当前,数据已成为新的生产要素推动着整个社会的进步,随着数字政府建设的持续推进,大量政务数据汇集、流通、发挥价值的同时也潜藏着安全风险,如何精准识别基于数据自身的风险,确保数据安全高效流动,成为了数字政府数据安全治理与防护的前提条件。
国家互联网信息办公室发布的《数字中国发展报告(2022年)》中指出,2023年需要继续夯实数字中国建设基础,畅通数据资源大循环,健全国家数据管理体制机制,加快构建数据基础制度体系,推动公共数据汇聚利用,释放商业数据价值潜能。福建某厅级单位认真落实网信办对于2023年数字中国建设的要求,积极主动开展数据安全风险评估工作,及时发现本单位数据安全隐患,防范数据安全风险。
昂楷科技收到该厅级单位数据安全风险自查的需求,设定数据安全管理、数据处理活动、数据安全技术、个人信息保护等若干关键指标,为该厅级单位进行为期10天的“号脉诊断”,并根据自查结果提交数据安全风险自查报告。
此次数据安全“体检”行动主要通过现场访谈、问卷调查、数据安全检查工具箱扫描等方式,从组织建设、人员能力、制度流程、工具技术四个维度进行检查,完成数据安全“体检”共计221项内容。
准备阶段:确认评估对象、整理调研所需文档材料,成立数据安全风险自查评估小组; 实施阶段:依据《评估指引》从组织、制度、技术等方面进行访谈、调研,利用数据安全检查工具箱对核心业务系统开展资产梳理、分类分级梳理和漏洞扫描,助力该单位建立数据资产台账、分类分级台账,及时对漏洞进行发现和整改; 确认阶段:与风险自查评估小组确认评估项评估情况; 报告阶段:结合评估情况依据风险评估自查要求形成“体检”报告,并进行多轮内部评审; 汇报阶段:根据数据安全“体检”报告与风险自查评估小组进行汇报。
根据检查,我们发现该单位存在以下安全风险问题:
1、制度缺失:通过对数据安全制度进行核对,发现该单位在数据安全管理规范、数据安全风险评估办法、数据安全总体管理方针与策略等制度流程上存在缺失,没有一套完善的数据安全制度流程用以指导数据全生命周期的重点防护工作;
3、权限管理强度不够:未加强数据访问权限管理;未建立合理的账号操作审批及操作流程,规范重大数据操作行为;也没有通过技术手段对未经允许的操作行为进行审计及阻断;
根据以上问题,昂楷提出了以下建议:
1、建议结合该单位自身使用场景,健全数据安全管理制度体系,包括但不限于数据分类分级、数据访问权限管理、数据安全人员管理、数据合作方管理、数据安全应急响应、数据安全风险评估、数据安全教育培训等,涵盖数据生命周期安全管理; 3、加强数据访问权限管理,建立合理的账号操作审批及操作流程,规范重大数据操作行为,明确审批授权和操作监督机制,通过制度加技术手段对未经允许的操作行为进行审计及阻断; 4、部署相对应的数据安全产品,加强数据安全技术人才的培养和技术能力的提升培训,确保全数据形态、全生命周期、全流通环节的数据安全;
数据安全风险评估服务,是结合《评估指引》和法律法规要求开展的数据安全摸底服务,针对该单位的特性、需求及安全现状进行检查,从数据安全组织架构、管理制度、技术工具及安全风险等方面着手,全面剖析该厅级单位的安全现状,结合“症状”,提出针对性的建议,对客户的数据安全防护而言有着极高的价值。
全面性:从组织架构、管理制度、技术工具、管理以及数据安全风险等维度全面梳理该厅级单位的数据安全现状,及时发现存在的不足;
合规性:对数据安全风险自查开展评估,掌握单位自身数据安全目前存在的风险并及时整改,既是为提升数据安全风险防范做准备,也是满足上级监管部门及《数据安全法》等法律的合规要求。
及时性:主动发现单位自身的安全风险,变被动安全为主动安全,有效发现系统数据库新的安全漏洞、配置隐患、分析当前阶段存在的安全风险,方便及时预警做出改进动作;
稳定性:数据是流动的,数据安全也是动态的,需要周期性检查,确保系统的安全、持续、稳定运行。
昂楷科技秉承“让人们放心享受大数据”的使命,凭借过硬的专业实力,通过数据安全风险自查评估,发现数据资产存在的安全隐患,并提出“治疗”方案,为下一步开展数据安全体系建设提供依据,为确立数据安全策略和制定数据安全规划提供决策建议,为筑牢该单位数据安全屏障提供有力保障。