数据安全轻咨询解决方案
以《网络安全法》《数据安全法》《个人信息保护法》和《网络数据安全管理条例》为核心的数据安全领域“3+1”基础性法律框架已形成,保证数据安全实践有法可依,将数据安全保护提升至国家层面的新高度。
随着数字化转型的发展,国家战略将数据作为新型的生产要素,旨在培育高质量发展的数字经济时代,在数据红利的新动能下,国家推动颁布了《数据安全法》和《个人信息保护法》,通过完善适用于两法为核心的数据安全建设思路成为数字化转型的关键,在企业数字化转型过程中开展数据安全工作存在三大难点,第一是数据安全需求不清晰、第二是数据安全权责不明确、第三是数据安全产品碎片化。以上三点是数据安全工作不知道怎么开展的核心原因。
数字化转型中数据安全合规及风险管控面临的挑战
国际咨询机构Gartner-DSG框架,为开展数据安全治理工作提供了指导框架
Gartner认为组织内的各个层级之间需要对数据安全治理的目标和宗旨取得共识,确保采取合理和适当的措施,以最有效的方式保护信息资源。
第一步:平衡业务需求与风险(经营战略/治理/合规要求/IT战略/风险容忍度)
第二步:识别、优先级和管理数据的生存周期
第三步:定义数据安全策略
第四步:实施安全产品
第五步:编排所有产品的策略
思路:采用轻咨询服务先行模式来解决用户不知道问题在哪里?解决方案不知道怎么设计的矛盾?在落地层面采用,服务+工具的模式,整合数据安全能力,解决客户具体问题如合规迎检,数据防泄漏等具体问题。
整体数据安全轻咨询服务分为三层:
第一层:咨询/评估层—解决用户无思路,对数据安全整体框架、潜在风险和威胁、法规政策理解、行业最佳实践等问题,通过咨询顾问引导梳理;
第二层:服务层—对当前能力进行判断梳理,有效发挥当前工作流程、管控策略、日常服务、关键技术(水印、加密、脱敏等)等问题;
第三层:工具层—解决场景中对工具的需求,基于数据生命周期和数据安全成熟度模型,规划三年建设规划蓝图,利旧当前安全工具能力,最终达成数据安全建设目标,支撑数字化目标,量化数据安全指标。
针对不同需求和建设阶段,按照一个框架 + 二个体系 + 一个保障作为方针基础,调研确定数据安全管理框架,分布建设数据安全管理体系和数据安全技术体系,完善数据安全运营保障机制。
通过数据梳理工具梳理全网数据资产清单、数据字典、敏感数据,形成知识库;对标行业标准,协助制定适合用户的数据分类分级标准;结合分类分级标准对全网数据资产自动进行类别、级别的识别,形成全网数据的分类分级清单,达到高效率、高准确度的数据资产分类分级。
针对实施阶段工作输出各小阶段的材料。注意本材料为实施过程的输出材料记录,用以指导实施过程并为后续项目报告的输出提供基础材料,不是交付给客户的内容。
序号 | 阶段 | 输出材料 |
1 | 平台部署 | 《数据分类分级平台使用指南》 |
2 | 分类分级指南制定 | 《数据分类分级指引》 |
3 | 数据保护目录输出 | 《重要数据保护目录》、《个人信息保护目录》、《数据分类分级清单目录》 |
4 | 数据分布视图输出 | 《重要及个人数据分布视图》 |
在数据安全“有法可依、有法必依”的新时代、新阶段,如何开展专业化、体系化、可落地、可持续的数据安全治理工作,是推进数据开发利用与数据安全防护“一体两翼、融合发展”的核心抓手。近年来,多数组织以围绕数据建业务、保障数据促运营为建设思路,以技术为抓手,以解决短期目标问题(外部合规要求、内部安全需求)为基本原则,进行数据安全建设,虽然有一定成效解决了一些数据安全问题,但是在此过程中,逐步暴露出安全建设不具备持续性、安全规划不具备针对性、整体能力不具备量化性等问题。基于上述原因,数据安全风险评估服务应运而生。
数据安全风险评估服务以管理、技术、人员为切入点,利用人员访谈、系统查看、文档查阅、技术工具检测等多种方式,帮助组织清晰了解当前安全现状及未来强化方向,持续性助力组织建设立体化、完整化、迭代化的数据安全保障体系。通过建设数据安全检测评估体系,从业务侧,加强组织数据机密性、完整性和可用性,保障业务有序进行;从管理侧,更加清晰了解当前安全现状、国内外发展对标情况及国家相关安全要求满足情况,为下一步整体安全建设规划提供有力帮助;从监管侧,建立持续性检测评估及内容迭代完善机制,形成与国家要求、行业发展的“能力通道”,持续提升数据安全保障能力,减少异常事件发生概率,增加安全防护壁垒。
服务必要性
应对合规性需要。《数据安全法》、《个人信息保护法》等多部法律法规明确要求开展数据安全风险评估工作。
应对监管检查需要。相关的地方、行业主管或监管单位会对企业是否按照有关法律法规开展数据安全工作进行检查,其中数据安全风险评估是重要检查项目。
数据安全建设需要。企业要开展数据安全建设工作,最优的方案是首先开展数据安全风险评估工作,只有识别出具体风险以后才能有的放矢,事半功倍。
效率和质量需要。数据安全风险评估对专业性要求极高同时又是繁琐复杂的工作,为提供效率和质量,企业最优的方案是引入专业安全公司的数据安全风险评估服务。
服务收益
通过实施数据安全风险评估服务,用户可获得如下收益:
掌握数据分类分级指引
安全专家会依据相关法律法规标准,结合最佳实践和客户实际情况而给出针对用户定制的数据安全分类指引。客户获得指引后可以自行持续开展分类分级以及数据安全建设等相关的工作。
掌握重要数据和个人信息保护目录
安全专家将依据上述制定的《xxx公司数据分类分级指引》针对待评估的系统进行数据梳理工作,最终形成《重要数据保护目录》和《个人信息保护目录》,每类目录中均将标识清晰数据的位置、类型、级别等。该目录的形成为客户后续持续进行数据安全建设、防护、治理打下重要基础。
掌握企业数据安全风险现状
通过风险评估工作,企业将清晰的掌握公司内部的数据安全风险现状,包括但不限于管理制度、组织架构、法律合规、数据处理、平台脆弱性等多维度的安全风险,同时还能获悉分阶段的整改措施和整体的解决方案。
大幅降低被监管单位通报风险
通过风险识别和整改,企业能最大限度的规避数据安全的法律法规风险,降低企业被监管单位通报和处罚的可能性,这对公司声誉影响也起到兜底保护作用。
积累数据安全建设经验
企业内部人员对于数据安全这种全新领域大多理解比较初级,急需要通过服务项目(而非单纯的某个数据安全产品)来提高自身的数据安全能力,而数据安全风险评估服务则是最优的选择。
结合组织的数据安全策略规划、当前实际数据安全能力建设情况,从数据管理体系、制度流程、技术工具、人员能力等多个维度进行差距分析,形成差距分析报告,以及数据安全建设建议。
案例包括金融、能源、医疗、教育等,具体请来电咨询400-1100-561
