随着数字化时代的到来,各行各业逐渐从“信息化”转型到“数字化”“智慧化”当中,数据已经成为推进各行各业转型的关键要素。与此同时,数据安全问题也给个人隐私、社会稳定、国家安全带来了巨大的挑战,各行各业急需做一次数据安全“体检”,精准识别基于数据自身的风险,为数据安全治理提供最佳的“药方”。回想一下,你的数据多久没有“体检”了?
在谈数据安全风险评估之前,我们不得不提起“传统信息安全风险评估”这位“老大哥”。“传统信息安全风险评估”服务是以网络边界、系统为中心,仅关注静态数据安全,难以准确且有效地分析数据安全风险,但是在实际业务中,往往会涉及数据流转过程中的安全风险评估和监测。
数据安全风险评估核心是平衡企业数据价值和数据风险之间跷跷板,主要是以分类分级为基础,通过对数据全生命周期进行风险识别、分析与评估,发现数据存在的安全风险,并结合现有的安全管理措施、制度进行综合分析,最后,对发现的数据安全风险给出风险处置计划。
那为什么要进行数据安全风险评估呢?
一方面是根据《数据安全法》《个人信息保护法》以及各行业相关标准要求,数据安全风险评估是开展数据安全治理工作的基础,是各行业机构必要的数据安全保护义务。
另一方面,在大数据时代,数据泄漏、数据贩卖、数据滥用、数据篡改等各类安全风险的存在,对业务连续性提出了挑战,使企业在建设执行数据安全风险评估方面变得紧迫和必要。
如何做好数据安全风险评估这件事?摆在我们面前的难题又有哪些?
● 根据IDC测算,预计到2025年,中国产生的数据总量将达48.6ZB,伴随而来的是数据应用边界的不断扩大和延伸,出现数据访问账号和用户权限管理不清晰、数据在使用过程中审批流程不明确、数据共享交换时的控制措施不可靠等一系列数据安全问题;
● 数据资产梳理、重要数据识别、数据分类分级是数据安全评估的基础性工作,同时也是评估工作的难点和重点;与此同时,在梳理清楚数据资产的基础之上,如何根据法律法规及行业监管要求制定内部重要数据识别方法和规则,准确识别重要数据生成重要数据目录清单,又是一个难题;
● 数据一旦生产出来后就会进入传输、存储、处理、分析、共享、交换等各环节且循环往复,重要数据在流动过程中,会产生大量的接触和交互。如内部的研发和运维,服务器、云平台、大数据处理与分析系统中的流动,众多伙伴、客户之间进行互动和推送等,涉及面异常广泛。
关于如何做好数据安全风险评估工作,昂楷科技将为您提供一套可落地、可指导实践的数据安全风险评估方案。
评估准备是整个数据安全风险评估过程有效性的保证。主要包括:评估对象、评估范围、评估边界、评估团队组建、评估依据、评估准则、制定评估方案并获得管理层支持。
评估实施阶段的主要内容包括对数据进行分类分级,对数据处理活动进行识别,同时对数据面临的安全威胁、存在的脆弱性进行识别,对现有的数据安全防护措施进行确认。
通过采取适当的方法与工具,围绕数据处理活动,对已识别的数据安全威胁、脆弱性、安全措施,综合运用数据安全风险分析与评价模型给出定性与定量相结合的风险分析与评价结果,并与客户确认风险接受程度。
风险处置的基本原则是根据客户实际需要,对不可接受的风险进行分析处置,给出风险控制建议,最终达到可接受或消除的目的。
昂楷科技深耕数据安全领域14年,在政府、金融、医疗、能源、企业等行业的数据安全风险研究和评估方面积累了丰富的实战经验,始终以满足客户需求为唯一导向,为客户创造价值为最高原则,昂楷数据安全风险评估服务能够实现以下目标。
辅助企业构建统一、联动联防合成作战的数据安全防护控制体系,可应对更加复杂的数据安全威胁及问题,提升数据安全防控能力。
及时发现数据库的恶意破坏、误操作等。协助企业在第一时间发现可疑行为,及时整改,有效保护数据库的安全性和可用性。
全方位的可视化数据安全态势感知能力,实现风险行为的快速识别与定位,持续连接并丰富各种安全能力单元,最大程度发挥数据安全能力单元的安全价值。
按照国家标准和行业规范,帮助企业梳理当前数据安全现状,摸清组织安全现状,快速发现安全短板,对症下药,提高企业单位整体数据安全建设水平,满足上级主管部门检查。