中文
《數據安全法》提出:“重要數據處理者應對其數據處理活動(dòng)定期開(kāi)展風(fēng)險評估,并向有關(guān)主管部門(mén)報送風(fēng)險評估報告。
隨著(zhù)一系列數據安全相關(guān)法規的陸續出臺,國家對于數據安全的合規監管日漸趨嚴,重要數據泄露,個(gè)人信息收集、處理不當等事件一旦發(fā)生,組織將面臨監管重罰,因此開(kāi)展數據安全檢查評估工作勢在必行。
目前數據安全檢查評估可以分為“合規評估”和“風(fēng)險評估”兩大類(lèi)。
● “風(fēng)險評估”以主動(dòng)發(fā)現潛在的安全風(fēng)險為目標,對組織的數據安全風(fēng)險進(jìn)行評估,識別可能存在的安全隱患和漏洞,并根據風(fēng)險程度制定相應的風(fēng)險控制策略。
在開(kāi)展評估工作的過(guò)程中,評估數據安全能力的成本取決于多種因素,包括評估范圍、復雜度、所需資源和技術(shù)等。為了降低評估成本,通常需要先制定合理的評估計劃和范圍、再利用專(zhuān)業(yè)化的檢查評估工具等措施,定期進(jìn)行數據安全能力評估,并采取相應的維護措施,確保數據安全能力的持續提高。
當前數據安全產(chǎn)品工具種類(lèi)多樣,主要分為掃描類(lèi)、流量分析類(lèi)、自動(dòng)化評估類(lèi)三種,如何選取合適的評估檢測工具同樣是組織實(shí)施數據安全風(fēng)險評估面臨的重要問(wèn)題。
主要負責提供針對數據、風(fēng)險源等風(fēng)險要素的掃描服務(wù),為數據安全風(fēng)險評估提供要素識別的功能,具體包括資產(chǎn)掃描類(lèi)、數據識別類(lèi)、漏洞檢測類(lèi)工具等。
主要負責提供對數據處理活動(dòng)的識別與監測能力,用于關(guān)聯(lián)應用、數據庫、人員的敏感數據操作,分析潛在的風(fēng)險行為,具體包括應用層流量分析、全流量分析等數據風(fēng)險監測類(lèi)工具。
主要負責自動(dòng)化評估流程管理、評估對象的信息填報、證明文件的上傳和查閱、評估結果的生成及報告的輸出等,具體包括合規檢測工具、在線(xiàn)評估系統等。
在數據安全檢查評估的實(shí)踐中,由于檢查的項目過(guò)多,需要通過(guò)多種設備來(lái)完成全部檢查,操作繁瑣;大量的檢查工作需要通過(guò)人工進(jìn)行,效率較低;且檢查完成后,需要匯總多個(gè)設備及人工的檢查結果,報告合成費時(shí)費力。
隨著(zhù)工具的平臺化、一體化趨勢日益明顯,上述的三類(lèi)工具在數據安全風(fēng)險評估中提供的能力在一些集成型產(chǎn)品中得以集合。
昂楷數據安全檢查工具箱,結合了國家、行業(yè)關(guān)于數據安全檢查評估法律法規的要求,兼顧數據安全合規和風(fēng)險識別兩大檢查評估需求,能夠從數據資產(chǎn)梳理、賬號風(fēng)險、安全漏洞、接口風(fēng)險等多個(gè)維度幫助組織進(jìn)行數據安全檢測并輸出檢查評估報告,對風(fēng)險評估的結果進(jìn)行分析和總結,確定數據安全面臨的主要威脅和脆弱性,以及需要采取的相應措施。
