據安全服務,數據安全體系建設的關鍵一環。通過數據安全服務解決數據安全建設難題,得到(dào)越來(lái)越多的重視(shì)。不久前,《工(gōng)業和(hé)信息化部等十六部門(mén)關于促進數據安全産業發展的指導意見》發布,明(míng)确“壯大(dà)數據安全服務”,推進規劃咨詢與建設運維服務,積極發展檢測、評估、認證服務。
數據安全服務市場正在步入快(kuài)速發展的黃金(jīn)期,各廠(chǎng)商紛紛布局,同時(shí),數據安全服務品類也(yě)呈現(xiàn)出多樣化趨勢,包括:數據安全合規評估、數據安全規劃咨詢、數據分類分級、數據安全運維、人員培訓與教育、數據安全應急響應與演練、數據安全防護能(néng)力評估等。
亂花(huā)漸欲迷人眼,對(duì)此,本文(wén)結合美(měi)創實踐,詳細介紹數據安全建設中常見的數據安全服務類型以及相關服務内容、流程,以供參考。
1
數據安全能(néng)力評估
概述:基于DSMM、DSG等國家、行業以及社會(huì)認可的普遍能(néng)力目标要求,綜合評估組織的數據安全能(néng)力,明(míng)晰組織數據安全能(néng)力差距。
評估内容:從(cóng)組織建設、制度流程、技術工(gōng)具及人員能(néng)力四個能(néng)力維度,對(duì)應用(yòng)系統數據安全現(xiàn)狀進行安全評估,識别應用(yòng)系統或業務條線的數據安全保護能(néng)力是否達到(dào)相應能(néng)力等級及發現(xiàn)數據安全風(fēng)險,并輸出差距評估相關報(bào)告材料。
評估流程:
參考依據:《信息安全技術 數據安全能(néng)力成熟度模型》、《數據安全治理(lǐ)能(néng)力評估方法》、《網絡數據安全處理(lǐ)要求》等。
2
數據分類分級服務
概述:依據國家及行業數據安全分類分級相關标準要求,協助組織對(duì)數據資産進行識别、梳理(lǐ)、分類及分級,最終輸出分類分級清單及管理(lǐ)規範要求。
服務流程:
成果交付物:在數據分類分級執行過程中,從(cóng)項目啓動到(dào)結束,除了(le)前期調研、需求分析等基礎軟件建設步驟,咨詢團隊會(huì)對(duì)應提供《需求調研表》、《調研記錄文(wén)檔》、《資産掃描報(bào)告》、《調研結果報(bào)告》、《需求分析報(bào)告》外(wài),還包括《數據資産清單》、《數據分類分級指南/規範》、《數據分類分級報(bào)告》
參考依據:《信息安全技術 個人信息安全規範》(GB/T35273-2020)、《信息安全技術 網絡數據分類分級要求》(征求意見稿)、《信息安全技術 重要數據識别指南》(征求意見稿)以及行業、地方數據分類分級标準等。
3
數據安全治理(lǐ)咨詢
概述:從(cóng)數據資産梳理(lǐ)、安全現(xiàn)狀調研、從(cóng)合規性和(hé)數據全生命周期等視(shì)角,識别數據安全能(néng)力差距和(hé)安全風(fēng)險,給予相關處置建議(yì),并從(cóng)管理(lǐ)、技術等多維度對(duì)客戶業務的數據安全開(kāi)展體系化規劃設計(jì),以應對(duì)業務數據安全建設和(hé)管理(lǐ)中的問題。
服務流程:
成果交付物:
《數據清單》
《數據權限現(xiàn)狀清單》
《數據流向圖》
《安全現(xiàn)狀清單》
《安全掃描結果》
《DSMM安全評估結果》
《合規對(duì)标結果》
《數據安全管理(lǐ)制度》
《數據安全建設規劃設計(jì)方案》
······
4
數據安全合規評估
概述:深度解讀法律法規、監管辦法等,協助組織充分了(le)解合規義務、安全現(xiàn)狀、合規風(fēng)險及處置規劃,旨在及早規避和(hé)關注可能(néng)存在的風(fēng)險,包括綜合合規評估、個人信息安全合規、數據跨境合規評估等。
評估流程:
成果交付物:彙編輸出《數據安全合規評估報(bào)告書》,另附參考指南/标準清單&附件。具體報(bào)告内容包括不限于如下(xià):
數據安全合規義務
信息采集内容
數據安全現(xiàn)狀梳理(lǐ)
主要法律法規解讀
數據安全合規差距分析
安全關注&風(fēng)險分析
條文(wén)符合性評估結果
綜合合規評估結果
合規加固建議(yì)
······
參考标準:基于《數據安全法》、《個人信息保護法》,聯合其他(tā)數據安全相關辦法規定、行業監管等文(wén)件,參考ISO37301:2021标準、Gartner DSG架構、PDCA方法等。
5
數據安全風(fēng)險評估
概述:協助組織充分了(le)解數據資産在各項數據處理(lǐ)活動中可能(néng)存在的各項風(fēng)險情況,給予相關的風(fēng)險處置措施。
評估流程:
成果交付物:《數據安全風(fēng)險評估報(bào)告》作(zuò)爲最終的交付物,報(bào)告主要内容包括:
評估工(gōng)具和(hé)方法
評估參考依據
被評估數據資産清單
被評估對(duì)象的數據威脅
被評估對(duì)象的數據脆弱性
評估情況記錄
數據安全風(fēng)險清單
數據安全風(fēng)險分析過程
數據安全風(fēng)險評估結果
風(fēng)險處置措施
參考依據:《數據安全法》、《信息安全技術 數據安全能(néng)力成熟度模型》、《信息安全技術 數據安全風(fēng)險評估方法》等國家标準、行業标準、地方标準對(duì)評估指标進行定制
評估收益:全面識别組織數據面臨的各種風(fēng)險,并據此采用(yòng)适當安全處置措施。數據安全風(fēng)險評估及其形成的記錄文(wén)檔,可用(yòng)于證明(míng)組織已經主動評估風(fēng)險并采取一定的安全保護措施,有助于減輕、甚至免除組織的相關責任和(hé)名譽損失。
6
個人信息安全風(fēng)險評估
概述:旨在幫助組織有效分析在各項數據處理(lǐ)活動中的所存在個人信息、特别是個人敏感信息所可能(néng)存在的各項風(fēng)險情況,同時(shí)結合對(duì)出現(xiàn)個人信息相關安全事(shì)件時(shí)所造成的影響進行分析的結果,給予相關的處置措施建議(yì)。
服務流程:
成果交付物:最終輸出《個人信息安全風(fēng)險評估報(bào)告書》,包括不限于:
個人信息保護專員的審批頁面
評估報(bào)告适用(yòng)範圍
實施評估及撰寫報(bào)告的人員信息
參考的法律、法規和(hé)标準
個人信息影響評估對(duì)象
評估内容及所涉及的相關方
個人權益影響分析結果
參考依據:《個人信息保護法》、《信息安全技術 個人信息安全規範》、《信息安全技術 個人信息安全影響評估指南》,結合組織所在行業的相關規定,如:醫(yī)療衛生行業《GB/T 39725-2020 信息安全技術 健康醫(yī)療數據安全指南》等。
7
數據出境安全評估
概述:依據《數據出境安全評估辦法》、《數據出境安全評估申報(bào)指南》等,幫助組織深入理(lǐ)解和(hé)研究數據出境活動的限制和(hé)要求,厘清數據出境場景、出境數據範圍、限制要求以及緩解措施,完成數據出境風(fēng)險自(zì)評估,輔導客戶申報(bào)數據出境安全評估。
服務流程:
成果交付物包括不限于:
數據出境安全風(fēng)險評估
《數據出境調研結果清單》
《數據出境活動清單》
《數據出境流向圖》
《數據安全風(fēng)險評估報(bào)告》
《個人信息保護影響評估報(bào)告》
數據出境安全整改指導
《數據出境安全應急管理(lǐ)制度》
《數據出境安全應急演練方案》
《數據出境安全整改方案》
《數據出境安全建設指引》
《數據出境安全建設加固》
數據出境安全評估申報(bào)
《數據出境風(fēng)險自(zì)評估報(bào)告》
《數據出境安全評估申報(bào)書》
·····
參考依據:《數據安全法》、《個人信息保護法》、《關鍵信息基礎設施安全保護條例》、《網絡安全審查辦法》、《數據出境安全評估辦法》、《數據出境安全評估申報(bào)指南(第一版)》、《信息安全技術 個人信息安全影響評估指南》、《信息安全技術 個人信息安全規範》、《信息安全技術 數據出境安全評估指南(征求意見稿)》、《信息安全技術 重要數據識别規則(征求意見稿)》、《個人信息出境标準合同辦法》等。
8
數據安全檢查服務
概述:通過深度解讀和(hé)分析法律法規、監管辦法等,提供數據安全檢查内容、通過模闆、工(gōng)具等方式進行快(kuài)速評估,作(zuò)爲開(kāi)展符合性判定的參考意見。數據安全檢查方式主要包括監管檢查、企業自(zì)查。
檢查流程:
檢查内容:
常用(yòng)檢查工(gōng)具:
漏洞掃描設備:漏洞掃描器
基線配置核查工(gōng)具:基線配置核查系統
數據庫權限核查工(gōng)具
敏感數據掃描工(gōng)具
DLP掃描工(gōng)具
……
參考依據:《信息安全技術 網絡安全等級保護基本要求》、《信息安全技術 數據安全能(néng)力成熟度模型》、《信息安全技術 信息安全風(fēng)險評估規範》、《信息安全技術 個人信息安全規範》、《信息安全技術 個人信息安全影響評估指南》
成果交付物:在制定檢查内容時(shí),提供數據安全檢查清單,包括檢查類别、檢查項目、檢查内容、檢查方式及檢查要點,根據要點判定出檢查結果,最終形成《數據安全檢查結果報(bào)告》等。
9
數據安全制度咨詢
概述:根據組織實際管理(lǐ)要求,定制化輸出數據安全相關制度、流程和(hé)規範文(wén)件,以滿足客戶安全管理(lǐ)要求及實質合規要求。
制度設計(jì)思路:
成果交付物:包括管理(lǐ)制度、技術制度、檢查制度等,如《數據安全管理(lǐ)制度》、《數據采集與傳輸規範制度》、《數據安全人員管理(lǐ)制度》、《數據安全應急響應管理(lǐ)制度》、《數據安全檢查制度》等。
結語
目前,提供數據安全服務的提供商百舸争流,即包括律師事(shì)務所、數據安全公司、也(yě)有網絡安全公司及測評認證機構等,各有所長,如何選擇數據安全服務提供商,用(yòng)戶需從(cóng)數據安全服務經驗、對(duì)行業業務場景的認知(zhī)、安全服務團隊構成、相關服務資質、自(zì)研産品工(gōng)具支撐、量化的保障措施等進行綜合考量。
