炼石参编《数据安全风险评估实务:问题剖析与解决思路》发布
近日,数据资产管理大会数据安全论坛在北京金隅喜来登酒店成功召开。本次大会由中国信通院、中国通信标准化协会主办,中国通信标准化协会大数据技术标准推进委员会承办,邀请来自金融、运营商、互联网、物流等行业的企业专家进行分享。大会发布并解读了《数据安全风险评估实务:问题剖析与解决思路》报告,炼石作为数据安全产品厂商,参与了该报告的编撰,为数据安全建设贡献自身力量。
该报告由数据安全推进计划(DSI)联合中国通信标准化协会大数据技术标准推进委员会(CCSA
TC601),携手业内四十家企业、百余名专家撰写,旨在解决数据安全风险评估实务中问题,介绍了当前我国数据安全风险评估的监管要求、标准编制现状以及评估实施方法,提炼了数据安全风险评估工作的具体实施流程,并以评估实施流程为主线,系统性梳理了组织在评估准备、评估实施、评估总结三大阶段面临的七大实务问题,并提出问题解决思路,为数据处理者、评估机构的数据安全风险评估实务提供参考以及三项建议。
报告指出,数据安全风险评估在国家建立健全数据安全治理体系中起到了关键作用:数据安全风险评估推动了各行业、领域的广大数据处理者合法、正当地开展数据处理活动,在提高数据处理者的数据安全保障能力,防范重大数据安全风险等方面具有重要的意义。
近年来,炼石围绕数据安全建设工作,原创自研和持续升级“数据安全主平台”,并覆盖数据在不同处理环节的免改造控制面,叠加多阶安全能力模块,包含识别、防护、检测/响应、恢复、审计/追溯等,形成“一平台、多模块”数据安全产品矩阵,并进一步强化配套专项服务,包括分类分级服务、合规检查服务、风险监测服务、安全审计服务、个人信息安全影响评估服务和商用密码应用咨询服务,致力于满足企业发展战略、合规要求和风险治理等诉求,全面保障用户数据安全。
分类分级服务:通过调研和梳理业务系统主要数据流转和核心业务应用功能,逐步建立数据流向清单和数据应用清单,配合炼石自研数据资产扫描工具,为政企客户数据资产管理提供全景化、动态化数据分类分级服务。
合规检查服务:围绕数据全生命周期管理,根据业务系统数据资产重要程度及安全需求,对数据安全管理现状、技术管控能力进行评估。评估内容包括机构人员建设情况、基本制度完善情况、技术能力保障情况、数据全生命周期管控情况四个方面。
风险监测服务:根据敏感数据识别台账,结合各业务系统影响数据安全的威胁、漏洞变化趋势,并参照信息安全风险评估模型,从数据的重要性、脆弱性和威胁性三要素计算敏感数据、业务系统的风险值。
安全审计服务:针对敏感数据安全,建立审计实施体系,完善审计流程,开展定期审计工作。针对操作审计,通过对关键数据操作审计,重点检查数据操作过程的合规情况,并借助分级审计机制提高审计效率;针对合规审计,由专业审计团队执行,重点检查数据安全流程和工作的执行情况。
个人信息安全影响评估服务:主要参考国家标准《信息安全技术 个人信息安全规范》中的相关要求,建立适当的数据安全能力,落实必要的管理和技术措施,防止个人信息的泄漏、损毁和丢失。
商用密码应用咨询服务:包含密码技术咨询、密码合规整改和密码测评协同等服务,适用于政府、金融、运营商、交通、教医旅、工业等多行业客户开展商用密码合规性评估工作,支持企事业单位信息系统“三同步”管理。
一直以来,炼石高度重视数据安全风险评估工作,发布了《100页幻灯片图解工信数据安全风险评估与处罚》、《300页幻灯片图解数据安全风险评估》等文章,深入学习和解读了《工业和信息化领域数据安全管理办法(试行)》《工业和信息化领域数据安全风险评估实施细则(试行)(征求意见稿)》《网络数据安全风险评估实施指引》《工业和信息化领域数据安全风险信息报送与共享工作指引(试行)》《工业和信息化领域数据安全行政处罚裁量指引(试行)(征求意见稿)》《网络安全标准实践指南——网络数据安全风险评估实施指引》等多项数据安全风险评估相关标准要求,为数据处理者、第三方机构数据安全评估实操落地,有关主管监管部门组织开展检查评估提供参考。
注:全部内容请进入“公众号:炼石网络CipherGateway”查看