数据安全服务,数据安全体系建设的关键一环。通过数据安全服务解决数据安全建设难题,得到越来越多的重视。不久前,《工业和信息化部等十六部门关于促进数据安全产业发展的指导意见》发布,明确“壮大数据安全服务”,推进规划咨询与建设运维服务,积极发展检测、评估、认证服务。
数据安全服务市场正在步入快速发展的黄金期,各厂商纷纷布局,同时,数据安全服务品类也呈现出多样化趋势,包括:数据安全合规评估、数据安全规划咨询、数据分类分级、数据安全运维、人员培训与教育、数据安全应急响应与演练、数据安全防护能力评估等。
乱花渐欲迷人眼,对此,本文结合美创实践,详细介绍数据安全建设中常见的数据安全服务类型以及相关服务内容、流程,以供参考。
1
数据安全能力评估
概述:基于DSMM、DSG等国家、行业以及社会认可的普遍能力目标要求,综合评估组织的数据安全能力,明晰组织数据安全能力差距。
评估内容:从组织建设、制度流程、技术工具及人员能力四个能力维度,对应用系统数据安全现状进行安全评估,识别应用系统或业务条线的数据安全保护能力是否达到相应能力等级及发现数据安全风险,并输出差距评估相关报告材料。
评估流程:
参考依据:《信息安全技术 数据安全能力成熟度模型》、《数据安全治理能力评估方法》、《网络数据安全处理要求》等。
2
数据分类分级服务
概述:依据国家及行业数据安全分类分级相关标准要求,协助组织对数据资产进行识别、梳理、分类及分级,最终输出分类分级清单及管理规范要求。
服务流程:
成果交付物:在数据分类分级执行过程中,从项目启动到结束,除了前期调研、需求分析等基础软件建设步骤,咨询团队会对应提供《需求调研表》、《调研记录文档》、《资产扫描报告》、《调研结果报告》、《需求分析报告》外,还包括《数据资产清单》、《数据分类分级指南/规范》、《数据分类分级报告》
参考依据:《信息安全技术 个人信息安全规范》(GB/T35273-2020)、《信息安全技术 网络数据分类分级要求》(征求意见稿)、《信息安全技术 重要数据识别指南》(征求意见稿)以及行业、地方数据分类分级标准等。
3
数据安全治理咨询
概述:从数据资产梳理、安全现状调研、从合规性和数据全生命周期等视角,识别数据安全能力差距和安全风险,给予相关处置建议,并从管理、技术等多维度对客户业务的数据安全开展体系化规划设计,以应对业务数据安全建设和管理中的问题。
服务流程:
成果交付物:
《数据清单》
《数据权限现状清单》
《数据流向图》
《安全现状清单》
《安全扫描结果》
《DSMM安全评估结果》
《合规对标结果》
《数据安全管理制度》
《数据安全建设规划设计方案》
······
4
数据安全合规评估
概述:深度解读法律法规、监管办法等,协助组织充分了解合规义务、安全现状、合规风险及处置规划,旨在及早规避和关注可能存在的风险,包括综合合规评估、个人信息安全合规、数据跨境合规评估等。
评估流程:
成果交付物:汇编输出《数据安全合规评估报告书》,另附参考指南/标准清单&附件。具体报告内容包括不限于如下:
数据安全合规义务
信息采集内容
数据安全现状梳理
主要法律法规解读
数据安全合规差距分析
安全关注&风险分析
条文符合性评估结果
综合合规评估结果
合规加固建议
······
参考标准:基于《数据安全法》、《个人信息保护法》,联合其他数据安全相关办法规定、行业监管等文件,参考ISO37301:2021标准、Gartner DSG架构、PDCA方法等。
5
数据安全风险评估
概述:协助组织充分了解数据资产在各项数据处理活动中可能存在的各项风险情况,给予相关的风险处置措施。
评估流程:
成果交付物:《数据安全风险评估报告》作为最终的交付物,报告主要内容包括:
评估工具和方法
评估参考依据
被评估数据资产清单
被评估对象的数据威胁
被评估对象的数据脆弱性
评估情况记录
数据安全风险清单
数据安全风险分析过程
数据安全风险评估结果
风险处置措施
参考依据:《数据安全法》、《信息安全技术 数据安全能力成熟度模型》、《信息安全技术 数据安全风险评估方法》等国家标准、行业标准、地方标准对评估指标进行定制
评估收益:全面识别组织数据面临的各种风险,并据此采用适当安全处置措施。数据安全风险评估及其形成的记录文档,可用于证明组织已经主动评估风险并采取一定的安全保护措施,有助于减轻、甚至免除组织的相关责任和名誉损失。
6
个人信息安全风险评估
概述:旨在帮助组织有效分析在各项数据处理活动中的所存在个人信息、特别是个人敏感信息所可能存在的各项风险情况,同时结合对出现个人信息相关安全事件时所造成的影响进行分析的结果,给予相关的处置措施建议。
服务流程:
成果交付物:最终输出《个人信息安全风险评估报告书》,包括不限于:
个人信息保护专员的审批页面
评估报告适用范围
实施评估及撰写报告的人员信息
参考的法律、法规和标准
个人信息影响评估对象
评估内容及所涉及的相关方
个人权益影响分析结果
参考依据:《个人信息保护法》、《信息安全技术 个人信息安全规范》、《信息安全技术 个人信息安全影响评估指南》,结合组织所在行业的相关规定,如:医疗卫生行业《GB/T 39725-2020 信息安全技术 健康医疗数据安全指南》等。
7
数据出境安全评估
概述:依据《数据出境安全评估办法》、《数据出境安全评估申报指南》等,帮助组织深入理解和研究数据出境活动的限制和要求,厘清数据出境场景、出境数据范围、限制要求以及缓解措施,完成数据出境风险自评估,辅导客户申报数据出境安全评估。
服务流程:
成果交付物包括不限于:
数据出境安全风险评估
《数据出境调研结果清单》
《数据出境活动清单》
《数据出境流向图》
《数据安全风险评估报告》
《个人信息保护影响评估报告》
数据出境安全整改指导
《数据出境安全应急管理制度》
《数据出境安全应急演练方案》
《数据出境安全整改方案》
《数据出境安全建设指引》
《数据出境安全建设加固》
数据出境安全评估申报
《数据出境风险自评估报告》
《数据出境安全评估申报书》
·····
参考依据:《数据安全法》、《个人信息保护法》、《关键信息基础设施安全保护条例》、《网络安全审查办法》、《数据出境安全评估办法》、《数据出境安全评估申报指南(第一版)》、《信息安全技术 个人信息安全影响评估指南》、《信息安全技术 个人信息安全规范》、《信息安全技术 数据出境安全评估指南(征求意见稿)》、《信息安全技术 重要数据识别规则(征求意见稿)》、《个人信息出境标准合同办法》等。
8
数据安全检查服务
概述:通过深度解读和分析法律法规、监管办法等,提供数据安全检查内容、通过模板、工具等方式进行快速评估,作为开展符合性判定的参考意见。数据安全检查方式主要包括监管检查、企业自查。
检查流程:
检查内容:
常用检查工具:
漏洞扫描设备:漏洞扫描器
基线配置核查工具:基线配置核查系统
数据库权限核查工具
敏感数据扫描工具
DLP扫描工具
……
参考依据:《信息安全技术 网络安全等级保护基本要求》、《信息安全技术 数据安全能力成熟度模型》、《信息安全技术 信息安全风险评估规范》、《信息安全技术 个人信息安全规范》、《信息安全技术 个人信息安全影响评估指南》
成果交付物:在制定检查内容时,提供数据安全检查清单,包括检查类别、检查项目、检查内容、检查方式及检查要点,根据要点判定出检查结果,最终形成《数据安全检查结果报告》等。
9
数据安全制度咨询
概述:根据组织实际管理要求,定制化输出数据安全相关制度、流程和规范文件,以满足客户安全管理要求及实质合规要求。
制度设计思路:
成果交付物:包括管理制度、技术制度、检查制度等,如《数据安全管理制度》、《数据采集与传输规范制度》、《数据安全人员管理制度》、《数据安全应急响应管理制度》、《数据安全检查制度》等。
结语
目前,提供数据安全服务的提供商百舸争流,即包括律师事务所、数据安全公司、也有网络安全公司及测评认证机构等,各有所长,如何选择数据安全服务提供商,用户需从数据安全服务经验、对行业业务场景的认知、安全服务团队构成、相关服务资质、自研产品工具支撑、量化的保障措施等进行综合考量。
