2021年,《中华人民共和国数据安全法》和《中华人民共和国个人隐私信息保护法》等政策法规相继落地实施,给各政企单位日常业务开展、运营、数据合规等提出了新的要求。《数据安全法》明确要求建立全流程数据安全管理制度,建立数据分类分级保护制度、统筹协调有关部门制定重要数据目录,建立风险监测机制、定期开展合规性检查、风险审查、发现数据安全缺陷、漏洞风险时立即采取补救措施等,让数据安全活动真正跨入有法可依的新时代。
数据安全合规性检查是对于单位整体及重要业务系统等对象,以合规为依据从数据安全管理制度、数据运营安全、研发环节安全、数据全生命周期安全和个人隐私信息等多个角度开展数据安全检查。
通过数据安全合规性检查发现数据安全方面存在的问题,分析评估得出整体数据安全情况,为后续数据安全整改与治理提供支撑。能够更有明确的目的性建设全方位的数据安全体系,保障数据安全机密性、完整性、可用性,在合规性的基础上,确保业务在安全的环境下稳定运行,避免因数据泄露影响单位运行和社会稳定。
数据安全合规性检查,依据组织业务所在行业、所属地域等,分析有关数据安全法律和法规、政策文件、标准规范等,建立所应遵守的“数据安全合规清单”和解决办法。数据安全合规性检查可大致分为前期现状调研、确定检查内容、开展管理检查和技术检查以及总结提升四个阶段进行。
在进行数据安全合规性检查之前,有必要进行充分的现状调研,梳理企业的基础信息、数据情况、整体制度和安全防护情况。
现状不明确,会导致数据安全合规性检查工作没有头绪,无法开展。所以在数据安全合规性检查工作开始前,应提前至少2周,进行现状调研,讨论出检查的范围,明确检查对象,并发给相关责任人,摸清现状。
了解企业的主体业务范围、业务规模,分析企业对于国家、社会、人民生命财产的重要性。了解是不是建立数据安全管理制度和组织机构。
了解企业数据的类别、重要程度、规模、分布位置、流动路径、责任人,承载数据的系统情况及其网络拓扑、运营维护等情况。
了解企业的数据安全管理机制建设情况,初步掌握企业已部署的数据安全防护措施。
数据安全合规性检查可以按内容分为管理检查项和技术检查项,也可根据检查方式分为人工检查和工具检查项。也能够准确的通过数据级别分为数据安全通用防护和数据安全分级防护,为不同的数据对象确定不同的检查内容。
一定要分清楚哪些是单位通用的,哪些业务系统只是一般数据,哪些系统有存储敏感数据、重要数据和个人信息。通过确定不同的对象的检查内容和检查项,有助于数据安全合规性检查的顺利开展和减少工作量。
目前,可以参考《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》、金融行业标准《金融数据安全-数据安全评估规范》《电信和互联网企业网络数据安全合规性评估要点》和《工业数据安全评估指南》等文件,结合单位实际情况,确定合理的数据安全合规性检查内容和检查项。
数据安全合规性检查内容结合各主管部门发布的评估指南和单位实际情况分为通用检查项和数据生命周期检查项。通用检查项主体内容为管理性检查,主要由人工进行,对各项管理制度进行检查。数据生命周期检查项主体内容为技术检查项,由人工核查加工具检查共同完成。
在确定好检查内容后,应迅速成立检查小组,按既定的检查计划,针对不同的检查项进行数据安全合规性检查。
对于管理制度和台账文档清单可以人工进行检查,但针对数据生命周期中的数据资产清单、敏感数据识别、异常行为监测、敏感数据泄露、非法越权访问、数据跨境传输、数据非法外联等人工难以检查的内容则应该采用专用工具,通过流量扫描技术、敏感数据识别技术、API接口脆弱性分析技术和终端安全检查技术进行检查,减少人工检查工作量的同时也可以量化检查。
对于大部分数据生命周期技术检查项,可以使用开源工具进行扫描、收集和分析数据安全情况,例如Goby进行漏洞和web安全扫描、弱口令工具进行弱口令检测、Wireshark进行流量抓包再人工分析数据是否加密等,但目前各种分散的开源工具都存在无法将检测情况与检查内容相关联的问题。
针对数据安全合规性检查无法关联的问题,福建中信网安信息科技有限公司率先推出了数据安全合规性检查工具箱和评估系统产品,能够提供数据安全合规性检查管理和自动检测关联的能力。通过U盘检查终端安全情况,通过工具箱设备检测流量,分析业务系统各环节的数据安全问题,通过便携式笔记本进行人工检查登记,综合进行数据安全合规性检查评估。
通过数据安全合规性检查工具箱和评估系统能够有效减少人工检查工作量,提高技术检查能力,并使检查标准化,使主动数据安全监测和常态化数据安全合规性检查变得可能。
在数据安全合规性检查后,应基于对国家法律法规、行业标准、技术的研究,基于企业安全现状,梳理出数据安全的管理需要遵循安全政策,建立科学的数据安全保护制度,解决公司实际存在的安全问题,增强抗击数据安全威胁的能力。结合业务发展规划、数据安全现状和数据安全合规性检查情况,编制数据安全能力提升规划,为数字化转型和业务发展、数据安全建设提供决策依据。
在检查过程中,领导层一定要重视,从全公司层面下发检查和自查任务,确认数据安全领导小组,确认统一协调的人员和业务系统负责人员等数据安全相关人员,讨论和明确任务与责任。不然容易出现责任推脱和人员不理解、不配合的情况。
前期调研非常重要,如果现状不清楚,系统和数据的没有进行划分和定义,就不知道先做哪些,怎么做。前期调研不充分、毫无头绪是难以有效进行检查的。
检查过程中会经常发现制度无法落实到位的情况,制度往往只停留在管理人员上,与实际业务与环境脱钩。一定要落实责任,各系统各部门人员要做好宣贯和执行。可以乘着数据安全合规性检查的机会,发现制度落实情况进行查缺补漏,针对无法执行的问题进行调研,收集反馈并对制度进行调整。
检查一定要统一标准,针对检查过程中发现的问题,要回头检查,把握好标准和尺度。确认其他系统是不是也存在一样的问题,认定标准是否一致。不然同一个问题,不同认定标准,容易引起非议。
检查如果全靠人工,工作量和工作难度都很大。选择合适检查工具,能够事半功倍。通过数据安全合规性检查评估系统可以做检查流程管理,自动生成报告,能够减少很多检查流程上的问题。通过检查工具箱可以对许多技术检查项进行自动检查评估和关联。
通过数据安全合规性检查,会发现很多突出问题是共性的,大家可以针对这些问题进行重点检查和改进。可大致归纳为管理制度问题、研发安全问题、运维安全问题、个人信息保护和数据生命周期安全防护等四大类问题。
制度不完善是最突出的问题。数据安全法与个人信息保护法发布实施接近一年,但是大部分单位都没有及时根据新的法律法规制定或者修改自己的相关安全管理制度,应及时由单位落实数据安全管理责任,依据数据安全法和个人隐私信息保护法,调整完善数据安全管理制度。
检查过程,关于管理制度,应该询问管理人员是否熟悉相关制度,数据安全管理部门是否明确数据安全管理制度,落实制度制定和执行情况以及相关台账。
研发安全问题总是容易被忽视。在研发环境中,可能存在着大量的真实数据,在对这些数据进行开发利用的过程当中,往往缺少数据安全管理能力,对数据没有脱敏加密,没有防泄漏的手段,代码或真实数据违规上传互联网甚至是开发公司违规设计后门和接口。对研发团队、研发管理制度、代码审查、外包人员管理、代码管理和数据防泄漏等方面应重点检查。
在运维过程中,往往也存在许多数据安全问题。运维人员接触的数据是否是敏感数据,是否涉及到个人隐私信息,权限是否做了细粒度的风格管控,是否有数据防泄漏措施保证运维环节的安全,是否有堡垒机对运维过程做管控,是否有数据库堡垒机能对数据库运维操作进行审计和阻断,这些都需要制度和安全措施共同配合来提升运维安全。
业务系统中经常存储着敏感数据和个人信息,这些数据在收集、传输、存储、处理、共享和销毁等环节,各项数据安全措施往往是缺失的,例如采集数据不规范,数据传输未加密,存储未加密脱敏,处理数据不合规,共享数据不规范,应销毁数据不进行回收销毁等问题,都亟待解决。
针对行业特定的数据安全重点问题,使用人工加自动化工具方式开展数据安全合规性检查,能够有效发现数据安全问题,并通过对相关的问题进行专业分析,为数据安全整体提升起着至关重要的作用。(作者:吴国杰,福建中信网安信息科技有限公司数据安全拓展经理)
2024年2月28日,新疆尔自治区巴音郭楞蒙古自治州博湖县境内的博斯腾湖出现推冰景观。
云南省曲靖市罗平县马街镇钻天坡,盛开的油菜花梯田在初升太阳映照下,勾勒出一幅田园春景图
2024年1月12日,江西省吉安市吉州区庐陵文化生态园层林尽染,色彩斑斓,市民徜徉其间,尽享生态之乐。
2023年12月26日,在云南省红河哈尼族彝族自治州元阳县新街镇黄草岭村附近,游客在冬樱花与梯田边游览。
2023年12月12日,新疆哈密市巴里坤县第十九届冰雪文化旅游节采冰仪式在高家湖二渠水库进行。仪式主要展示了头冰的开采上岸过程。开幕式上还举行迎风旗、祈福词、喝出征酒等仪式。
2023年12月13日,河北省正定古城迎来降雪,古城内外银装素裹,犹如一幅淡雅的水墨画,美如画卷。
2023年11月28日,贵州省六盘水市明湖国家湿地公园层林尽染,景色迷人。
三角梅原产于巴西,现主要分布在中国、秘鲁、阿根廷、日本、赞比亚等国家和地区。其中,以海南三角梅最为出名。
2023年11月23日清晨,朝霞初现,三峡库区湖北省宜昌市秭归县沿江公路G348国道的绝壁岩体上,工人们正在铺设防护网,以防止岩崩和落石。
2023年11月23日,黑龙江哈尔滨,哈尔滨站工作人员正在清理站台积雪。
2023年11月21日,甘肃敦煌,首趟敦煌号铁海联运国际货运班列装载1000吨石棉驶出,经天津港通过铁海联运发往泰国曼谷。
2023年11月21日,江苏省如皋市龙游河生态公园,色彩斑斓的树木与一河碧水相应成趣。
江西省赣州市定南县历市镇,一座座风力发电机矗立在延绵群山上,与蓝天白云、绿树青山相辉映,极目远望、蔚为壮观。
2023年11月13日,国内首座港口商品车智能立体车库在山东港口烟台港建成并投入试运行。该车库占地13000平方米,可容纳商品车3000余辆,较平面堆存能力提升3倍以上,可完成智能理货、智能调度、智能转运。
日前,姚庄镇沉香村生态农场近千亩橘子园已硕果累累。近年来,当地依托自然优势,以柑橘产业、乡村景观资源、亲子旅游市场为基础,与横向的艺术产业、旅游产业相融合,在农民增收、乡风涵养等方面均取得了很明显的成效,探索出了一条具有本土特色的共富新路径。
2023年11月7日,江西省高安市一家机械有限公司员工在生产车间赶制工业接头等产品。该公司2022年被工信部列为第三批专精特新重点小巨人企业,其研发的新型无滴漏干式软管接头组件填补了国内空白,达到国际先进水平。
2023年11月7日,在云南昆明滇池(海洪湿地)湖畔,大批红嘴鸥已抵达昆明,给春城昆明增添了一道靓丽美景。