隨著《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護法》等一系列數(shù)據(jù)相關(guān)的法律法規(guī)頒布施行,國家對數(shù)據(jù)安全的重視程度空前,監(jiān)管也愈加嚴(yán)格。這極大的促進了數(shù)據(jù)安全行業(yè)的發(fā)展,推動企業(yè)數(shù)據(jù)安全建設(shè)進入“快進模式”。但隨著安全建設(shè)的不斷深入,各種規(guī)劃、制度、要求的增多,在進入安全運營階段后,可能會出現(xiàn)制度未落地、要求未執(zhí)行到位的情況,這時候合規(guī)檢查的存在就顯得尤為重要。
合規(guī)檢查是指從安全合規(guī)的角度出發(fā),通過某些方法和手段,發(fā)現(xiàn)企業(yè)數(shù)據(jù)安全中一些需要優(yōu)化及改正的地方,從而推動整個安全體系的建設(shè)與運營。
數(shù)據(jù)合規(guī)檢查分為專項檢查與日常檢查兩種類型。其中,專項檢查一般會是針對某個具體方面,覆蓋整個企業(yè)的檢查工作,涉及范圍廣,但內(nèi)容具有針對性,例如終端安全檢查,需要對企業(yè)所有終端進行檢查;日常檢查是對日常操作進行檢查或領(lǐng)導(dǎo)臨時安排的檢查工作,這是針對某個系統(tǒng)或應(yīng)用開展的,涉及的內(nèi)容會比較廣,但范圍不大。
01
現(xiàn)狀調(diào)研
企業(yè)在進行數(shù)據(jù)安全合規(guī)檢查之前,首先要進行充分的現(xiàn)狀調(diào)研,梳理企業(yè)的基本信息、數(shù)據(jù)情況、整體制度和安全防護情況。如果現(xiàn)狀不明確,可能會導(dǎo)致數(shù)據(jù)安全合規(guī)檢查工作沒有頭緒,無法開展。因此,明朝萬達數(shù)據(jù)安全專家強調(diào)要在數(shù)據(jù)安全合規(guī)檢查工作開始前進行現(xiàn)狀調(diào)研,明確合規(guī)檢查的范圍、對象,并將整理結(jié)果匯總至相關(guān)責(zé)任人。調(diào)研方向如下:
1、梳理企業(yè)基本信息,了解企業(yè)的主要業(yè)務(wù)范圍、業(yè)務(wù)規(guī)模,分析企業(yè)對于國家、社會、人民生命財產(chǎn)的重要性,了解企業(yè)是否建立數(shù)據(jù)安全管理制度和組織機構(gòu)。
2、梳理企業(yè)數(shù)據(jù)基本信息,了解企業(yè)數(shù)據(jù)的類別、重要程度、規(guī)模、分布位置、流動路徑、責(zé)任人,承載數(shù)據(jù)的系統(tǒng)情況及其網(wǎng)絡(luò)拓?fù)洹⑦\營維護等情況。
3、梳理企業(yè)數(shù)據(jù)安全防護情況,了解企業(yè)的數(shù)據(jù)安全管理機制建設(shè)情況,初步掌握企業(yè)已部署的數(shù)據(jù)安全防護系統(tǒng)及采取的防護措施。
02
確定內(nèi)容
數(shù)據(jù)安全合規(guī)檢查可以按內(nèi)容分為管理檢查項和技術(shù)檢查項。也可以按照檢查方式分為人工檢查和工具檢查。還可以根據(jù)數(shù)據(jù)級別分為數(shù)據(jù)安全通用防護和數(shù)據(jù)安全分級防護,為不同的數(shù)據(jù)對象確定不同的檢查內(nèi)容。
1、人工檢查:安全管理制度、組織機構(gòu)、人員保障、權(quán)限管理、供應(yīng)鏈數(shù)據(jù)安全管理、系統(tǒng)與設(shè)備安全管理、研發(fā)運維管理、安全評估記錄、日志留存與審計、檢測預(yù)警管理、信息共享管理、應(yīng)急處置管理。
2、工具檢查:數(shù)據(jù)收集安全、數(shù)據(jù)存儲安全、數(shù)據(jù)使用安全、數(shù)據(jù)傳輸安全、數(shù)據(jù)提供安全、數(shù)據(jù)公開安全、數(shù)據(jù)銷毀安全、數(shù)據(jù)出境安全、數(shù)據(jù)轉(zhuǎn)移安全、研發(fā)運維安全。
03
合規(guī)檢查
企業(yè)在明確了檢查內(nèi)容后,應(yīng)迅速成立檢查小組,按既定的檢查計劃,針對不同的檢查項進行數(shù)據(jù)安全合規(guī)檢查。
對于管理制度和臺賬文檔清單可以人工進行檢查,但針對數(shù)據(jù)生命周期中的數(shù)據(jù)資產(chǎn)清單、敏感數(shù)據(jù)識別、異常行為監(jiān)測、敏感數(shù)據(jù)泄露、非法越權(quán)訪問、數(shù)據(jù)跨境傳輸、數(shù)據(jù)非法外聯(lián)等人工難以檢查的內(nèi)容則應(yīng)該采用專用工具,通過流量掃描技術(shù)、敏感數(shù)據(jù)識別技術(shù)、API接口脆弱性分析技術(shù)和終端安全檢查技術(shù)進行檢查,減少人工檢查工作量的同時也可以量化檢查。對于大部分?jǐn)?shù)據(jù)生命周期技術(shù)檢查項,可以使用開源工具進行掃描、收集和分析數(shù)據(jù)安全情況。針對少部分無法用開源工具檢查的項目,也可以用合規(guī)檢查安全U盤等其他專用工具進行專項檢查。
產(chǎn)品優(yōu)勢
1、支持windows7、windows10、winSever、統(tǒng)信uos、麒麟uos等主流終端環(huán)境;
2、支持office文件、wps文件、壓縮文件、代碼文件等主流文件格式內(nèi)容掃描;
3、基于行業(yè)數(shù)據(jù)分類分級,預(yù)置大量檢查規(guī)則;
4、支持合規(guī)檢查結(jié)果統(tǒng)計匯總。
04
總結(jié)提升
數(shù)據(jù)安全合規(guī)檢查不是結(jié)束,而是一個開始。在數(shù)據(jù)安全合規(guī)檢查后,應(yīng)基于對國家法律法規(guī)、行業(yè)標(biāo)準(zhǔn)、技術(shù)的研究,基于企業(yè)安全現(xiàn)狀,梳理出數(shù)據(jù)安全的管理需要遵循安全政策,建立科學(xué)的數(shù)據(jù)安全保護制度,解決公司實際存在的安全問題,增強抗擊數(shù)據(jù)安全威脅的能力。結(jié)合業(yè)務(wù)發(fā)展規(guī)劃、數(shù)據(jù)安全現(xiàn)狀和數(shù)據(jù)安全合規(guī)檢查情況,編制數(shù)據(jù)安全能力提升規(guī)劃,為數(shù)字化轉(zhuǎn)型和業(yè)務(wù)發(fā)展、數(shù)據(jù)安全建設(shè)提供決策依據(jù)。
專家總結(jié)
明朝萬達數(shù)據(jù)安全專家提醒,針對行業(yè)特定的數(shù)據(jù)安全重點問題,使用人工加自動化工具方式開展數(shù)據(jù)安全合規(guī)檢查,能夠有效發(fā)現(xiàn)數(shù)據(jù)安全問題,并通過對相關(guān)的問題進行專業(yè)分析,為數(shù)據(jù)安全整體提升起著至關(guān)重要的作用。
基于“動態(tài)數(shù)據(jù)安全,數(shù)據(jù)全生命周期管控”的產(chǎn)品理念,明朝萬達始終以守護用戶數(shù)據(jù)價值為己任,致力于讓安全真正服務(wù)于業(yè)務(wù)發(fā)展。在大數(shù)據(jù)、云計算等新技術(shù)應(yīng)用背景下,明朝萬達以數(shù)據(jù)安全為核心、自主可控的國密算法應(yīng)用技術(shù)為基礎(chǔ),研發(fā)的Chinasec(安元)數(shù)據(jù)安全系列產(chǎn)品及解決方案,覆蓋數(shù)據(jù)產(chǎn)生、存儲、交換、使用等全生命周期重要環(huán)節(jié),實現(xiàn)對服務(wù)器、數(shù)據(jù)庫、PC終端、移動終端以及網(wǎng)絡(luò)通信的全IT架構(gòu)下數(shù)據(jù)安全的協(xié)同聯(lián)動管理,打造企業(yè)級的數(shù)據(jù)安全防護體系。
