2016年11月,《中华人民共和国网络安全法》正式发布,国家从法律层面上,对网络运营者提出了要求,其中第二十一条的内容对网络数据的保护提出了要求;2019年5月,《数据安全管理办法(征求意见稿)》中,第四条、第三十五条,对数据安全出境的风险和针对个人信息的数据安全事件提出了保护要求;2021年6月,《中华人民共和国数据安全法》正式发布,其中对国家和重要数据的处理者,都提出了针对数据安全风险评估的需求。
从以上这些法律法规要求来看,企业网络数据保护、出境数据安全、个人敏感信息数据安全都需要定期开展风险评估工作,并在风险评估报告中明确企业处理数据的种类和量级,活动情况和可能面临的风险,以及相对应的整改措施。
企业在从“信息化”转型到“数据化”过程中,大数据的发展呈几何级数增长,内外部获取和产生的数据爆炸增加。如无合适的数据安全风险评估方法和工具,无法有针对性的摸清所面的风险。从法律法规和监管要求上,也需要企业摸清数据资产现状,明确数据安全现状,落实数据安全风险合规要求,做好数据安全治理的工作。
企业安全人员在进行数据安全治理的过程中,最大的问题是知道问题很多,不知道如何下手,无法给领导一个满意的交代,也推动不了其他部门配合自己的工作。而数据安全风险评估,恰恰能够通过技术工具,评估出企业中已经在发生的数据安全风险。有了这部分客观真实的风险情况材料,企业安全人员上可以跟领导汇报,协调到上层领导的支持;下可以拿风险来说事,推动其他部门配合整改。数据安全风险评估,作为抓手是一般企业进行数据安全治理的有效助力。
全局掌控数据现状,提前布局规划,保障组织在数据安全领域的合法合规。
全面厘清数据风险,补齐短板,促进科学数据安全治理和安全管控体系建设。
全力厘清安全需求,协同推进适宜可落地的数据安全技术与运营技术手段。
全效保障数据安全,减少来自内外部的对数据的攻击和隐患,提升防御能力。
某企业开放了对外访客接口,要求访客依据要求填写,访客姓名、手机号、身份证号、联系接口人、接口人工号、部门等信息。在执行风险评估的过程中,通过技术工具可以发现,某企业的访客接口存在以下问题:
以上这些问题,都暴露出该企业在数据安全风险评估上未建立有效的安全监测机制,对外提供服务的业务接口中,存在大量暴露企业访客和企业内部员工敏感信息的安全问题,很容易发生数据泄漏事件。
某银行因为近期法律法规的密集发布,内部还存在一些数据安全管理的问题,期望借助第三方的专业能力,从数据安全风险评估出发,摸底行内数据安全管理的整体情况,包括:合法合规情况、数据安全管理现状、数据安全技术防护现状、业务数据使用场景安全管理现状等。
依据第三方提供的,现状风险调研报告,从管理和技术两方面,规划银行内部后续三年整体的数据安全治理体系建设方案。从合法合规和管理落地的角度,完成整体的银行数据安全治理规划建设。