更多
當(dāng)前,數(shù)據(jù)已成為新的生產(chǎn)要素推動(dòng)著整個(gè)社會(huì)的進(jìn)步,隨著數(shù)字政府建設(shè)的持續(xù)推進(jìn),大量政務(wù)數(shù)據(jù)匯集、流通、發(fā)揮價(jià)值的同時(shí)也潛藏著安全風(fēng)險(xiǎn),如何精準(zhǔn)識(shí)別基于數(shù)據(jù)自身的風(fēng)險(xiǎn),確保數(shù)據(jù)安全高效流動(dòng),成為了數(shù)字政府?dāng)?shù)據(jù)安全治理與防護(hù)的前提條件。
國家互聯(lián)網(wǎng)信息辦公室發(fā)布的《數(shù)字中國發(fā)展報(bào)告(2022年)》中指出,2023年需要繼續(xù)夯實(shí)數(shù)字中國建設(shè)基礎(chǔ),暢通數(shù)據(jù)資源大循環(huán),健全國家數(shù)據(jù)管理體制機(jī)制,加快構(gòu)建數(shù)據(jù)基礎(chǔ)制度體系,推動(dòng)公共數(shù)據(jù)匯聚利用,釋放商業(yè)數(shù)據(jù)價(jià)值潛能。福建某廳級(jí)單位認(rèn)真落實(shí)網(wǎng)信辦對(duì)于2023年數(shù)字中國建設(shè)的要求,積極主動(dòng)開展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估工作,及時(shí)發(fā)現(xiàn)本單位數(shù)據(jù)安全隱患,防范數(shù)據(jù)安全風(fēng)險(xiǎn)。
昂楷科技收到該廳級(jí)單位數(shù)據(jù)安全風(fēng)險(xiǎn)自查的需求,設(shè)定數(shù)據(jù)安全管理、數(shù)據(jù)處理活動(dòng)、數(shù)據(jù)安全技術(shù)、個(gè)人信息保護(hù)等若干關(guān)鍵指標(biāo),為該廳級(jí)單位進(jìn)行為期10天的“號(hào)脈診斷”,并根據(jù)自查結(jié)果提交數(shù)據(jù)安全風(fēng)險(xiǎn)自查報(bào)告。
此次數(shù)據(jù)安全“體檢”行動(dòng)主要通過現(xiàn)場訪談、問卷調(diào)查、數(shù)據(jù)安全檢查工具箱掃描等方式,從組織建設(shè)、人員能力、制度流程、工具技術(shù)四個(gè)維度進(jìn)行檢查,完成數(shù)據(jù)安全“體檢”共計(jì)221項(xiàng)內(nèi)容。
準(zhǔn)備階段:確認(rèn)評(píng)估對(duì)象、整理調(diào)研所需文檔材料,成立數(shù)據(jù)安全風(fēng)險(xiǎn)自查評(píng)估小組;
實(shí)施階段:依據(jù)《評(píng)估指引》從組織、制度、技術(shù)等方面進(jìn)行訪談、調(diào)研,利用數(shù)據(jù)安全檢查工具箱對(duì)核心業(yè)務(wù)系統(tǒng)開展資產(chǎn)梳理、分類分級(jí)梳理和漏洞掃描,助力該單位建立數(shù)據(jù)資產(chǎn)臺(tái)賬、分類分級(jí)臺(tái)賬,及時(shí)對(duì)漏洞進(jìn)行發(fā)現(xiàn)和整改;
確認(rèn)階段:與風(fēng)險(xiǎn)自查評(píng)估小組確認(rèn)評(píng)估項(xiàng)評(píng)估情況;
報(bào)告階段:結(jié)合評(píng)估情況依據(jù)風(fēng)險(xiǎn)評(píng)估自查要求形成“體檢”報(bào)告,并進(jìn)行多輪內(nèi)部評(píng)審;
匯報(bào)階段:根據(jù)數(shù)據(jù)安全“體檢”報(bào)告與風(fēng)險(xiǎn)自查評(píng)估小組進(jìn)行匯報(bào)。
根據(jù)檢查,我們發(fā)現(xiàn)該單位存在以下安全風(fēng)險(xiǎn)問題:
1、制度缺失:通過對(duì)數(shù)據(jù)安全制度進(jìn)行核對(duì),發(fā)現(xiàn)該單位在數(shù)據(jù)安全管理規(guī)范、數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估辦法、數(shù)據(jù)安全總體管理方針與策略等制度流程上存在缺失,沒有一套完善的數(shù)據(jù)安全制度流程用以指導(dǎo)數(shù)據(jù)全生命周期的重點(diǎn)防護(hù)工作;
3、權(quán)限管理強(qiáng)度不夠:未加強(qiáng)數(shù)據(jù)訪問權(quán)限管理;未建立合理的賬號(hào)操作審批及操作流程,規(guī)范重大數(shù)據(jù)操作行為;也沒有通過技術(shù)手段對(duì)未經(jīng)允許的操作行為進(jìn)行審計(jì)及阻斷;
根據(jù)以上問題,昂楷提出了以下建議:
1、建議結(jié)合該單位自身使用場景,健全數(shù)據(jù)安全管理制度體系,包括但不限于數(shù)據(jù)分類分級(jí)、數(shù)據(jù)訪問權(quán)限管理、數(shù)據(jù)安全人員管理、數(shù)據(jù)合作方管理、數(shù)據(jù)安全應(yīng)急響應(yīng)、數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估、數(shù)據(jù)安全教育培訓(xùn)等,涵蓋數(shù)據(jù)生命周期安全管理;
3、加強(qiáng)數(shù)據(jù)訪問權(quán)限管理,建立合理的賬號(hào)操作審批及操作流程,規(guī)范重大數(shù)據(jù)操作行為,明確審批授權(quán)和操作監(jiān)督機(jī)制,通過制度加技術(shù)手段對(duì)未經(jīng)允許的操作行為進(jìn)行審計(jì)及阻斷;
4、部署相對(duì)應(yīng)的數(shù)據(jù)安全產(chǎn)品,加強(qiáng)數(shù)據(jù)安全技術(shù)人才的培養(yǎng)和技術(shù)能力的提升培訓(xùn),確保全數(shù)據(jù)形態(tài)、全生命周期、全流通環(huán)節(jié)的數(shù)據(jù)安全;
數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估服務(wù),是結(jié)合《評(píng)估指引》和法律法規(guī)要求開展的數(shù)據(jù)安全摸底服務(wù),針對(duì)該單位的特性、需求及安全現(xiàn)狀進(jìn)行檢查,從數(shù)據(jù)安全組織架構(gòu)、管理制度、技術(shù)工具及安全風(fēng)險(xiǎn)等方面著手,全面剖析該廳級(jí)單位的安全現(xiàn)狀,結(jié)合“癥狀”,提出針對(duì)性的建議,對(duì)客戶的數(shù)據(jù)安全防護(hù)而言有著極高的價(jià)值。
全面性:從組織架構(gòu)、管理制度、技術(shù)工具、管理以及數(shù)據(jù)安全風(fēng)險(xiǎn)等維度全面梳理該廳級(jí)單位的數(shù)據(jù)安全現(xiàn)狀,及時(shí)發(fā)現(xiàn)存在的不足;
合規(guī)性:對(duì)數(shù)據(jù)安全風(fēng)險(xiǎn)自查開展評(píng)估,掌握單位自身數(shù)據(jù)安全目前存在的風(fēng)險(xiǎn)并及時(shí)整改,既是為提升數(shù)據(jù)安全風(fēng)險(xiǎn)防范做準(zhǔn)備,也是滿足上級(jí)監(jiān)管部門及《數(shù)據(jù)安全法》等法律的合規(guī)要求。
及時(shí)性:主動(dòng)發(fā)現(xiàn)單位自身的安全風(fēng)險(xiǎn),變被動(dòng)安全為主動(dòng)安全,有效發(fā)現(xiàn)系統(tǒng)數(shù)據(jù)庫新的安全漏洞、配置隱患、分析當(dāng)前階段存在的安全風(fēng)險(xiǎn),方便及時(shí)預(yù)警做出改進(jìn)動(dòng)作;
穩(wěn)定性:數(shù)據(jù)是流動(dòng)的,數(shù)據(jù)安全也是動(dòng)態(tài)的,需要周期性檢查,確保系統(tǒng)的安全、持續(xù)、穩(wěn)定運(yùn)行。
昂楷科技秉承“讓人們放心享受大數(shù)據(jù)”的使命,憑借過硬的專業(yè)實(shí)力,通過數(shù)據(jù)安全風(fēng)險(xiǎn)自查評(píng)估,發(fā)現(xiàn)數(shù)據(jù)資產(chǎn)存在的安全隱患,并提出“治療”方案,為下一步開展數(shù)據(jù)安全體系建設(shè)提供依據(jù),為確立數(shù)據(jù)安全策略和制定數(shù)據(jù)安全規(guī)劃提供決策建議,為筑牢該單位數(shù)據(jù)安全屏障提供有力保障。
題-4.jpg)
