中文
《數(shù)據(jù)安全法》提出:“重要數(shù)據(jù)處理者應對其數(shù)據(jù)處理活動定期開展風險評估,并向有關主管部門報送風險評估報告。
隨著一系列數(shù)據(jù)安全相關法規(guī)的陸續(xù)出臺,國家對于數(shù)據(jù)安全的合規(guī)監(jiān)管日漸趨嚴,重要數(shù)據(jù)泄露,個人信息收集、處理不當?shù)仁录坏┌l(fā)生,組織將面臨監(jiān)管重罰,因此開展數(shù)據(jù)安全檢查評估工作勢在必行。
目前數(shù)據(jù)安全檢查評估可以分為“合規(guī)評估”和“風險評估”兩大類。
● “風險評估”以主動發(fā)現(xiàn)潛在的安全風險為目標,對組織的數(shù)據(jù)安全風險進行評估,識別可能存在的安全隱患和漏洞,并根據(jù)風險程度制定相應的風險控制策略。
在開展評估工作的過程中,評估數(shù)據(jù)安全能力的成本取決于多種因素,包括評估范圍、復雜度、所需資源和技術等。為了降低評估成本,通常需要先制定合理的評估計劃和范圍、再利用專業(yè)化的檢查評估工具等措施,定期進行數(shù)據(jù)安全能力評估,并采取相應的維護措施,確保數(shù)據(jù)安全能力的持續(xù)提高。
當前數(shù)據(jù)安全產(chǎn)品工具種類多樣,主要分為掃描類、流量分析類、自動化評估類三種,如何選取合適的評估檢測工具同樣是組織實施數(shù)據(jù)安全風險評估面臨的重要問題。
主要負責提供針對數(shù)據(jù)、風險源等風險要素的掃描服務,為數(shù)據(jù)安全風險評估提供要素識別的功能,具體包括資產(chǎn)掃描類、數(shù)據(jù)識別類、漏洞檢測類工具等。
主要負責提供對數(shù)據(jù)處理活動的識別與監(jiān)測能力,用于關聯(lián)應用、數(shù)據(jù)庫、人員的敏感數(shù)據(jù)操作,分析潛在的風險行為,具體包括應用層流量分析、全流量分析等數(shù)據(jù)風險監(jiān)測類工具。
主要負責自動化評估流程管理、評估對象的信息填報、證明文件的上傳和查閱、評估結果的生成及報告的輸出等,具體包括合規(guī)檢測工具、在線評估系統(tǒng)等。
在數(shù)據(jù)安全檢查評估的實踐中,由于檢查的項目過多,需要通過多種設備來完成全部檢查,操作繁瑣;大量的檢查工作需要通過人工進行,效率較低;且檢查完成后,需要匯總多個設備及人工的檢查結果,報告合成費時費力。
隨著工具的平臺化、一體化趨勢日益明顯,上述的三類工具在數(shù)據(jù)安全風險評估中提供的能力在一些集成型產(chǎn)品中得以集合。
昂楷數(shù)據(jù)安全檢查工具箱,結合了國家、行業(yè)關于數(shù)據(jù)安全檢查評估法律法規(guī)的要求,兼顧數(shù)據(jù)安全合規(guī)和風險識別兩大檢查評估需求,能夠從數(shù)據(jù)資產(chǎn)梳理、賬號風險、安全漏洞、接口風險等多個維度幫助組織進行數(shù)據(jù)安全檢測并輸出檢查評估報告,對風險評估的結果進行分析和總結,確定數(shù)據(jù)安全面臨的主要威脅和脆弱性,以及需要采取的相應措施。
