数据安全风险评估解决方案
作者: 日期:2021年10月25日 阅:4,228

1、市场背景

在大数据时代,数据泄漏、数据滥用、数据篡改等各类安全风险的存在,让企业在建设执行数据安全风险评估方面变得紧迫和必要;同时,在国家监管层面,《数据安全法》对数据安全风险评估也提出了要求:

(第二十一条):应当按照国家有关规定,确定本地区、本部门、本行业重要数据保护目录,对列入目录的数据进行重点保护。 

(第二十二条):建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制。

(第三十条):重要数据的处理者应对数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。

数据安全是推进数字化持续发展的根本保障。不论是企业业务数据、用户个人数据,还是数据跨境流动安全,企业都需要开展数据安全风险评估工作,确保风险可知、可控,进一步提升数据安全保障能力。

2、需求挑战

在数据安全风险频繁发生的重负下,企业虽然认识到了数据安全风险评估的重要性,但是数据安全风险评估工作复杂,企业也缺少对数据安全的理解和实践,无法建立完善的数据安全治理体系,满足数据安全风险评估合规要求。

当下企业面临的痛点

➢缺乏评估体系

企业从“信息化”转型到“数据化”过程中,数据量爆炸增加,企业没有合适的数据安全风险评估方法和体系,无法针对性的摸清所有面临的安全风险,也无法评估与法律合规要求的差距。

➢缺乏有力的抓手

数据安全风险评估是通过技术工具,客观评估出企业中现存的数据安全风险,企业在建设数据安全治理体系的过程中,正是缺少”数据安全风险评估”工具这一有力抓手的助力。

➢专业能力不具备

传统安全防护采用边界防护的策略,只是保证静态数据安全;而现实中企业一旦开展业务,必然涉及数据流动过程中的安全风险评估和监测,这些都需要有经验的专业安全团队协助解决。
➢评估手段支撑不足

传统的安全管理调研方式,容易产生风险遗漏且主观性太强;基于数据便于复制、传输、多形态的特性,需要有针对性、专业性、客观性的技术评估手段协助来查缺补漏。

3、解决方案

以法律合规要求为根本出发点,全知科技“以数据为中心”,推出数据安全风险评估的专项服务,通过以下4方面,协助企业掌握自身数据安全风险情况,建立完善数据安全治理体系。

数据安全风险评估4步走

1、APP隐私合规评估:提供“APP权限申请和使用情况、个人信息采集相关风险、与第三方交互情况”等数据风险的评估。

2、数据出境安全风险评估:对提供数据出境中涉及的数据类型、数据量级、是否存在向境外提供重要数据进行风险评估。   

3、个人敏感信息风险评估:通过技术工具,提供企业针对个人敏感信息数据全生命周期中,各个阶段的风险评估需求。

4、数据安全风险评测服务:

· API数据安全监测,为企业提供接口敏感数据暴露面、接口脆弱性、接口开放数据合规性等风险的评估。

· 针对企业内部业务应用数据,提供内部接口敏感数据暴露面、敏感数据的流动风险、内部人员的合规使用数据等风险的评估。

· 针对企业数据库数据、访问控制、安全管理、人员访问行为等进行风险评估。

数据安全风险报告作为真实可信的的材料,企业安全人员向上可以有理可依,推动资源支持;向下可以究其风险根源,推动跨部门协作整改;为企业整体数据安全体系建设提供依据。

  • 方案特色

◈专业全面:基于《数安法》《个信法》等相关法律和监管要求,全知科技通过技术型工具和专家服务,协助企业在短时间内全面且有针对性的掌握数据安全风险详情。

◈性价比高:全知科技在数据安全评估领域有多年积累,能够提供高质量低投入的数据安全风险评估服务,对业务影响度小且实施周期短。

◈省心省力:全知科技与多家监管测评机构有合作关系,深度了解监管测评机构对于数据安全风险评估的检查要求,能够协助指导企业轻松应对相关检查和评估。

5方案价值

01合法合规:全局掌控数据现状,提前布局规划,保障企业在数据安全领域的合法合规。

02管技共建:全面厘清数据风险,补齐短板,促进科学数据安全治理和安全管控体系建设。

03持续运营:全力厘清安全需求,协同推进适宜可落地的数据安全技术与运营技术手段。

04防御提升:全效保障数据安全,减少来自内外部的对数据的攻击和隐患,提升防御能力。

  • 成功案例

某企业对外业务的风险评估:某企业开放了一个对外访客的接口,访客需要依据要求填写:访客姓名、手机号、身份证号、联系接口人、接口人工号、部门等信息。全知科技在执行风险评估过程中,通过技术工具发现该企业的访客接口存在以下问题:

➀ 接口技术脆弱性问题,能够未鉴权变更记录ID遍历查询所有访客的记录信息;

➁ 对返回的数据量级未做任何限制,可一次请求返回大量含有个人敏感信息的访客记录,数据量级至数千条,其中包含非常敏感的人脸识别信息。

➂ 返回的访客信息,未进行脱敏加密处理,可直接获取明文数据。

以上问题,都暴露出该企业在数据安全风险评估上未建立有效的安全监测机制。对外提供服务的业务接口,存在大量暴露企业访客和企业内部员工敏感信息的安全问题,极易发生数据泄漏事件。

某银行数据现状的风险评估:某银行内部,存在一些数据安全管理的问题,期望借助第三方的专业能力,从数据安全风险评估出发,摸底银行内数据安全管理的整体情况。

全知科技从管理和技术两方面入手,梳理了数据安全管理现状、数据安全技术防护现状、业务数据使用场景安全管理现状等;并依据现状风险调研报告,从合法合规和管理落地的角度,帮助银行规划了内部后续三年整体的数据安全治理体系建设方案。


相关文章