数据安全评估服务

数据安全风险评估是数据安全建设的基础和指南

    2021年9月1日，《中华人民共和国数据安全法》（以下简称：《数据安全法》）正式施行。该法律聚焦数据安全领域的重点问题，确立了数据分类分级管理，建立了数据安全风险评估、监测预警、应急处置，数据安全审查等基本制度，并明确了相关主体的数据安全保护义务。《数据安全法》中第30条明确提出数据安全风险评估的要求，要求：“重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送风险评估报告。风险评估报告应当包括处理的重要数据的种类、数量，开展数据处理活动的情况，面临的数据安全风险及其应对措施等。”

    《数据安全法》的出台使得数据不仅拥有了“价值”属性，也具备了“法律”属性。在此背景下，各行业数据安全的合法合规工作将成为一个趋势，企业管理者也将开始关注面临的数据安全风险以及如何实现数据安全合规。

对于企业管理者来讲，目前最紧急的工作是需要全面开展数据安全风险评估，找出是否存在违法的情况以及和法律要求之间的差距，从而为数据安全建设和治理提供依据。

数据安全风险评估服务交付流程

1. 需求对齐&入场调研：项目经理再次确认本次项目的驱动和需求，以便开展有针对性工作;并对待评估业务系统的概况信息、设计文档、网络部署、安全防护等材料进行调研。

2. 方案定制&启动会：项目经理根据前期沟通情况，以及入场调研信息和内部专家评估结论，确定本项目的实施方案和计划，并与和客户共同组织本次项目的启动会议。

3. 数据分类分级：安全专家制定数据分类分级指南，并对待评估系统进行数据分类分级工作，输出数据保护目录和数据分布图。

4. 数据安全管理风险评估：针对六大数据安全管理维度，进行风险评估工作；同时针对《数据安全保护法》和《个人信息保护法》，解读出企业需要重点遵循的55项条例进行合规评估，识别其中风险。

5. 数据安全处理活动风险评估：工程师针对重要数据的13项数据处理活动：数据采集、数据传输、数据存储、数据访问、数据公开、数据管理、数据交换、数据提供、数据销毁等，进行脆弱性和威胁评估工作。

6. 平台脆弱性评估：工程师通过平台生成和人工绘制方式输出数据分布视图，以方便客户直观清晰的了解系统的重要数据和个人信息分布情况。

7. 平台渗透测试：工程师利用主流的攻击技术和工具对目标系统、数据库进行模拟黑客攻击测试，并将发现的安全漏洞进行整理分析，针对每一个安全漏洞提供相应的解决建议。

8. APP合规检测：工程师使用APP合规检测工具检测APP存在的合规风险，针对分析过程中评估标准、评估要点、评估方法、评估结果以及问题解决建议均进行详细的描述，满足国家相关法律要求。

9. 报告输出&汇报：项目经理整合项目实施阶段的工作结果进行风险评估总结报告的输出，并向客户汇报。

数据安全风险风险评估报告

        《数据安全风险评估报告》是数炼数据服务团队提供数据安全风险评估服务的核心交付物，汇总了整个评估过程中的主要结论，清晰直观的展示给客户。与此同时，过程中输出的《数据分类分级指南》、《重要数据保护目录》、《数据处理活动风险评估表》、《数据安全管理调研评估表》等输出材料，也会一并交付给客户，方便随时查阅详情。