中文
當前,數據已成為新的生產要素推動著整個社會的進步,隨著數字政府建設的持續推進,大量政務數據匯集、流通、發揮價值的同時也潛藏著安全風險,如何精準識別基于數據自身的風險,確保數據安全高效流動,成為了數字政府數據安全治理與防護的前提條件。
國家互聯網信息辦公室發布的《數字中國發展報告(2022年)》中指出,2023年需要繼續夯實數字中國建設基礎,暢通數據資源大循環,健全國家數據管理體制機制,加快構建數據基礎制度體系,推動公共數據匯聚利用,釋放商業數據價值潛能。福建某廳級單位認真落實網信辦對于2023年數字中國建設的要求,積極主動開展數據安全風險評估工作,及時發現本單位數據安全隱患,防范數據安全風險。
昂楷科技收到該廳級單位數據安全風險自查的需求,設定數據安全管理、數據處理活動、數據安全技術、個人信息保護等若干關鍵指標,為該廳級單位進行為期10天的“號脈診斷”,并根據自查結果提交數據安全風險自查報告。
此次數據安全“體檢”行動主要通過現場訪談、問卷調查、數據安全檢查工具箱掃描等方式,從組織建設、人員能力、制度流程、工具技術四個維度進行檢查,完成數據安全“體檢”共計221項內容。
準備階段:確認評估對象、整理調研所需文檔材料,成立數據安全風險自查評估小組; 實施階段:依據《評估指引》從組織、制度、技術等方面進行訪談、調研,利用數據安全檢查工具箱對核心業務系統開展資產梳理、分類分級梳理和漏洞掃描,助力該單位建立數據資產臺賬、分類分級臺賬,及時對漏洞進行發現和整改; 確認階段:與風險自查評估小組確認評估項評估情況; 報告階段:結合評估情況依據風險評估自查要求形成“體檢”報告,并進行多輪內部評審; 匯報階段:根據數據安全“體檢”報告與風險自查評估小組進行匯報。
根據檢查,我們發現該單位存在以下安全風險問題:
1、制度缺失:通過對數據安全制度進行核對,發現該單位在數據安全管理規范、數據安全風險評估辦法、數據安全總體管理方針與策略等制度流程上存在缺失,沒有一套完善的數據安全制度流程用以指導數據全生命周期的重點防護工作;
3、權限管理強度不夠:未加強數據訪問權限管理;未建立合理的賬號操作審批及操作流程,規范重大數據操作行為;也沒有通過技術手段對未經允許的操作行為進行審計及阻斷;
根據以上問題,昂楷提出了以下建議:
1、建議結合該單位自身使用場景,健全數據安全管理制度體系,包括但不限于數據分類分級、數據訪問權限管理、數據安全人員管理、數據合作方管理、數據安全應急響應、數據安全風險評估、數據安全教育培訓等,涵蓋數據生命周期安全管理; 3、加強數據訪問權限管理,建立合理的賬號操作審批及操作流程,規范重大數據操作行為,明確審批授權和操作監督機制,通過制度加技術手段對未經允許的操作行為進行審計及阻斷; 4、部署相對應的數據安全產品,加強數據安全技術人才的培養和技術能力的提升培訓,確保全數據形態、全生命周期、全流通環節的數據安全;
數據安全風險評估服務,是結合《評估指引》和法律法規要求開展的數據安全摸底服務,針對該單位的特性、需求及安全現狀進行檢查,從數據安全組織架構、管理制度、技術工具及安全風險等方面著手,全面剖析該廳級單位的安全現狀,結合“癥狀”,提出針對性的建議,對客戶的數據安全防護而言有著極高的價值。
全面性:從組織架構、管理制度、技術工具、管理以及數據安全風險等維度全面梳理該廳級單位的數據安全現狀,及時發現存在的不足;
合規性:對數據安全風險自查開展評估,掌握單位自身數據安全目前存在的風險并及時整改,既是為提升數據安全風險防范做準備,也是滿足上級監管部門及《數據安全法》等法律的合規要求。
及時性:主動發現單位自身的安全風險,變被動安全為主動安全,有效發現系統數據庫新的安全漏洞、配置隱患、分析當前階段存在的安全風險,方便及時預警做出改進動作;
穩定性:數據是流動的,數據安全也是動態的,需要周期性檢查,確保系統的安全、持續、穩定運行。
昂楷科技秉承“讓人們放心享受大數據”的使命,憑借過硬的專業實力,通過數據安全風險自查評估,發現數據資產存在的安全隱患,并提出“治療”方案,為下一步開展數據安全體系建設提供依據,為確立數據安全策略和制定數據安全規劃提供決策建議,為筑牢該單位數據安全屏障提供有力保障。
