《数据安全法》提出:“重要数据处理者应对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。
随着一系列数据安全相关法规的陆续出台,国家对于数据安全的合规监管日渐趋严,重要数据泄露,个人信息收集、处理不当等事件一旦发生,组织将面临监管重罚,因此开展数据安全检查评估工作势在必行。
目前数据安全检查评估可以分为“合规评估”和“风险评估”两大类。
● “风险评估”以主动发现潜在的安全风险为目标,对组织的数据安全风险进行评估,识别可能存在的安全隐患和漏洞,并根据风险程度制定相应的风险控制策略。
在开展评估工作的过程中,评估数据安全能力的成本取决于多种因素,包括评估范围、复杂度、所需资源和技术等。为了降低评估成本,通常需要先制定合理的评估计划和范围、再利用专业化的检查评估工具等措施,定期进行数据安全能力评估,并采取相应的维护措施,确保数据安全能力的持续提高。
当前数据安全产品工具种类多样,主要分为扫描类、流量分析类、自动化评估类三种,如何选取合适的评估检测工具同样是组织实施数据安全风险评估面临的重要问题。
主要负责提供针对数据、风险源等风险要素的扫描服务,为数据安全风险评估提供要素识别的功能,具体包括资产扫描类、数据识别类、漏洞检测类工具等。
主要负责提供对数据处理活动的识别与监测能力,用于关联应用、数据库、人员的敏感数据操作,分析潜在的风险行为,具体包括应用层流量分析、全流量分析等数据风险监测类工具。
主要负责自动化评估流程管理、评估对象的信息填报、证明文件的上传和查阅、评估结果的生成及报告的输出等,具体包括合规检测工具、在线评估系统等。
在数据安全检查评估的实践中,由于检查的项目过多,需要通过多种设备来完成全部检查,操作繁琐;大量的检查工作需要通过人工进行,效率较低;且检查完成后,需要汇总多个设备及人工的检查结果,报告合成费时费力。
随着工具的平台化、一体化趋势日益明显,上述的三类工具在数据安全风险评估中提供的能力在一些集成型产品中得以集合。
数据安全检查工具箱,结合了国家、行业关于数据安全检查评估法律法规的要求,兼顾数据安全合规和风险识别两大检查评估需求,能够从数据资产梳理、账号风险、安全漏洞、接口风险等多个维度帮助组织进行数据安全检测并输出检查评估报告,对风险评估的结果进行分析和总结,确定数据安全面临的主要威胁和脆弱性,以及需要采取的相应措施。