據安全服務,數(shù)據安全體(tǐ)系建設的關鍵一環。通(tōng)過數(shù)據安全服務解決數(shù)據安全建設難題,得(de)到越來(lái)越多(duō)的重視(shì)。不久前,《工業和(hé)信息化部等十六部門(mén)關于促進數(shù)據安全産業發展的指導意見》發布,明(míng)确“壯大(dà)數(shù)據安全服務”,推進規劃咨詢與建設運維服務,積極發展檢測、評估、認證服務。
數(shù)據安全服務市場(chǎng)正在步入快速發展的黃金期,各廠商紛紛布局,同時(shí),數(shù)據安全服務品類也呈現出多(duō)樣化趨勢,包括:數(shù)據安全合規評估、數(shù)據安全規劃咨詢、數(shù)據分類分級、數(shù)據安全運維、人(rén)員培訓與教育、數(shù)據安全應急響應與演練、數(shù)據安全防護能力評估等。
亂花(huā)漸欲迷人(rén)眼,對此,本文結合美創實踐,詳細介紹數(shù)據安全建設中常見的數(shù)據安全服務類型以及相關服務內(nèi)容、流程,以供參考。
1
數(shù)據安全能力評估
概述:基于DSMM、DSG等國家(jiā)、行(xíng)業以及社會(huì)認可(kě)的普遍能力目标要求,綜合評估組織的數(shù)據安全能力,明(míng)晰組織數(shù)據安全能力差距。
評估內(nèi)容:從組織建設、制(zhì)度流程、技(jì)術(shù)工具及人(rén)員能力四個(gè)能力維度,對應用系統數(shù)據安全現狀進行(xíng)安全評估,識别應用系統或業務條線的數(shù)據安全保護能力是否達到相應能力等級及發現數(shù)據安全風險,并輸出差距評估相關報告材料。
評估流程:
參考依據:《信息安全技(jì)術(shù) 數(shù)據安全能力成熟度模型》、《數(shù)據安全治理(lǐ)能力評估方法》、《網絡數(shù)據安全處理(lǐ)要求》等。
2
數(shù)據分類分級服務
概述:依據國家(jiā)及行(xíng)業數(shù)據安全分類分級相關标準要求,協助組織對數(shù)據資産進行(xíng)識别、梳理(lǐ)、分類及分級,最終輸出分類分級清單及管理(lǐ)規範要求。
服務流程:
成果交付物:在數(shù)據分類分級執行(xíng)過程中,從項目啓動到結束,除了前期調研、需求分析等基礎軟件建設步驟,咨詢團隊會(huì)對應提供《需求調研表》、《調研記錄文檔》、《資産掃描報告》、《調研結果報告》、《需求分析報告》外,還(hái)包括《數(shù)據資産清單》、《數(shù)據分類分級指南/規範》、《數(shù)據分類分級報告》
參考依據:《信息安全技(jì)術(shù) 個(gè)人(rén)信息安全規範》(GB/T35273-2020)、《信息安全技(jì)術(shù) 網絡數(shù)據分類分級要求》(征求意見稿)、《信息安全技(jì)術(shù) 重要數(shù)據識别指南》(征求意見稿)以及行(xíng)業、地方數(shù)據分類分級标準等。
3
數(shù)據安全治理(lǐ)咨詢
概述:從數(shù)據資産梳理(lǐ)、安全現狀調研、從合規性和(hé)數(shù)據全生(shēng)命周期等視(shì)角,識别數(shù)據安全能力差距和(hé)安全風險,給予相關處置建議,并從管理(lǐ)、技(jì)術(shù)等多(duō)維度對客戶業務的數(shù)據安全開(kāi)展體(tǐ)系化規劃設計(jì),以應對業務數(shù)據安全建設和(hé)管理(lǐ)中的問題。
服務流程:
成果交付物:
《數(shù)據清單》
《數(shù)據權限現狀清單》
《數(shù)據流向圖》
《安全現狀清單》
《安全掃描結果》
《DSMM安全評估結果》
《合規對标結果》
《數(shù)據安全管理(lǐ)制(zhì)度》
《數(shù)據安全建設規劃設計(jì)方案》
······
4
數(shù)據安全合規評估
概述:深度解讀法律法規、監管辦法等,協助組織充分了解合規義務、安全現狀、合規風險及處置規劃,旨在及早規避和(hé)關注可(kě)能存在的風險,包括綜合合規評估、個(gè)人(rén)信息安全合規、數(shù)據跨境合規評估等。
評估流程:
成果交付物:彙編輸出《數(shù)據安全合規評估報告書(shū)》,另附參考指南/标準清單&附件。具體(tǐ)報告內(nèi)容包括不限于如下:
數(shù)據安全合規義務
信息采集內(nèi)容
數(shù)據安全現狀梳理(lǐ)
主要法律法規解讀
數(shù)據安全合規差距分析
安全關注&風險分析
條文符合性評估結果
綜合合規評估結果
合規加固建議
······
參考标準:基于《數(shù)據安全法》、《個(gè)人(rén)信息保護法》,聯合其他數(shù)據安全相關辦法規定、行(xíng)業監管等文件,參考ISO37301:2021标準、Gartner DSG架構、PDCA方法等。
5
數(shù)據安全風險評估
概述:協助組織充分了解數(shù)據資産在各項數(shù)據處理(lǐ)活動中可(kě)能存在的各項風險情況,給予相關的風險處置措施。
評估流程:
成果交付物:《數(shù)據安全風險評估報告》作(zuò)為(wèi)最終的交付物,報告主要內(nèi)容包括:
評估工具和(hé)方法
評估參考依據
被評估數(shù)據資産清單
被評估對象的數(shù)據威脅
被評估對象的數(shù)據脆弱性
評估情況記錄
數(shù)據安全風險清單
數(shù)據安全風險分析過程
數(shù)據安全風險評估結果
風險處置措施
參考依據:《數(shù)據安全法》、《信息安全技(jì)術(shù) 數(shù)據安全能力成熟度模型》、《信息安全技(jì)術(shù) 數(shù)據安全風險評估方法》等國家(jiā)标準、行(xíng)業标準、地方标準對評估指标進行(xíng)定制(zhì)
評估收益:全面識别組織數(shù)據面臨的各種風險,并據此采用适當安全處置措施。數(shù)據安全風險評估及其形成的記錄文檔,可(kě)用于證明(míng)組織已經主動評估風險并采取一定的安全保護措施,有(yǒu)助于減輕、甚至免除組織的相關責任和(hé)名譽損失。
6
個(gè)人(rén)信息安全風險評估
概述:旨在幫助組織有(yǒu)效分析在各項數(shù)據處理(lǐ)活動中的所存在個(gè)人(rén)信息、特别是個(gè)人(rén)敏感信息所可(kě)能存在的各項風險情況,同時(shí)結合對出現個(gè)人(rén)信息相關安全事件時(shí)所造成的影(yǐng)響進行(xíng)分析的結果,給予相關的處置措施建議。
服務流程:
成果交付物:最終輸出《個(gè)人(rén)信息安全風險評估報告書(shū)》,包括不限于:
個(gè)人(rén)信息保護專員的審批頁面
評估報告适用範圍
實施評估及撰寫報告的人(rén)員信息
參考的法律、法規和(hé)标準
個(gè)人(rén)信息影(yǐng)響評估對象
評估內(nèi)容及所涉及的相關方
個(gè)人(rén)權益影(yǐng)響分析結果
參考依據:《個(gè)人(rén)信息保護法》、《信息安全技(jì)術(shù) 個(gè)人(rén)信息安全規範》、《信息安全技(jì)術(shù) 個(gè)人(rén)信息安全影(yǐng)響評估指南》,結合組織所在行(xíng)業的相關規定,如:醫(yī)療衛生(shēng)行(xíng)業《GB/T 39725-2020 信息安全技(jì)術(shù) 健康醫(yī)療數(shù)據安全指南》等。
7
數(shù)據出境安全評估
概述:依據《數(shù)據出境安全評估辦法》、《數(shù)據出境安全評估申報指南》等,幫助組織深入理(lǐ)解和(hé)研究數(shù)據出境活動的限制(zhì)和(hé)要求,厘清數(shù)據出境場(chǎng)景、出境數(shù)據範圍、限制(zhì)要求以及緩解措施,完成數(shù)據出境風險自評估,輔導客戶申報數(shù)據出境安全評估。
服務流程:
成果交付物包括不限于:
數(shù)據出境安全風險評估
《數(shù)據出境調研結果清單》
《數(shù)據出境活動清單》
《數(shù)據出境流向圖》
《數(shù)據安全風險評估報告》
《個(gè)人(rén)信息保護影(yǐng)響評估報告》
數(shù)據出境安全整改指導
《數(shù)據出境安全應急管理(lǐ)制(zhì)度》
《數(shù)據出境安全應急演練方案》
《數(shù)據出境安全整改方案》
《數(shù)據出境安全建設指引》
《數(shù)據出境安全建設加固》
數(shù)據出境安全評估申報
《數(shù)據出境風險自評估報告》
《數(shù)據出境安全評估申報書(shū)》
·····
參考依據:《數(shù)據安全法》、《個(gè)人(rén)信息保護法》、《關鍵信息基礎設施安全保護條例》、《網絡安全審查辦法》、《數(shù)據出境安全評估辦法》、《數(shù)據出境安全評估申報指南(第一版)》、《信息安全技(jì)術(shù) 個(gè)人(rén)信息安全影(yǐng)響評估指南》、《信息安全技(jì)術(shù) 個(gè)人(rén)信息安全規範》、《信息安全技(jì)術(shù) 數(shù)據出境安全評估指南(征求意見稿)》、《信息安全技(jì)術(shù) 重要數(shù)據識别規則(征求意見稿)》、《個(gè)人(rén)信息出境标準合同辦法》等。
8
數(shù)據安全檢查服務
概述:通(tōng)過深度解讀和(hé)分析法律法規、監管辦法等,提供數(shù)據安全檢查內(nèi)容、通(tōng)過模闆、工具等方式進行(xíng)快速評估,作(zuò)為(wèi)開(kāi)展符合性判定的參考意見。數(shù)據安全檢查方式主要包括監管檢查、企業自查。
檢查流程:
檢查內(nèi)容:
常用檢查工具:
漏洞掃描設備:漏洞掃描器(qì)
基線配置核查工具:基線配置核查系統
數(shù)據庫權限核查工具
敏感數(shù)據掃描工具
DLP掃描工具
……
參考依據:《信息安全技(jì)術(shù) 網絡安全等級保護基本要求》、《信息安全技(jì)術(shù) 數(shù)據安全能力成熟度模型》、《信息安全技(jì)術(shù) 信息安全風險評估規範》、《信息安全技(jì)術(shù) 個(gè)人(rén)信息安全規範》、《信息安全技(jì)術(shù) 個(gè)人(rén)信息安全影(yǐng)響評估指南》
成果交付物:在制(zhì)定檢查內(nèi)容時(shí),提供數(shù)據安全檢查清單,包括檢查類别、檢查項目、檢查內(nèi)容、檢查方式及檢查要點,根據要點判定出檢查結果,最終形成《數(shù)據安全檢查結果報告》等。
9
數(shù)據安全制(zhì)度咨詢
概述:根據組織實際管理(lǐ)要求,定制(zhì)化輸出數(shù)據安全相關制(zhì)度、流程和(hé)規範文件,以滿足客戶安全管理(lǐ)要求及實質合規要求。
制(zhì)度設計(jì)思路:
成果交付物:包括管理(lǐ)制(zhì)度、技(jì)術(shù)制(zhì)度、檢查制(zhì)度等,如《數(shù)據安全管理(lǐ)制(zhì)度》、《數(shù)據采集與傳輸規範制(zhì)度》、《數(shù)據安全人(rén)員管理(lǐ)制(zhì)度》、《數(shù)據安全應急響應管理(lǐ)制(zhì)度》、《數(shù)據安全檢查制(zhì)度》等。
結語
目前,提供數(shù)據安全服務的提供商百舸争流,即包括律師(shī)事務所、數(shù)據安全公司、也有(yǒu)網絡安全公司及測評認證機構等,各有(yǒu)所長,如何選擇數(shù)據安全服務提供商,用戶需從數(shù)據安全服務經驗、對行(xíng)業業務場(chǎng)景的認知、安全服務團隊構成、相關服務資質、自研産品工具支撐、量化的保障措施等進行(xíng)綜合考量。
