概述
運營商數(shù)據(jù)安全合規(guī)評估服務基于《網(wǎng)絡安全法》、《電信和互聯(lián)網(wǎng)數(shù)據(jù)安全評估規(guī)范》以及《2021年省級基礎(chǔ)電信企業(yè)網(wǎng)絡與信息安全工作考核要點與評分標準》的要求�,并結(jié)合安華金和在數(shù)據(jù)安全豐富評估經(jīng)驗和項目沉淀,從基礎(chǔ)性評估��、數(shù)據(jù)生命周期評估和技術(shù)能力評估三方面出發(fā)�����,提升電信企業(yè)數(shù)據(jù)安全能力水平�。
數(shù)據(jù)安全合規(guī)性評估服務
評估方法
數(shù)據(jù)庫掃描:對數(shù)據(jù)庫用戶權(quán)限、弱口令��、低安全策略�、缺省配置、高危程序等進行掃描�����。
文檔審閱:收集���、審閱有關(guān)數(shù)據(jù)安全管理制度�、數(shù)據(jù)安全技術(shù)規(guī)范��、運行和維護等文檔����。
現(xiàn)場檢查:評估人員通過實際操作方式測試數(shù)據(jù)安全現(xiàn)狀。
綜合分析:評估人員分析和整理通過上述評估過程所收集的各項信息�,并與相關(guān)人員核實、確認����。
評估報告:根據(jù)分析結(jié)果,評估人員撰寫��、提交評估報告�����,確認評估結(jié)果��。
評估要點
基礎(chǔ)性評估要點
選取10個通用的數(shù)據(jù)安全管理內(nèi)容作為評估項目:機構(gòu)人員��、制度保障�、分類分級、權(quán)限管理、日志留存��、安全審計�、應急響應、投訴處理�����、教育培訓����、合作方管理。
數(shù)據(jù)生命周期評估要點
從數(shù)據(jù)安全屬性及用戶權(quán)益出發(fā)�����,選取數(shù)據(jù)生命周期的六個過程作為評估項目:采集���、傳輸�、存儲����、使用、共享�����、銷毀。
采集源合規(guī)和個人信息授權(quán)�。傳輸場景數(shù)據(jù)出境業(yè)務。數(shù)據(jù)存儲安全要求日志審計備份規(guī)程�����。數(shù)據(jù)使用規(guī)則和個人信息使用����。對外共享規(guī)范���、合作方協(xié)議和個人信息共享����。
數(shù)據(jù)能力評估要點
重點圍繞數(shù)據(jù)識別�、安全審計、防泄露�、接口安全管理、個人信息保護等5個方面開展評估����。
評估賦值
將評估要點逐一拆解可得到評估矩陣細則:檢查要點�、檢查對象�、檢查方法、判別條件���、評估方法�����。
控制水平賦值:
數(shù)據(jù)安全合規(guī)性評估-評估矩陣���,包括:分類分級的檢查項目、檢查要點��、檢查方法����、判斷條件、準備條件�、評估方法、評估結(jié)果����,具體內(nèi)容請咨詢安華金和。
數(shù)據(jù)安全合規(guī)性評估-雷達圖等�����。
政策參考
《網(wǎng)絡安全法》
第三十八條 關(guān)鍵信息基礎(chǔ)設施的運營者應當自行或者委托網(wǎng)絡安全服務機構(gòu)對其網(wǎng)絡的安全性和可能存在的風險每年至少進行一次檢測評估,并將檢測評估情況和改進措施報送相關(guān)負責關(guān)鍵信息基礎(chǔ)設施安全保護工作的部門��。
《數(shù)據(jù)安全法》
第十六條 國家促進數(shù)據(jù)安全檢測評估���、認證等服務的發(fā)展����,支持數(shù)據(jù)檢測評估����、認證等專業(yè)機構(gòu)依法開展服務活動�����。
第二十八條 重要數(shù)據(jù)的處理者應當按照規(guī)定對其數(shù)據(jù)活動定期開展風險評估,并向有關(guān)主管部門報送風險評估報告���。
風險評估報告應當包括本組織掌握的重要數(shù)據(jù)的種類��、數(shù)量,收集�����、存儲�、加工、使用數(shù)據(jù)的情況,面臨的數(shù)據(jù)安全風險及其應對措施等��。
工信廳網(wǎng)安函【2020】103號
《電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡數(shù)據(jù)安全管理工作的通知》
六大方面�����,十四點要求
1�����、持續(xù)深化行業(yè)網(wǎng)絡數(shù)據(jù)安全專項治理��。2�、全面開展網(wǎng)絡數(shù)據(jù)安全合規(guī)性評估。3�����、加強行業(yè)重要數(shù)據(jù)和新領(lǐng)域網(wǎng)絡數(shù)據(jù)安全管理�。4、加快推進網(wǎng)絡數(shù)據(jù)安全制度標準建設��。5��、大力提升網(wǎng)絡數(shù)據(jù)安全技術(shù)保障能力。6�����、強化社會監(jiān)督與宣傳培訓�����。
總體交付物
數(shù)據(jù)安全合規(guī)性評估報告:合規(guī)性基本信息(評估目標�、評估依據(jù)、評估方法����、評估范圍)�����、數(shù)據(jù)安全現(xiàn)狀問題分析(數(shù)據(jù)庫漏洞����、配置缺陷、弱口令���、賬號權(quán)限等分析)����、基礎(chǔ)性安全管理評估(控制水平指標、差距雷達圖)���、生命周期安全管理評估(控制水平指標��、差距雷達圖)���、技術(shù)能力評估(控制水平指標、差距雷達圖)�、數(shù)據(jù)安全整改建議(合規(guī)要求、管理���、流程�����、技術(shù)工具防護建議等)����。
結(jié)語
運營商數(shù)據(jù)安全合規(guī)性評估服務為電信和互聯(lián)網(wǎng)網(wǎng)絡數(shù)據(jù)安全治理提供落地技術(shù)支撐�,幫助電信企業(yè)推進數(shù)據(jù)安全制度標準建設,明確數(shù)據(jù)分類分級、風險評估���、安全認證���、應急響應等關(guān)鍵制度規(guī)范要求,有效避免個人信息泄露的違法行為����。
產(chǎn)品咨詢:4000 258 365 
