據安全服務,數據安全體系建設的(de)關鍵一(yī)環。通過數據安全服務解決數據安全建設難題,得到越來越多的(de)重視(shì)。不久前,《工業和(hé)信息化部等十六部門關于促進數據安全産業發展的(de)指導意見》發布,明确“壯大數據安全服務”,推進規劃咨詢與建設運維服務,積極發展檢測、評估、認證服務。
數據安全服務市場正在步入快速發展的(de)黃金期,各廠商紛紛布局,同時,數據安全服務品類也呈現出多樣化趨勢,包括:數據安全合規評估、數據安全規劃咨詢、數據分類分級、數據安全運維、人員培訓與教育、數據安全應急響應與演練、數據安全防護能力評估等。
亂花漸欲迷人眼,對此,本文結合美創實踐,詳細介紹數據安全建設中常見的(de)數據安全服務類型以及相關服務內(nèi)容、流程,以供參考。
1
數據安全能力評估
概述:基于DSMM、DSG等國家、行業以及社會認可(kě)的(de)普遍能力目标要求,綜合評估組織的(de)數據安全能力,明晰組織數據安全能力差距。
評估內(nèi)容:從組織建設、制度流程、技術工具及人員能力四個能力維度,對應用系統數據安全現狀進行安全評估,識别應用系統或業務條線的(de)數據安全保護能力是否達到相應能力等級及發現數據安全風險,并輸出差距評估相關報告材料。
評估流程:
參考依據:《信息安全技術 數據安全能力成熟度模型》、《數據安全治理(lǐ)能力評估方法》、《網絡數據安全處理(lǐ)要求》等。
2
數據分類分級服務
概述:依據國家及行業數據安全分類分級相關标準要求,協助組織對數據資産進行識别、梳理(lǐ)、分類及分級,最終輸出分類分級清單及管理(lǐ)規範要求。
服務流程:
成果交付物:在數據分類分級執行過程中,從項目啓動到結束,除了前期調研、需求分析等基礎軟件建設步驟,咨詢團隊會對應提供《需求調研表》、《調研記錄文檔》、《資産掃描報告》、《調研結果報告》、《需求分析報告》外,還包括《數據資産清單》、《數據分類分級指南/規範》、《數據分類分級報告》
參考依據:《信息安全技術 個人信息安全規範》(GB/T35273-2020)、《信息安全技術 網絡數據分類分級要求》(征求意見稿)、《信息安全技術 重要數據識别指南》(征求意見稿)以及行業、地(dì)方數據分類分級标準等。
3
數據安全治理(lǐ)咨詢
概述:從數據資産梳理(lǐ)、安全現狀調研、從合規性和(hé)數據全生命周期等視(shì)角,識别數據安全能力差距和(hé)安全風險,給予相關處置建議,并從管理(lǐ)、技術等多維度對客戶業務的(de)數據安全開展體系化規劃設計,以應對業務數據安全建設和(hé)管理(lǐ)中的(de)問題。
服務流程:
成果交付物:
《數據清單》
《數據權限現狀清單》
《數據流向圖》
《安全現狀清單》
《安全掃描結果》
《DSMM安全評估結果》
《合規對标結果》
《數據安全管理(lǐ)制度》
《數據安全建設規劃設計方案》
······
4
數據安全合規評估
概述:深度解讀法律法規、監管辦法等,協助組織充分了解合規義務、安全現狀、合規風險及處置規劃,旨在及早規避和(hé)關注可(kě)能存在的(de)風險,包括綜合合規評估、個人信息安全合規、數據跨境合規評估等。
評估流程:
成果交付物:彙編輸出《數據安全合規評估報告書》,另附參考指南/标準清單&附件。具體報告內(nèi)容包括不限于如(rú)下:
數據安全合規義務
信息采集內(nèi)容
數據安全現狀梳理(lǐ)
主要法律法規解讀
數據安全合規差距分析
安全關注&風險分析
條文符合性評估結果
綜合合規評估結果
合規加固建議
······
參考标準:基于《數據安全法》、《個人信息保護法》,聯合其他數據安全相關辦法規定、行業監管等文件,參考ISO37301:2021标準、Gartner DSG架構、PDCA方法等。
5
數據安全風險評估
概述:協助組織充分了解數據資産在各項數據處理(lǐ)活動中可(kě)能存在的(de)各項風險情況,給予相關的(de)風險處置措施。
評估流程:
成果交付物:《數據安全風險評估報告》作為(wèi)最終的(de)交付物,報告主要內(nèi)容包括:
評估工具和(hé)方法
評估參考依據
被評估數據資産清單
被評估對象的(de)數據威脅
被評估對象的(de)數據脆弱性
評估情況記錄
數據安全風險清單
數據安全風險分析過程
數據安全風險評估結果
風險處置措施
參考依據:《數據安全法》、《信息安全技術 數據安全能力成熟度模型》、《信息安全技術 數據安全風險評估方法》等國家标準、行業标準、地(dì)方标準對評估指标進行定制
評估收益:全面識别組織數據面臨的(de)各種風險,并據此采用适當安全處置措施。數據安全風險評估及其形成的(de)記錄文檔,可(kě)用于證明組織已經主動評估風險并采取一(yī)定的(de)安全保護措施,有助于減輕、甚至免除組織的(de)相關責任和(hé)名譽損失。
6
個人信息安全風險評估
概述:旨在幫助組織有效分析在各項數據處理(lǐ)活動中的(de)所存在個人信息、特别是個人敏感信息所可(kě)能存在的(de)各項風險情況,同時結合對出現個人信息相關安全事件時所造成的(de)影響進行分析的(de)結果,給予相關的(de)處置措施建議。
服務流程:
成果交付物:最終輸出《個人信息安全風險評估報告書》,包括不限于:
個人信息保護專員的(de)審批頁面
評估報告适用範圍
實施評估及撰寫報告的(de)人員信息
參考的(de)法律、法規和(hé)标準
個人信息影響評估對象
評估內(nèi)容及所涉及的(de)相關方
個人權益影響分析結果
參考依據:《個人信息保護法》、《信息安全技術 個人信息安全規範》、《信息安全技術 個人信息安全影響評估指南》,結合組織所在行業的(de)相關規定,如(rú):醫療衛生行業《GB/T 39725-2020 信息安全技術 健康醫療數據安全指南》等。
7
數據出境安全評估
概述:依據《數據出境安全評估辦法》、《數據出境安全評估申報指南》等,幫助組織深入理(lǐ)解和(hé)研究數據出境活動的(de)限制和(hé)要求,厘清數據出境場景、出境數據範圍、限制要求以及緩解措施,完成數據出境風險自(zì)評估,輔導客戶申報數據出境安全評估。
服務流程:
成果交付物包括不限于:
數據出境安全風險評估
《數據出境調研結果清單》
《數據出境活動清單》
《數據出境流向圖》
《數據安全風險評估報告》
《個人信息保護影響評估報告》
數據出境安全整改指導
《數據出境安全應急管理(lǐ)制度》
《數據出境安全應急演練方案》
《數據出境安全整改方案》
《數據出境安全建設指引》
《數據出境安全建設加固》
數據出境安全評估申報
《數據出境風險自(zì)評估報告》
《數據出境安全評估申報書》
·····
參考依據:《數據安全法》、《個人信息保護法》、《關鍵信息基礎設施安全保護條例》、《網絡安全審查辦法》、《數據出境安全評估辦法》、《數據出境安全評估申報指南(第一(yī)版)》、《信息安全技術 個人信息安全影響評估指南》、《信息安全技術 個人信息安全規範》、《信息安全技術 數據出境安全評估指南(征求意見稿)》、《信息安全技術 重要數據識别規則(征求意見稿)》、《個人信息出境标準合同辦法》等。
8
數據安全檢查服務
概述:通過深度解讀和(hé)分析法律法規、監管辦法等,提供數據安全檢查內(nèi)容、通過模闆、工具等方式進行快速評估,作為(wèi)開展符合性判定的(de)參考意見。數據安全檢查方式主要包括監管檢查、企業自(zì)查。
檢查流程:
檢查內(nèi)容:
常用檢查工具:
漏洞掃描設備:漏洞掃描器
基線配置核查工具:基線配置核查系統
數據庫權限核查工具
敏感數據掃描工具
DLP掃描工具
……
參考依據:《信息安全技術 網絡安全等級保護基本要求》、《信息安全技術 數據安全能力成熟度模型》、《信息安全技術 信息安全風險評估規範》、《信息安全技術 個人信息安全規範》、《信息安全技術 個人信息安全影響評估指南》
成果交付物:在制定檢查內(nèi)容時,提供數據安全檢查清單,包括檢查類别、檢查項目、檢查內(nèi)容、檢查方式及檢查要點,根據要點判定出檢查結果,最終形成《數據安全檢查結果報告》等。
9
數據安全制度咨詢
概述:根據組織實際管理(lǐ)要求,定制化輸出數據安全相關制度、流程和(hé)規範文件,以滿足客戶安全管理(lǐ)要求及實質合規要求。
制度設計思路:
成果交付物:包括管理(lǐ)制度、技術制度、檢查制度等,如(rú)《數據安全管理(lǐ)制度》、《數據采集與傳輸規範制度》、《數據安全人員管理(lǐ)制度》、《數據安全應急響應管理(lǐ)制度》、《數據安全檢查制度》等。
結語
目前,提供數據安全服務的(de)提供商百舸争流,即包括律師事務所、數據安全公司、也有網絡安全公司及測評認證機構等,各有所長(cháng),如(rú)何選擇數據安全服務提供商,用戶需從數據安全服務經驗、對行業業務場景的(de)認知、安全服務團隊構成、相關服務資質、自(zì)研産品工具支撐、量化的(de)保障措施等進行綜合考量。
