【安华金和】运营商数据安全合规评估服务
作者: 发布时间:2022-02-17

概述



运营商数据安全合规评估服务基于《网络安全法》、《电信和互联网数据安全评估规范》以及《2021年省级基础电信企业网络与信息安全工作考核要点与评分标准》的要求,并结合安华金和在数据安全丰富评估经验和项目沉淀,从基础性评估、数据生命周期评估和技术能力评估三方面出发,提升电信企业数据安全能力水平。


01.jpeg

数据安全合规性评估服务


评估方法



数据库扫描:对数据库用户权限、弱口令、低安全策略、缺省配置、高危程序等进行扫描。



文档审阅:收集、审阅有关数据安全管理制度、数据安全技术规范、运行和维护等文档。



现场检查:评估人员通过实际操作方式测试数据安全现状。



综合分析:评估人员分析和整理通过上述评估过程所收集的各项信息,并与相关人员核实、确认。



评估报告:根据分析结果,评估人员撰写、提交评估报告,确认评估结果。



评估要点



基础性评估要点



选取10个通用的数据安全管理内容作为评估项目:机构人员、制度保障、分类分级、权限管理、日志留存、安全审计、应急响应、投诉处理、教育培训、合作方管理。



数据生命周期评估要点



从数据安全属性及用户权益出发,选取数据生命周期的六个过程作为评估项目:采集、传输、存储、使用、共享、销毁。



采集源合规和个人信息授权。传输场景数据出境业务。数据存储安全要求日志审计备份规程。数据使用规则和个人信息使用。对外共享规范、合作方协议和个人信息共享。



数据能力评估要点



重点围绕数据识别、安全审计、防泄露、接口安全管理、个人信息保护等5个方面开展评估。



评估赋值



将评估要点逐一拆解可得到评估矩阵细则:检查要点、检查对象、检查方法、判别条件、评估方法。



控制水平赋值:


02.jpeg

数据安全合规性评估-评估矩阵,包括:分类分级的检查项目、检查要点、检查方法、判断条件、准备条件、评估方法、评估结果,具体内容请咨询安华金和。


数据安全合规性评估-雷达图等。



政策参考



《网络安全法》



第三十八条 关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。



《数据安全法》



第十六条 国家促进数据安全检测评估、认证等服务的发展,支持数据检测评估、认证等专业机构依法开展服务活动。



第二十八条 重要数据的处理者应当按照规定对其数据活动定期开展风险评估,并向有关主管部门报送风险评估报告。



风险评估报告应当包括本组织掌握的重要数据的种类、数量,收集、存储、加工、使用数据的情况,面临的数据安全风险及其应对措施等。



工信厅网安函【2020】103



《电信和互联网行业网络数据安全管理工作的通知》



六大方面,十四点要求



1、持续深化行业网络数据安全专项治理。2、全面开展网络数据安全合规性评估。3、加强行业重要数据和新领域网络数据安全管理。4、加快推进网络数据安全制度标准建设。5、大力提升网络数据安全技术保障能力。6、强化社会监督与宣传培训。



总体交付物



数据安全合规性评估报告:合规性基本信息(评估目标、评估依据、评估方法、评估范围)、数据安全现状问题分析(数据库漏洞、配置缺陷、弱口令、账号权限等分析)、基础性安全管理评估(控制水平指标、差距雷达图)、生命周期安全管理评估(控制水平指标、差距雷达图)、技术能力评估(控制水平指标、差距雷达图)、数据安全整改建议(合规要求、管理、流程、技术工具防护建议等)。



结语



运营商数据安全合规性评估服务为电信和互联网网络数据安全治理提供落地技术支撑,帮助电信企业推进数据安全制度标准建设,明确数据分类分级、风险评估、安全认证、应急响应等关键制度规范要求,有效避免个人信息泄露的违法行为。