在《网络安全法》等相关法律法规基础之上,为强化我国个人信息和重要数据的保护能力,我国陆续出台了多项数据和隐私保护法规和政策,其中《数据安全管理办法(征求意见稿)》(以下简称“数据安全管理办法”)第二条与第六条中明确要求企业应当参照上述标准及其它配套标准履行企业数据安全保护义务。
此外网络安全形势严峻,运营商企业作为国家关键信息基础设施运营单位,需要完善网络安全保障能力,为国家和民众提供安全的互联网环境。网络攻击的目标往往是业务资产和数据资产,因此,做好业务资产和数据资产的梳理与保护是网络安全管理的重要一环。数据安全建设应当首先进行数据安全合规评估,确保企业数据安全建设符合国家及主管机构的要求。通过人工服务结合工具检查的方式对网内业务资产和敏感数据进行发现和检测,排除安全死角,落实数据分类分级与安全管控并对敏感数据进行重点保护,完善数据安全管理制度,提升数据安全防护水平。
一、数据安全合规评估的必要性
2019年5月发布的《数据安全管理办法》(征求意见稿)中的第六条明确指出网络运营者应当按照国家法律法规要求,参照国家网络安全标准,履行数据安全保护义务,开展数据安全风险评估。
工信厅【2019】42号文《电信和互联网行业提升网络数据安全保护能力专项行动方案》中将开展网络数据安全风险评估被列为“电信和互联网行业提升网络数据安全保护能力”专项行动的第二大任务。其中“重点工作03”与“重点工作05”要求电信企业与互联网企业进行数据安全合规性自评估并接受主管单位的持续性考核检查,合规性评估落实情况将纳入基础电信企业网络与信息安全考核检查。
中国信息通信研究院(以下简称“信通院”)编制的《电信网和互联网数据安全评估规范》(征求意见稿)中指出,电信运营商企业应在业务运营阶段数据承载环境发生变化时、开展数据重要操作前、主管机构要求下以及其它法律法规所要求的情况下开展数据安全评估。
另外已发布的包括《GB/T 35273-2020个人信息安全规范》、《GB/T 35272-2017大数据服务安全能力要求》、《GB∕T34978-2017移动智能终端个人信息保护技术要求》、《GB/T 37988-2019数据安全能力成熟度模型》等的国家标准则对企业在个人信息保护、大数据平台建设及使用、以及移动APP数据保护技术要求等方面提出了细致要求与规范。
每一个企业都正在面临着来自于监管部门的数据安全合规要求,例如工信部与国资委发布的《2020年省级基础电信企业网络与信息安全工作考核要点与评分标准(征求意见稿)》中“网络与信息安全监管工作”的第一个考核指标便要求电信和互联网企业按照《2020年电信和互联网企业数据安全合规性评估要点》完成数据安全合规性评估工作,形成评估报告。针对2020年年内应组织落实的要点内容,及时完成风险问题整改。因此企业应当依据监管部门要求,以符合标准的方式进行数据安全合规评估工作。
二、评估范围
在评估工作开始实施之前,评估人员将依据合同内容,参考监管要求与企业实际情况对评估对象的范围进行界定,确定数据涉及的生命周期阶段,以及各阶段所涉及的应用、系统、平台范围。
数据安全合规评估对象一般以具有收集、使用用户个人信息功能的业务,涉及存储用户个人信息和核心网络数据的业务支撑系统为主。评估范围通常可界定为行业热点业务、业务支撑网运营管理系统、大数据分析系统等。
三、评估流程
数据安全合规评估服务服务流程包括:明确评估范围、制定评估计划、开展合规性评估、选取合规评估手段、数据安全风险分析、编制数据安全评估报告、评估交付、工具和材料支撑及组织配合。
四、客户收益
企业通过实施数据安全合规评估,可有效降低企业数据安全合规风险。
降低合规成本:企业在进行管理体系建设、安全规划、系统开发以及平台搭建等工作之前,引入数据安全合规评估可在设计规划阶段有效的发现企业面临的数据安全风险,在管理体系、业务系统与平台正式投入工作前,从设计层面对企业存在的数据安全风险进行控制,可有效降低数据安全风险的时间管理成本、控制措施落地成本以及法律费用。
规避监管处罚: 数据安全合规评估报告可作为主管机构检查时提供的有效证明,表明企业高度重视数据安全的建设,并已经依据主管机构要求对企业数据安全风险进行了评估,避免由于工作缺失导致的监管处罚。而当企业发生数据安全事件时,数据安全合规评估报告能够为作为分析安全事件产生原因的要素之一,并且能够向监管部门证明组织已经采取了妥善的措施试图阻止安全事件的发生。
保障数据共享:数据安全合规评估可以作为向合作方提供的数据安全能力凭证,证明企业达到开展数据开放共享业务的合规要求,同时也可通过查验合作方数据安全合规评估结果来确保合作方资质。
五、评估交付物
1.《数据安全合规评估报告》
可以作为数据安全符合性成果报告,可直接作为向监管部门提供的企业履行数据安全合规评估工作的证明,也可作为企业整改业务系统的指导依据。
2.《数据安全控制改进建议方案》
基于数据安全合规评估发现的安全问题,以及风险分析得出的数据安全风险矩阵,本服务可指导企业制定完善的数据安全防护方案,明确数据安全风险控制的优先顺序,精准有效地落实数据安全风险控制措施。
为了避免权属纠纷,特做如下说明:本站内容作品来自用户分享及互联网,仅供参考,无法核实真实出处,并不代表本网站赞同其观点和对其真实性负责,本网站仅提供信息存储空间服务,我们致力于保护作者版权,如果发现本站有涉嫌侵权的内容,欢迎发送邮件至youxuanhao@qq.com 举报,并提供相关证据,一经查实,本站将立刻删除涉嫌侵权内容。
