數據安全評估服務

數據安全風險評估是(shì)數據安全建設的基礎和指南

    2021年9月1日，《中華人民共和國數據安全法》（以下簡稱：《數據安全法》）正式施行。該法律聚焦數據安全領域的重點問題，确立了數據分類分級管理，建立了數據安全風險評估、監測預警、應急處置，數據安全審查等基本制度，并明确了相(xiàng)關主體的數據安全保護義務。《數據安全法》中第30條明确提出數據安全風險評估的要求，要求：“重要數據的處理者應當按照規定對其數據處理活動定期開展風險評估，并向有關主管部門報送風險評估報告。風險評估報告應當包括處理的重要數據的種類、數量，開展數據處理活動的情況，面臨的數據安全風險及其應對措施等。”

    《數據安全法》的出台使得數據不僅擁有了“價值”屬性，也具備了“法律”屬性。在此背景下，各行業數據安全的合法合規工作将成爲一個趨勢，企業管理者也将開始關注面臨的數據安全風險以及如何實現(xiàn)數據安全合規。

對于企業管理者來講，目前最緊急的工作是(shì)需要全面開展數據安全風險評估，找出是(shì)否存在違法的情況以及和法律要求之間的差距，從而爲數據安全建設和治理提供依據。

數據安全風險評估服務交付流程

1. 需求對齊&入場調研：項目經理再次确認本次項目的驅動和需求，以便開展有針對性工作;并對待評估業務系統的概況信息、設計文檔、網絡部署、安全防護等材料進行調研。

2. 方案定制&啓動會：項目經理根據前期溝通情況，以及入場調研信息和内部專家評估結論，确定本項目的實施方案和計劃，并與和客戶共同組織本次項目的啓動會議(yì)。

3. 數據分類分級：安全專家制定數據分類分級指南，并對待評估系統進行數據分類分級工作，輸出數據保護目錄和數據分布圖。

4. 數據安全管理風險評估：針對六大數據安全管理維度，進行風險評估工作；同時針對《數據安全保護法》和《個人信息保護法》，解讀出企業需要重點遵循的55項條例進行合規評估，識别其中風險。

5. 數據安全處理活動風險評估：工程師針對重要數據的13項數據處理活動：數據采集、數據傳輸、數據存儲、數據訪問、數據公開、數據管理、數據交換、數據提供、數據銷毀等，進行脆弱性和威脅評估工作。

6. 平台脆弱性評估：工程師通過平台生成和人工繪制方式輸出數據分布視圖，以方便客戶直觀清晰的了解系統的重要數據和個人信息分布情況。

7. 平台滲透測試：工程師利用主流的攻擊技術和工具對目标系統、數據庫進行模拟黑客攻擊測試，并将發現(xiàn)的安全漏洞進行整理分析，針對每一個安全漏洞提供相(xiàng)應的解決建議(yì)。

8. APP合規檢測：工程師使用APP合規檢測工具檢測APP存在的合規風險，針對分析過程中評估标準、評估要點、評估方法、評估結果以及問題解決建議(yì)均進行詳細的描述，滿足國家相(xiàng)關法律要求。

9. 報告輸出&彙報：項目經理整合項目實施階段的工作結果進行風險評估總結報告的輸出，并向客戶彙報。

數據安全風險風險評估報告

        《數據安全風險評估報告》是(shì)數煉數據服務團隊提供數據安全風險評估服務的核心交付物，彙總了整個評估過程中的主要結論，清晰直觀的展示給客戶。與此同時，過程中輸出的《數據分類分級指南》、《重要數據保護目錄》、《數據處理活動風險評估表》、《數據安全管理調研評估表》等輸出材料，也會一并交付給客戶，方便随時查閱詳情。