从《数据安全法》到各级监管机构,均对数据处理者提出了数据安全风险评估的要求,2023年10月,工信部更是发布了《工业和信息化领域数据安全风险评估实施细则(试行)》(征求意见稿),给出工信领域风险评估的实施方法及评估内容。
数据安全合规风险评估
Risk Accessment of Data Security
至少每年一次
从时间要求上来看,重要数据处理者至少每年要进行一次评估。
自评估或委托三方进行评估
评估方式可以是自评估或委托三方机构进行评估。
对于大型组织而言,数据安全风险评估因涉及内容较多,专业性强,靠内部团队自评估不仅效率低,往往需要投入大量资源及精力,而又因为当前数据安全专业人员相对稀缺,更多的企业甚至无法自行有效的风险自评估。
评估内容
挚理科技支撑监管工作多年,公司的专家团队参与了多项相关国家、行业标准的编撰,作为评审专家组成员,也参与了多项数据安全国家认证的评审当中,辅导了超过100家企业完成数据安全风险评估的工作。
挚理科技根据数安法、个保法及网安法等上位法的指导精神,以网信办及工信部相关数据安全管理办法和条例,各行业标准、国标等为基础,结合各监管机构检查要求细则,以及挚理科技长期以来积累的评估经验,我们制定以下风险合规评估的评估内容清单:
* 评估应最少包括 企业数据安全管理能力、数据全生命周期安全防护措施、数据安全运营能力以及数据出境安全评估(可选)等内容。
数据安全运营能力
自评估
10. 数据安全风险监测能力
11. 数据安全风险咨询
12. 数据防泄漏能力
13. 接口安全运营
14. 移动应用安全运营
数据安全管理能力评估
1. 监控管理审计自评
2. 数据资产管理自评
3. 安全组织机构自评
4. 安全制度建设自评
5. 应急响应自评
6. 教育培训管理自评
7. 合作方管理自评
8. 数据安全策略自评
9. 举报投诉管理自评
数据全生命周期保障
能力自评估(分系统)
15. 数据采集自评
16. 数据传输自评
17. 数据存储自评
18. 数据使用自评
19. 数据开放共享自评
20. 数据销毁自评
注意:对于企业有多个业务数据处理系统的,在进行数据全生命周期保障能力自评估时,应分别针对每个系统单独进行评估,独立打分。
评估实施及流程
● 确认自评估的焦点领域和具体评估对象。
● 确定评估的标准和方法。
● 确定评估的时间表和评估人员,并安排相关人员的培训和准备工作。
● 制定评估计划。
● 提交评估申请书。
1. 评估准备阶段
● 依据评估标准和方法,对所选领域和对象进行评估。
● 收集数据和信息,采用科学的方法,实事求是地评估企业数据安全风险的程度。
● 审查企业数据安全体系的设计和实施,情况,发现问题和隐患。
2. 评估实施阶段
● 评估人员回顾已进行的评估过程,检查评估过程的准确性,包括评估标准、采集的数据和信息等。
● 检查评估人员进行评估的资料是否完整、准确和合法。
3. 评估复核阶段
● 开发完善的整改方案和计划,解决评估发现的问题和隐患。
● 组织各个部门和负责人共同参与整改工作,确保各项整改工作的有效实施和推进。
● 跟踪和监督整改过程的实施效果和整改结果,确保企业数据安全管理制度和技术措施的合规性和有效性。
4. 评估整改阶段
● 重新评估企业数据安全风险情况,并评估整改效果和符合情况。
● 对已实施的安全管理制度和技术措施进行检查和审计,发现和排除问题和隐患。
● 对评估结果和整改成果的情况进行分析和总结,为下一次风险自评估和数据安全管理提供经验和依据。
5. 整改后复核阶段
立即申请演示/试用
挚理提供数据安全合规风险评估服务
相关产品/服务
