当今世界,信息化带来巨大发展机遇的同时也带来新的安全风险和挑战,为实现数据价值释放,推动数字经济快速发展,开展数据安全治理已成为各界共识。《网络安全法》《数据安全法》《个人信息保护法》这“三驾马车”构成了我国数据安全领域完整的基础性法律体系,为国家、地方、行业、个人的数据安全保护提供了最重要的法律参考依据,为我国建立健全数据安全治理体系指明了发展方向。
随着技术的进步和业务模式的发展,安全和业务的界限日益模糊,组织的数据安全体系建设也逐步从为了满足监管合规需求才进行的“被动防护”转向将数据安全和业务发展有机结合的“主动安全”。未来的数据安全建设趋势是将数据安全技术融合到业务实践中,实现数据安全管控和业务流程的有机结合,在尽量不影响业务流程的同时实现数据安全管控,达到“数据使用更安全”的目的。同时,通过将数据分类分级、智能扫描等安全技术融入到业务工作中,不但能够实现数据安全“按需管控”,更能够进一步促进业务的发展。
全球化发展大势下,中国的数据出境也呈现常态化趋势,数据出境政策频出。其中,《个人信息保护法》代表着数据出境安全的评估制度正式落地;《数据出境安全评估办法》则是系统对我国数据出境“安检”提出具体要求,配套编制的《数据出境安全评估申报指南(第一版)》更好的指导组织落实数据出境评估具体要求,满足数据出境合规要求。在政策压力下,相关组织最终要通过数据出境风险自评估,梳理自身存在的安全风险。
当企业在如此背景下开展数据安全建设工作时,会遇到以下三个“实际问题”:
第一,数据安全建设具体要做什么?
第二,数据安全建设具体从哪开始?
第三,数据安全建设具体该怎么做?
为了回答以上三个实际问题,就需要一套完整、体系化的数据安全治理解决方案,而其中关键的一环,即数据安全服务。
数据安全体系建设的关键一环,是数据安全建设中一种灵活的解决方式——企业可基于安全咨询专家对自身所属行业的数据安全治理实践经验与相关法律标准的深入解析与建议,选择具有针对性的数据安全产品,构建更加适合的组织、制度,并通过符合相关法律标准的流程体系,持续完善企业的数据安全防护与建设工作。换言之,数据安全服务能为企业在数据安全建设的各个环节提供帮助,比如帮助企业理清资产、明确风险、搭建数据安全治理体系、提升数据安全保障能力等。
不久前,《工业和信息化部等十六部门关于促进数据安全产业发展的指导意见》发布,明确“壮大数据安全服务”,推进规划咨询与建设运维服务,积极发展数据检测、评估、认证服务。数据安全服务市场正在步入快速发展的黄金期,同时,数据安全服务品类也呈现出多样化趋势,包括:数据安全合规评估、数据安全规划咨询、数据分类分级、数据安全运维、人员培训与教育、数据安全应急响应与演练、数据安全防护能力评估等。本文将详细介绍数据安全建设中常见的数据安全服务类型以及相关服务内容、流程,以供参考。
适用于对自身数据安全状况不了解,期望通过评估查找不足的企业;或希望通过数据安全评估推动自身数据安全工作持续完善、改进的企业。基于DSMM、DSG等国家、行业以及社会认可的普遍能力目标要求,综合评估组织的数据安全能力,明晰组织数据安全能力差距。
评估内容:从组织建设、制度流程、技术工具及人员能力四个能力维度,对应用系统数据安全现状进行安全评估,识别应用系统或业务条线的数据安全保护能力是否达到相应能力等级及发现数据安全风险,并输出差距评估相关报告材料。
参考依据:《信息安全技术 数据安全能力成熟度模型》、《数据安全治理能力评估方法》、《网络数据安全处理要求》等。
适用于对自身数据资产底账状况不了解,资产管理责任不清晰,尚未划分数据类别和级别,也不知道该如何进行数据分类分级,以及如何保障重要数据安全的企业。依据国家及行业数据安全分类分级相关标准要求,协助组织对数据资产进行识别、梳理、分类及分级,最终输出分类分级清单及管理规范要求。
成果交付物:在数据分类分级执行过程中,从项目启动到结束,除了前期调研、需求分析等基础软件建设步骤,咨询团队会对应提供:《需求调研表》、《调研记录文档》、《资产扫描报告》、《调研结果报告》、《需求分析报告》外,还包括《数据资产清单》、《数据分类分级指南/规范》、《数据分类分级报告》。
参考依据:《信息安全技术 个人信息安全规范(GB/T35273-2020)、《信息安全技术 网络数据分类分级要求》(征求意见稿)、《信息安全技术 重要数据识别指南》(征求意见稿)以及行业、地方数据分类分级标准等。
从数据资产梳理、安全现状调研、从合规性和数据全生命周期等视角,识别数据安全能力差距和安全风险,给予相关处置建议,并从管理、技术等多维度对客户业务的数据安全开展体系化规划设计,以应对业务数据安全建设和管理中的问题。
-
《数据清单》
-
《数据权限现状清单》
-
《数据流向图》
-
《安全现状清单》
-
《安全扫描结果》
-
《DSMM安全评估结果》
-
《合规对标结果》
-
《数据安全管理制度》
-
《数据安全建设规划设计方案》
······
深度解读法律法规、监管办法等,协助组织充分了解合规义务、安全现状、合规风险及处置规划,旨在及早规避和关注可能存在的风险,包括综合合规评估、个人信息安全合规、数据跨境合规评估等。
成果交付物:汇编输出《数据安全合规评估报告书》,另附参考指南/标准清单&附件。具体报告内容包括不限于如下:
-
数据安全合规义务
-
信息采集内容
-
数据安全现状梳理
-
主要法律法规解读
-
数据安全合规差距分析
-
安全关注&风险分析
-
条文符合性评估结果
-
综合合规评估结果
-
合规加固建议
······
参考标准:基于《数据安全法》、《个人信息保护法》,联合其他数据安全相关办法规定、行业监管等文件,参考ISO37301:2021标准、Gartner DSG架构、PDCA方法等。
协助组织充分了解数据资产在各项数据处理活动中可能存在的各项风险情况,给予相关的风险处置措施。
成果交付物:《数据安全风险评估报告》作为最终的交付物,报告主要内容包括:
-
评估工具和方法
-
评估参考依据
-
被评估数据资产清单
-
被评估对象的数据威胁
-
被评估对象的数据脆弱性
-
评估情况记录
-
数据安全风险清单
-
数据安全风险分析过程
-
数据安全风险评估结果
-
风险处置措施
参考依据:《数据安全法》、《信息安全技术 数据安全能力成熟度模型》、《信息安全技术 数据安全风险评估方法》等国家标准、行业标准、地方标准对评估指标进行定制。
评估收益:全面识别组织数据面临的各种风险,并据此采用适当安全处置措施。数据安全风险评估及其形成的记录文档,可用于证明组织已经主动评估风险并采取一定的安全保护措施,有助于减轻、甚至免除组织的相关责任和名誉损失。
旨在帮助组织有效分析在各项数据处理活动中的所存在个人信息、特别是个人敏感信息所可能存在的各项风险情况,同时结合对出现个人信息相关安全事件时所造成的影响进行分析的结果,给予相关的处置措施建议。
成果交付物:最终输出《个人信息安全风险评估报告书》,包括不限于:
-
个人信息保护专员的审批页面
-
评估报告适用范围
-
实施评估及撰写报告的人员信息
-
参考的法律、法规和标准
-
个人信息影响评估对象
-
评估内容及所涉及的相关方
-
个人权益影响分析结果
参考依据:《个人信息保护法》、《信息安全技术 个人信息安全规范》、《信息安全技术 个人信息安全影响评估指南》,结合组织所在行业的相关规定,如:医疗卫生行业《GB/T 39725-2020 信息安全技术 健康医疗数据安全指南》等。
依据《数据出境安全评估办法》、《数据出境安全评估申报指南》等,帮助组织深入理解和研究数据出境活动的限制和要求,厘清数据出境场景、出境数据范围、限制要求以及缓解措施,完成数据出境风险自评估,辅导客户申报数据出境安全评估。
-
《数据出境调研结果清单》
-
《数据出境活动清单》
-
《数据出境流向图》
-
《数据安全风险评估报告》
-
《个人信息保护影响评估报告》
-
《数据出境安全应急管理制度》
-
《数据出境安全应急演练方案》
-
《数据出境安全整改方案》
-
《数据出境安全建设指引》
-
《数据出境安全建设加固》
-
《数据出境风险自评估报告》
-
《数据出境安全评估申报书》
·····
参考依据:《数据安全法》、《个人信息保护法》、《关键信息基础设施安全保护条例》、《网络安全审查办法》、《数据出境安全评估办法》、《数据出境安全评估申报指南(第一版)》、《信息安全技术 个人信息安全影响评估指南》、《信息安全技术 个人信息安全规范》、《信息安全技术 数据出境安全评估指南(征求意见稿)》、《信息安全技术 重要数据识别规则(征求意见稿)》、《个人信息出境标准合同办法》等。
通过深度解读和分析法律法规、监管办法等,提供数据安全检查内容、通过模板、工具等方式进行快速评估,作为开展符合性判定的参考意见。数据安全检查方式主要包括监管检查、企业自查。
-
漏洞扫描设备:漏洞扫描器
-
基线配置核查工具:基线配置核查系统
-
数据库权限核查工具
-
敏感数据扫描工具
-
DLP扫描工具
……
参考依据:《信息安全技术 网络安全等级保护基本要求》、《信息安全技术 数据安全能力成熟度模型》、《信息安全技术 信息安全风险评估规范》、《信息安全技术 个人信息安全规范》、《信息安全技术 个人信息安全影响评估指南》
成果交付物:在制定检查内容时,提供数据安全检查清单,包括检查类别、检查项目、检查内容、检查方式及检查要点,根据要点判定出检查结果,最终形成《数据安全检查结果报告》等。
根据组织实际管理要求,定制化输出数据安全相关制度、流程和规范文件,以满足客户安全管理要求及实质合规要求。
成果交付物:包括管理制度、技术制度、检查制度等,如《数据安全管理制度》、《数据采集与传输规范制度》、《数据安全人员管理制度》、《数据安全应急响应管理制度》、《数据安全检查制度》等。
数据安全培训服务主要面向希望提高内部人员数据安全意识及数据安全相关技能的企业。员工由于缺少足够的数据安全防范意识,往往因贪图便利或误操作而违反企业推行的数据安全规章制度,甚至被黑客等不法分子所利用。
为此,数据安全培训服务专门设计了数据安全法律法规标准解读培训和数据安全意识培训等内容,旨在通过线上/线下课程讲解代表性案例与数据安全知识,分享在日常数据安全工作中的经验和技巧,以增加员工对相关政策法规的理解,清楚相应的数据安全责任义务,从而提高数据安全意识、减少日常工作失误等。
随着我国社会数字化转型步伐加速,数据规模持续扩大,金融、医疗、交通等重要市场以及智能汽车、智能家居等新兴领域数据安全投入持续增加,稳定增长的市场需求将吸引越来越多的传统安全企业以及新兴安全企业推出数据安全相关产品和服务,抢占市场份额,引领行业发展。目前,提供数据安全服务的供应商百舸争流,即包括律师事务所、数据安全公司、也有网络安全公司及测评认证机构等,各有所长,如何选择数据安全服务提供商,用户需从数据安全服务经验、对行业业务场景的认知、安全服务团队构成、相关服务资质、自研产品工具支撑、量化的保障措施等进行综合考量。