随着《数据安全法》、《个人信息保护法》、《数据入境平安治理方法》等法律法规的落地施行,数据安全危险评估已成为企业满足监管合规要求的必要伎俩;与此同时,对于宏大简单的数据安全治理工作而言,数据安全危险评估是施行数据安全建设的根底工作,做好危险评估对帮忙企业发现安全漏洞、确定防护策略及预防危险行为方面都具备重大意义。对于企业而言,面对日益加剧的数据安全威逼,可控的危险是确保数据安全的前提;此外,数据安全危险评估的后果也是造成数据安全治理策略的重要依据。
《数据安全作战地图——数据安全危险评估》常识图谱,以国家和行业标准要求为根据,基于对合规要求的深度了解和丰盛实践经验,将扩散的危险评估定义、流程、办法、工具等碎片化信息整合成体系化的常识架构,并以此为根底绘制了标准的危险评估实际指南,帮忙企业疾速把握施行要点。
01 关注“数据”的危险评估
数据安全危险评估该当保持预防为主、被动发现、踊跃防备。不同于信息安全危险评估,数据安全危险评估是以“数据”为核心,从数据资产登程,联合业务场景对发展数据处理流动的状况、面临的数据安全危险及其应答措施等进行辨认和评估,更关注随同业务流动的数据安全。
企业在发展数据安全危险评估过程中往往会引入对是否落实数据安全、个人信息爱护相干法律法规要求的查看,对业务合规要求较高,即:数据安全危险评估既包含非法合规性危险,也包含脆弱性、威逼、技术安全性等危险。参考《信息安全技术 信息安全危险评估施行指南》,并根据法律法规、行业标准规范等要求,企业进行数据安全危险评估具体流程包含:评估筹备、信息调研、危险辨认、综合剖析及评估总结 5 个阶段。
02 危险评估的原理和实质
危险并非独立存在,数据安全危险评估须要联合不同的业务利用场景及不同阶段的数据处理流动去动静辨认危险。危险剖析的原理是通过资产价值辨认、非法合规性辨认、已有安全措施辨认、威逼辨认和脆弱性辨认及解决流动因素辨认,得出企业所面临的非法合规性危险、数据安全事件产生的可能性以及数据安全事件产生对组织的影响度,从而失去数据安全危险值,最初赋予危险等级。
危险评估的实质就是基于对企业业务流动的梳理,对其进行全面、主观、深刻的辨认评估,发现数据安全方面的缺点和威逼,并升高危险。企业通过数据安全危险评估,最终失去危险评估后果;根据危险评估等级并联合企业生产经营的理论业务状况,帮忙企业制订后续的数据安全危险管控策略。
03 企业发展自评估的要点
数据安全危险不是动态的,因而企业须要定期发展数据安全危险评估工作,以确保把握最新的数据安全危险情况。此外,根据法律法规要求,不论是解决波及敏感信息的解决问题,还是数据入境场景下的合规差距剖析,亦或是晋升企业本身的数据风险管理能力,企业都须要发展危险自评估。
数据安全危险评估的根底是要优先做好数据分类分级工作,即根据相干法律法规及行业标准规范全面辨认企业数据资产,依照规范实现数据的分类和分级,造成危险评估具体范畴;其次须要对业务数据流动链路进行梳理和辨认,从角色、零碎、场景、环境等多因素关联剖析数据流转状况,输入数据流转图;最初基于数据流转图,辨认数据处理流动及其合规性、风险性。
数据安全危险评估是一项简单的工作,要执行无效的数据安全危险评估须要尽可能全面得实现资产发现、破绽检测、数据辨认等;在这个过程中,企业能够正当应用辅助数据安全危险评估工具,以加重危险评估施行工作量和老本。
9 月 8 日,更高效、更全面、更精准,全新一代“知镜 - 数据安全检测工具箱”行将重磅公布,多个硬核产品性能等你一起解锁,敬请期待!