更多
當(dāng)前,數(shù)據(jù)已成為新的生產(chǎn)要素推動著整個社會的進(jìn)步,隨著數(shù)字政府建設(shè)的持續(xù)推進(jìn),大量政務(wù)數(shù)據(jù)匯集、流通、發(fā)揮價值的同時也潛藏著安全風(fēng)險,如何精準(zhǔn)識別基于數(shù)據(jù)自身的風(fēng)險,確保數(shù)據(jù)安全高效流動,成為了數(shù)字政府?dāng)?shù)據(jù)安全治理與防護(hù)的前提條件。
國家互聯(lián)網(wǎng)信息辦公室發(fā)布的《數(shù)字中國發(fā)展報告(2022年)》中指出,2023年需要繼續(xù)夯實(shí)數(shù)字中國建設(shè)基礎(chǔ),暢通數(shù)據(jù)資源大循環(huán),健全國家數(shù)據(jù)管理體制機(jī)制,加快構(gòu)建數(shù)據(jù)基礎(chǔ)制度體系,推動公共數(shù)據(jù)匯聚利用,釋放商業(yè)數(shù)據(jù)價值潛能。福建某廳級單位認(rèn)真落實(shí)網(wǎng)信辦對于2023年數(shù)字中國建設(shè)的要求,積極主動開展數(shù)據(jù)安全風(fēng)險評估工作,及時發(fā)現(xiàn)本單位數(shù)據(jù)安全隱患,防范數(shù)據(jù)安全風(fēng)險。
昂楷科技收到該廳級單位數(shù)據(jù)安全風(fēng)險自查的需求,設(shè)定數(shù)據(jù)安全管理、數(shù)據(jù)處理活動、數(shù)據(jù)安全技術(shù)、個人信息保護(hù)等若干關(guān)鍵指標(biāo),為該廳級單位進(jìn)行為期10天的“號脈診斷”,并根據(jù)自查結(jié)果提交數(shù)據(jù)安全風(fēng)險自查報告。
此次數(shù)據(jù)安全“體檢”行動主要通過現(xiàn)場訪談、問卷調(diào)查、數(shù)據(jù)安全檢查工具箱掃描等方式,從組織建設(shè)、人員能力、制度流程、工具技術(shù)四個維度進(jìn)行檢查,完成數(shù)據(jù)安全“體檢”共計221項(xiàng)內(nèi)容。
準(zhǔn)備階段:確認(rèn)評估對象、整理調(diào)研所需文檔材料,成立數(shù)據(jù)安全風(fēng)險自查評估小組;
實(shí)施階段:依據(jù)《評估指引》從組織、制度、技術(shù)等方面進(jìn)行訪談、調(diào)研,利用數(shù)據(jù)安全檢查工具箱對核心業(yè)務(wù)系統(tǒng)開展資產(chǎn)梳理、分類分級梳理和漏洞掃描,助力該單位建立數(shù)據(jù)資產(chǎn)臺賬、分類分級臺賬,及時對漏洞進(jìn)行發(fā)現(xiàn)和整改;
確認(rèn)階段:與風(fēng)險自查評估小組確認(rèn)評估項(xiàng)評估情況;
報告階段:結(jié)合評估情況依據(jù)風(fēng)險評估自查要求形成“體檢”報告,并進(jìn)行多輪內(nèi)部評審;
匯報階段:根據(jù)數(shù)據(jù)安全“體檢”報告與風(fēng)險自查評估小組進(jìn)行匯報。
根據(jù)檢查,我們發(fā)現(xiàn)該單位存在以下安全風(fēng)險問題:
1、制度缺失:通過對數(shù)據(jù)安全制度進(jìn)行核對,發(fā)現(xiàn)該單位在數(shù)據(jù)安全管理規(guī)范、數(shù)據(jù)安全風(fēng)險評估辦法、數(shù)據(jù)安全總體管理方針與策略等制度流程上存在缺失,沒有一套完善的數(shù)據(jù)安全制度流程用以指導(dǎo)數(shù)據(jù)全生命周期的重點(diǎn)防護(hù)工作;
3、權(quán)限管理強(qiáng)度不夠:未加強(qiáng)數(shù)據(jù)訪問權(quán)限管理;未建立合理的賬號操作審批及操作流程,規(guī)范重大數(shù)據(jù)操作行為;也沒有通過技術(shù)手段對未經(jīng)允許的操作行為進(jìn)行審計及阻斷;
根據(jù)以上問題,昂楷提出了以下建議:
1、建議結(jié)合該單位自身使用場景,健全數(shù)據(jù)安全管理制度體系,包括但不限于數(shù)據(jù)分類分級、數(shù)據(jù)訪問權(quán)限管理、數(shù)據(jù)安全人員管理、數(shù)據(jù)合作方管理、數(shù)據(jù)安全應(yīng)急響應(yīng)、數(shù)據(jù)安全風(fēng)險評估、數(shù)據(jù)安全教育培訓(xùn)等,涵蓋數(shù)據(jù)生命周期安全管理;
3、加強(qiáng)數(shù)據(jù)訪問權(quán)限管理,建立合理的賬號操作審批及操作流程,規(guī)范重大數(shù)據(jù)操作行為,明確審批授權(quán)和操作監(jiān)督機(jī)制,通過制度加技術(shù)手段對未經(jīng)允許的操作行為進(jìn)行審計及阻斷;
4、部署相對應(yīng)的數(shù)據(jù)安全產(chǎn)品,加強(qiáng)數(shù)據(jù)安全技術(shù)人才的培養(yǎng)和技術(shù)能力的提升培訓(xùn),確保全數(shù)據(jù)形態(tài)、全生命周期、全流通環(huán)節(jié)的數(shù)據(jù)安全;
數(shù)據(jù)安全風(fēng)險評估服務(wù),是結(jié)合《評估指引》和法律法規(guī)要求開展的數(shù)據(jù)安全摸底服務(wù),針對該單位的特性、需求及安全現(xiàn)狀進(jìn)行檢查,從數(shù)據(jù)安全組織架構(gòu)、管理制度、技術(shù)工具及安全風(fēng)險等方面著手,全面剖析該廳級單位的安全現(xiàn)狀,結(jié)合“癥狀”,提出針對性的建議,對客戶的數(shù)據(jù)安全防護(hù)而言有著極高的價值。
全面性:從組織架構(gòu)、管理制度、技術(shù)工具、管理以及數(shù)據(jù)安全風(fēng)險等維度全面梳理該廳級單位的數(shù)據(jù)安全現(xiàn)狀,及時發(fā)現(xiàn)存在的不足;
合規(guī)性:對數(shù)據(jù)安全風(fēng)險自查開展評估,掌握單位自身數(shù)據(jù)安全目前存在的風(fēng)險并及時整改,既是為提升數(shù)據(jù)安全風(fēng)險防范做準(zhǔn)備,也是滿足上級監(jiān)管部門及《數(shù)據(jù)安全法》等法律的合規(guī)要求。
及時性:主動發(fā)現(xiàn)單位自身的安全風(fēng)險,變被動安全為主動安全,有效發(fā)現(xiàn)系統(tǒng)數(shù)據(jù)庫新的安全漏洞、配置隱患、分析當(dāng)前階段存在的安全風(fēng)險,方便及時預(yù)警做出改進(jìn)動作;
穩(wěn)定性:數(shù)據(jù)是流動的,數(shù)據(jù)安全也是動態(tài)的,需要周期性檢查,確保系統(tǒng)的安全、持續(xù)、穩(wěn)定運(yùn)行。
昂楷科技秉承“讓人們放心享受大數(shù)據(jù)”的使命,憑借過硬的專業(yè)實(shí)力,通過數(shù)據(jù)安全風(fēng)險自查評估,發(fā)現(xiàn)數(shù)據(jù)資產(chǎn)存在的安全隱患,并提出“治療”方案,為下一步開展數(shù)據(jù)安全體系建設(shè)提供依據(jù),為確立數(shù)據(jù)安全策略和制定數(shù)據(jù)安全規(guī)劃提供決策建議,為筑牢該單位數(shù)據(jù)安全屏障提供有力保障。
題-4.jpg)
