數據安全風險評估解決方案
責編:gltian |2021-10-25 10:16:19
1、市場背景
在大數據時代,數據泄漏、數據濫用、數據篡改等各類安全風險的存在,讓企業在建設執行數據安全風險評估方面變得緊迫和必要;同時,在國家監管層面,《數據安全法》對數據安全風險評估也提出了要求:
(第二十一條):應當按照國家有關規定,確定本地區、本部門、本行業重要數據保護目錄,對列入目錄的數據進行重點保護。
(第二十二條):建立集中統一、高效權威的數據安全風險評估、報告、信息共享、監測預警機制。
(第三十條):重要數據的處理者應對數據處理活動定期開展風險評估,并向有關主管部門報送風險評估報告。
數據安全是推進數字化持續發展的根本保障。不論是企業業務數據、用戶個人數據,還是數據跨境流動安全,企業都需要開展數據安全風險評估工作,確保風險可知、可控,進一步提升數據安全保障能力。
2、需求挑戰
在數據安全風險頻繁發生的重負下,企業雖然認識到了數據安全風險評估的重要性,但是數據安全風險評估工作復雜,企業也缺少對數據安全的理解和實踐,無法建立完善的數據安全治理體系,滿足數據安全風險評估合規要求。
當下企業面臨的痛點
?缺乏評估體系
企業從“信息化”轉型到“數據化”過程中,數據量爆炸增加,企業沒有合適的數據安全風險評估方法和體系,無法針對性的摸清所有面臨的安全風險,也無法評估與法律合規要求的差距。
?缺乏有力的抓手
數據安全風險評估是通過技術工具,客觀評估出企業中現存的數據安全風險,企業在建設數據安全治理體系的過程中,正是缺少”數據安全風險評估”工具這一有力抓手的助力。
?專業能力不具備
傳統安全防護采用邊界防護的策略,只是保證靜態數據安全;而現實中企業一旦開展業務,必然涉及數據流動過程中的安全風險評估和監測,這些都需要有經驗的專業安全團隊協助解決。
?評估手段支撐不足
傳統的安全管理調研方式,容易產生風險遺漏且主觀性太強;基于數據便于復制、傳輸、多形態的特性,需要有針對性、專業性、客觀性的技術評估手段協助來查缺補漏。
3、解決方案
以法律合規要求為根本出發點,全知科技“以數據為中心”,推出數據安全風險評估的專項服務,通過以下4方面,協助企業掌握自身數據安全風險情況,建立完善數據安全治理體系。
數據安全風險評估4步走
1、APP隱私合規評估:提供“APP權限申請和使用情況、個人信息采集相關風險、與第三方交互情況”等數據風險的評估。
2、數據出境安全風險評估:對提供數據出境中涉及的數據類型、數據量級、是否存在向境外提供重要數據進行風險評估。
3、個人敏感信息風險評估:通過技術工具,提供企業針對個人敏感信息數據全生命周期中,各個階段的風險評估需求。
4、數據安全風險評測服務:
· API數據安全監測,為企業提供接口敏感數據暴露面、接口脆弱性、接口開放數據合規性等風險的評估。
· 針對企業內部業務應用數據,提供內部接口敏感數據暴露面、敏感數據的流動風險、內部人員的合規使用數據等風險的評估。
· 針對企業數據庫數據、訪問控制、安全管理、人員訪問行為等進行風險評估。
數據安全風險報告作為真實可信的的材料,企業安全人員向上可以有理可依,推動資源支持;向下可以究其風險根源,推動跨部門協作整改;為企業整體數據安全體系建設提供依據。
- 方案特色
?專業全面:基于《數安法》《個信法》等相關法律和監管要求,全知科技通過技術型工具和專家服務,協助企業在短時間內全面且有針對性的掌握數據安全風險詳情。
?性價比高:全知科技在數據安全評估領域有多年積累,能夠提供高質量低投入的數據安全風險評估服務,對業務影響度小且實施周期短。
?省心省力:全知科技與多家監管測評機構有合作關系,深度了解監管測評機構對于數據安全風險評估的檢查要求,能夠協助指導企業輕松應對相關檢查和評估。
5、方案價值
01合法合規:全局掌控數據現狀,提前布局規劃,保障企業在數據安全領域的合法合規。
02管技共建:全面厘清數據風險,補齊短板,促進科學數據安全治理和安全管控體系建設。
03持續運營:全力厘清安全需求,協同推進適宜可落地的數據安全技術與運營技術手段。
04防御提升:全效保障數據安全,減少來自內外部的對數據的攻擊和隱患,提升防御能力。
- 成功案例
某企業對外業務的風險評估:某企業開放了一個對外訪客的接口,訪客需要依據要求填寫:訪客姓名、手機號、身份證號、聯系接口人、接口人工號、部門等信息。全知科技在執行風險評估過程中,通過技術工具發現該企業的訪客接口存在以下問題:
? 接口技術脆弱性問題,能夠未鑒權變更記錄ID遍歷查詢所有訪客的記錄信息;
??對返回的數據量級未做任何限制,可一次請求返回大量含有個人敏感信息的訪客記錄,數據量級至數千條,其中包含非常敏感的人臉識別信息。
? 返回的訪客信息,未進行脫敏加密處理,可直接獲取明文數據。
以上問題,都暴露出該企業在數據安全風險評估上未建立有效的安全監測機制。對外提供服務的業務接口,存在大量暴露企業訪客和企業內部員工敏感信息的安全問題,極易發生數據泄漏事件。
某銀行數據現狀的風險評估:某銀行內部,存在一些數據安全管理的問題,期望借助第三方的專業能力,從數據安全風險評估出發,摸底銀行內數據安全管理的整體情況。
全知科技從管理和技術兩方面入手,梳理了數據安全管理現狀、數據安全技術防護現狀、業務數據使用場景安全管理現狀等;并依據現狀風險調研報告,從合法合規和管理落地的角度,幫助銀行規劃了內部后續三年整體的數據安全治理體系建設方案。