间内全面且有针对性的掌握数据安全风险详情。
  • 性价比高
    基于全知科技在数据安全评估领域多年的积累,提供高质量低投入的数据安全风险评估服务,对业务影响度小且实施周期短。
  • 省心省力
    全知科技与多家监管测评机构有合作关系,深度了解监管测评机构对于数据安全风险评估的检查要求,为企业提供贴身服务,协助和指导企业轻松应对相关检查和评估。
方案价值
合法合规

全局掌控数据现状,提前布局规划,保障组织在数据安全领域的合法合规。

管技共建

全面厘清数据风险,补齐短板,促进科学数据安全治理和安全管控体系建设。

持续运营

全力厘清安全需求,协同推进适宜可落地的数据安全技术与运营技术手段。

防御提升

全效保障数据安全,减少来自内外部的对数据的攻击和隐患,提升防御能力。

成功案例
针对某企业对外业务的风险评估项目

某企业开放了对外访客接口,要求访客依据要求填写,访客姓名、手机号、身份证号、联系接口人、接口人工号、部门等信息。在执行风险评估的过程中,通过技术工具可以发现,某企业的访客接口存在以下问题:

  • 该接口存在技术脆弱性问题,能够未鉴权变更记录ID而遍历查询到所有访客的记录信息;
  • 该服务对返回的数据量级未做任何的限制,可一次请求返回大量含有个人敏感信息的访客记录,数据量级至数千条。其中还包含非常敏感的人脸识别信息。
  • 返回的访客信息,未进行脱敏加密处理,可直接获取明文数据。

以上这些问题,都暴露出该企业在数据安全风险评估上未建立有效的安全监测机制,对外提供服务的业务接口中,存在大量暴露企业访客和企业内部员工敏感信息的安全问题,很容易发生数据泄漏事件。

某银行

某银行因为近期法律法规的密集发布,内部还存在一些数据安全管理的问题,期望借助第三方的专业能力,从数据安全风险评估出发,摸底行内数据安全管理的整体情况,包括:合法合规情况、数据安全管理现状、数据安全技术防护现状、业务数据使用场景安全管理现状等。

依据第三方提供的,现状风险调研报告,从管理和技术两方面,规划银行内部后续三年整体的数据安全治理体系建设方案。从合法合规和管理落地的角度,完成整体的银行数据安全治理规划建设。

在线客服