概述
運(yùn)營(yíng)商數(shù)據(jù)安全合規(guī)評(píng)估服務(wù)基于《網(wǎng)絡(luò)安全法》、《電信和互聯(lián)網(wǎng)數(shù)據(jù)安全評(píng)估規(guī)范》以及《2021年省級(jí)基礎(chǔ)電信企業(yè)網(wǎng)絡(luò)與信息安全工作考核要點(diǎn)與評(píng)分標(biāo)準(zhǔn)》的要求���,并結(jié)合安華金和在數(shù)據(jù)安全豐富評(píng)估經(jīng)驗(yàn)和項(xiàng)目沉淀����,從基礎(chǔ)性評(píng)估���、數(shù)據(jù)生命周期評(píng)估和技術(shù)能力評(píng)估三方面出發(fā)�����,提升電信企業(yè)數(shù)據(jù)安全能力水平���。
數(shù)據(jù)安全合規(guī)性評(píng)估服務(wù)
評(píng)估方法
數(shù)據(jù)庫(kù)掃描:對(duì)數(shù)據(jù)庫(kù)用戶權(quán)限���、弱口令、低安全策略��、缺省配置��、高危程序等進(jìn)行掃描�����。
文檔審閱:收集���、審閱有關(guān)數(shù)據(jù)安全管理制度��、數(shù)據(jù)安全技術(shù)規(guī)范��、運(yùn)行和維護(hù)等文檔��。
現(xiàn)場(chǎng)檢查:評(píng)估人員通過實(shí)際操作方式測(cè)試數(shù)據(jù)安全現(xiàn)狀��。
綜合分析:評(píng)估人員分析和整理通過上述評(píng)估過程所收集的各項(xiàng)信息����,并與相關(guān)人員核實(shí)���、確認(rèn)�����。
評(píng)估報(bào)告:根據(jù)分析結(jié)果�����,評(píng)估人員撰寫���、提交評(píng)估報(bào)告,確認(rèn)評(píng)估結(jié)果��。
評(píng)估要點(diǎn)
基礎(chǔ)性評(píng)估要點(diǎn)
選取10個(gè)通用的數(shù)據(jù)安全管理內(nèi)容作為評(píng)估項(xiàng)目:機(jī)構(gòu)人員�、制度保障、分類分級(jí)、權(quán)限管理��、日志留存�����、安全審計(jì)��、應(yīng)急響應(yīng)�、投訴處理、教育培訓(xùn)��、合作方管理����。
數(shù)據(jù)生命周期評(píng)估要點(diǎn)
從數(shù)據(jù)安全屬性及用戶權(quán)益出發(fā),選取數(shù)據(jù)生命周期的六個(gè)過程作為評(píng)估項(xiàng)目:采集�、傳輸、存儲(chǔ)�、使用、共享���、銷毀����。
采集源合規(guī)和個(gè)人信息授權(quán)。傳輸場(chǎng)景數(shù)據(jù)出境業(yè)務(wù)��。數(shù)據(jù)存儲(chǔ)安全要求日志審計(jì)備份規(guī)程����。數(shù)據(jù)使用規(guī)則和個(gè)人信息使用���。對(duì)外共享規(guī)范����、合作方協(xié)議和個(gè)人信息共享�����。
數(shù)據(jù)能力評(píng)估要點(diǎn)
重點(diǎn)圍繞數(shù)據(jù)識(shí)別�����、安全審計(jì)���、防泄露���、接口安全管理、個(gè)人信息保護(hù)等5個(gè)方面開展評(píng)估。
評(píng)估賦值
將評(píng)估要點(diǎn)逐一拆解可得到評(píng)估矩陣細(xì)則:檢查要點(diǎn)����、檢查對(duì)象、檢查方法����、判別條件、評(píng)估方法����。
控制水平賦值:
數(shù)據(jù)安全合規(guī)性評(píng)估-評(píng)估矩陣,包括:分類分級(jí)的檢查項(xiàng)目��、檢查要點(diǎn)�����、檢查方法���、判斷條件����、準(zhǔn)備條件���、評(píng)估方法�、評(píng)估結(jié)果,具體內(nèi)容請(qǐng)咨詢安華金和�。
數(shù)據(jù)安全合規(guī)性評(píng)估-雷達(dá)圖等。
政策參考
《網(wǎng)絡(luò)安全法》
第三十八條 關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對(duì)其網(wǎng)絡(luò)的安全性和可能存在的風(fēng)險(xiǎn)每年至少進(jìn)行一次檢測(cè)評(píng)估�����,并將檢測(cè)評(píng)估情況和改進(jìn)措施報(bào)送相關(guān)負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門�。
《數(shù)據(jù)安全法》
第十六條 國(guó)家促進(jìn)數(shù)據(jù)安全檢測(cè)評(píng)估�、認(rèn)證等服務(wù)的發(fā)展,支持?jǐn)?shù)據(jù)檢測(cè)評(píng)估���、認(rèn)證等專業(yè)機(jī)構(gòu)依法開展服務(wù)活動(dòng)����。
第二十八條 重要數(shù)據(jù)的處理者應(yīng)當(dāng)按照規(guī)定對(duì)其數(shù)據(jù)活動(dòng)定期開展風(fēng)險(xiǎn)評(píng)估,并向有關(guān)主管部門報(bào)送風(fēng)險(xiǎn)評(píng)估報(bào)告���。
風(fēng)險(xiǎn)評(píng)估報(bào)告應(yīng)當(dāng)包括本組織掌握的重要數(shù)據(jù)的種類���、數(shù)量,收集、存儲(chǔ)���、加工���、使用數(shù)據(jù)的情況,面臨的數(shù)據(jù)安全風(fēng)險(xiǎn)及其應(yīng)對(duì)措施等�。
工信廳網(wǎng)安函【2020】103號(hào)
《電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全管理工作的通知》
六大方面����,十四點(diǎn)要求
1、持續(xù)深化行業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全專項(xiàng)治理����。2、全面開展網(wǎng)絡(luò)數(shù)據(jù)安全合規(guī)性評(píng)估���。3��、加強(qiáng)行業(yè)重要數(shù)據(jù)和新領(lǐng)域網(wǎng)絡(luò)數(shù)據(jù)安全管理�����。4�、加快推進(jìn)網(wǎng)絡(luò)數(shù)據(jù)安全制度標(biāo)準(zhǔn)建設(shè)����。5���、大力提升網(wǎng)絡(luò)數(shù)據(jù)安全技術(shù)保障能力。6�����、強(qiáng)化社會(huì)監(jiān)督與宣傳培訓(xùn)�。
總體交付物
數(shù)據(jù)安全合規(guī)性評(píng)估報(bào)告:合規(guī)性基本信息(評(píng)估目標(biāo)、評(píng)估依據(jù)���、評(píng)估方法���、評(píng)估范圍)�、數(shù)據(jù)安全現(xiàn)狀問題分析(數(shù)據(jù)庫(kù)漏洞、配置缺陷����、弱口令、賬號(hào)權(quán)限等分析)���、基礎(chǔ)性安全管理評(píng)估(控制水平指標(biāo)�、差距雷達(dá)圖)��、生命周期安全管理評(píng)估(控制水平指標(biāo)、差距雷達(dá)圖)����、技術(shù)能力評(píng)估(控制水平指標(biāo)、差距雷達(dá)圖)���、數(shù)據(jù)安全整改建議(合規(guī)要求����、管理����、流程、技術(shù)工具防護(hù)建議等)��。
結(jié)語(yǔ)
運(yùn)營(yíng)商數(shù)據(jù)安全合規(guī)性評(píng)估服務(wù)為電信和互聯(lián)網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)安全治理提供落地技術(shù)支撐����,幫助電信企業(yè)推進(jìn)數(shù)據(jù)安全制度標(biāo)準(zhǔn)建設(shè),明確數(shù)據(jù)分類分級(jí)���、風(fēng)險(xiǎn)評(píng)估����、安全認(rèn)證、應(yīng)急響應(yīng)等關(guān)鍵制度規(guī)范要求�,有效避免個(gè)人信息泄露的違法行為。
產(chǎn)品咨詢:4000 258 365 
