《數(shù)據(jù)安全法》提出:“重要數(shù)據(jù)處理者應(yīng)對其數(shù)據(jù)處理活動定期開展風(fēng)險評估,并向有關(guān)主管部門報送風(fēng)險評估報告��。
隨著一系列數(shù)據(jù)安全相關(guān)法規(guī)的陸續(xù)出臺�,國家對于數(shù)據(jù)安全的合規(guī)監(jiān)管日漸趨嚴(yán)�,重要數(shù)據(jù)泄露,個人信息收集����、處理不當(dāng)?shù)仁录坏┌l(fā)生,組織將面臨監(jiān)管重罰���,因此開展數(shù)據(jù)安全檢查評估工作勢在必行��。
目前數(shù)據(jù)安全檢查評估可以分為“合規(guī)評估”和“風(fēng)險評估”兩大類���。
● “合規(guī)評估”以證明組織數(shù)據(jù)安全工作符合合規(guī)性要求為目標(biāo),開展評估工作時�,評估項往往基于國家和行業(yè)主管機(jī)構(gòu)發(fā)布的合規(guī)要求而擬定,并在一定程度上達(dá)成了共識�;
● “風(fēng)險評估”以主動發(fā)現(xiàn)潛在的安全風(fēng)險為目標(biāo),對組織的數(shù)據(jù)安全風(fēng)險進(jìn)行評估�����,識別可能存在的安全隱患和漏洞�����,并根據(jù)風(fēng)險程度制定相應(yīng)的風(fēng)險控制策略����。
在開展評估工作的過程中,評估數(shù)據(jù)安全能力的成本取決于多種因素���,包括評估范圍����、復(fù)雜度�、所需資源和技術(shù)等。為了降低評估成本����,通常需要先制定合理的評估計劃和范圍、再利用專業(yè)化的檢查評估工具等措施���,定期進(jìn)行數(shù)據(jù)安全能力評估���,并采取相應(yīng)的維護(hù)措施,確保數(shù)據(jù)安全能力的持續(xù)提高����。
當(dāng)前數(shù)據(jù)安全產(chǎn)品工具種類多樣��,主要分為掃描類��、流量分析類���、自動化評估類三種,如何選取合適的評估檢測工具同樣是組織實施數(shù)據(jù)安全風(fēng)險評估面臨的重要問題�����。
主要負(fù)責(zé)提供針對數(shù)據(jù)��、風(fēng)險源等風(fēng)險要素的掃描服務(wù)�����,為數(shù)據(jù)安全風(fēng)險評估提供要素識別的功能���,具體包括資產(chǎn)掃描類��、數(shù)據(jù)識別類�、漏洞檢測類工具等����。
主要負(fù)責(zé)提供對數(shù)據(jù)處理活動的識別與監(jiān)測能力���,用于關(guān)聯(lián)應(yīng)用����、數(shù)據(jù)庫、人員的敏感數(shù)據(jù)操作�����,分析潛在的風(fēng)險行為�,具體包括應(yīng)用層流量分析、全流量分析等數(shù)據(jù)風(fēng)險監(jiān)測類工具�����。
主要負(fù)責(zé)自動化評估流程管理����、評估對象的信息填報、證明文件的上傳和查閱���、評估結(jié)果的生成及報告的輸出等�����,具體包括合規(guī)檢測工具�、在線評估系統(tǒng)等。
在數(shù)據(jù)安全檢查評估的實踐中����,由于檢查的項目過多,需要通過多種設(shè)備來完成全部檢查���,操作繁瑣��;大量的檢查工作需要通過人工進(jìn)行�,效率較低���;且檢查完成后�,需要匯總多個設(shè)備及人工的檢查結(jié)果����,報告合成費時費力。
隨著工具的平臺化�、一體化趨勢日益明顯,上述的三類工具在數(shù)據(jù)安全風(fēng)險評估中提供的能力在一些集成型產(chǎn)品中得以集合���。
數(shù)據(jù)安全檢查工具箱���,結(jié)合了國家�、行業(yè)關(guān)于數(shù)據(jù)安全檢查評估法律法規(guī)的要求��,兼顧數(shù)據(jù)安全合規(guī)和風(fēng)險識別兩大檢查評估需求�����,能夠從數(shù)據(jù)資產(chǎn)梳理�����、賬號風(fēng)險���、安全漏洞、接口風(fēng)險等多個維度幫助組織進(jìn)行數(shù)據(jù)安全檢測并輸出檢查評估報告�����,對風(fēng)險評估的結(jié)果進(jìn)行分析和總結(jié)�,確定數(shù)據(jù)安全面臨的主要威脅和脆弱性,以及需要采取的相應(yīng)措施����。
