服務(wù)流程:
成果交付物:
概述:深度解讀法律法規(guī)��、監(jiān)管辦法等�����,協(xié)助組織充分了解合規(guī)義務(wù)�、安全現(xiàn)狀����、合規(guī)風(fēng)險及處置規(guī)劃����,旨在及早規(guī)避和關(guān)注可能存在的風(fēng)險�����,包括綜合合規(guī)評估���、個人信息安全合規(guī)��、數(shù)據(jù)跨境合規(guī)評估等����。
評估流程:
成果交付物:匯編輸出《數(shù)據(jù)安全合規(guī)評估報告書》�,另附參考指南/標(biāo)準(zhǔn)清單&附件。具體報告內(nèi)容包括不限于如下:
參考標(biāo)準(zhǔn):基于《數(shù)據(jù)安全法》���、《個人信息保護(hù)法》,聯(lián)合其他數(shù)據(jù)安全相關(guān)辦法規(guī)定�、行業(yè)監(jiān)管等文件,參考ISO37301:2021標(biāo)準(zhǔn)����、Gartner DSG架構(gòu)��、PDCA方法等�����。
概述:協(xié)助組織充分了解數(shù)據(jù)資產(chǎn)在各項數(shù)據(jù)處理活動中可能存在的各項風(fēng)險情況��,給予相關(guān)的風(fēng)險處置措施���。
評估流程:
成果交付物:《數(shù)據(jù)安全風(fēng)險評估報告》作為最終的交付物,報告主要內(nèi)容包括:
參考依據(jù):《數(shù)據(jù)安全法》�、《信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型》、《信息安全技術(shù) 數(shù)據(jù)安全風(fēng)險評估方法》等國家標(biāo)準(zhǔn)��、行業(yè)標(biāo)準(zhǔn)���、地方標(biāo)準(zhǔn)對評估指標(biāo)進(jìn)行定制
評估收益:全面識別組織數(shù)據(jù)面臨的各種風(fēng)險����,并據(jù)此采用適當(dāng)安全處置措施�。數(shù)據(jù)安全風(fēng)險評估及其形成的記錄文檔,可用于證明組織已經(jīng)主動評估風(fēng)險并采取一定的安全保護(hù)措施���,有助于減輕��、甚至免除組織的相關(guān)責(zé)任和名譽損失���。
概述:旨在幫助組織有效分析在各項數(shù)據(jù)處理活動中的所存在個人信息�、特別是個人敏感信息所可能存在的各項風(fēng)險情況�����,同時結(jié)合對出現(xiàn)個人信息相關(guān)安全事件時所造成的影響進(jìn)行分析的結(jié)果����,給予相關(guān)的處置措施建議。
服務(wù)流程:
成果交付物:最終輸出《個人信息安全風(fēng)險評估報告書》����,包括不限于:
參考依據(jù):《個人信息保護(hù)法》�����、《信息安全技術(shù) 個人信息安全規(guī)范》�����、《信息安全技術(shù) 個人信息安全影響評估指南》�����,結(jié)合組織所在行業(yè)的相關(guān)規(guī)定�����,如:醫(yī)療衛(wèi)生行業(yè)《GB/T 39725-2020 信息安全技術(shù) 健康醫(yī)療數(shù)據(jù)安全指南》等���。
概述:依據(jù)《數(shù)據(jù)出境安全評估辦法》���、《數(shù)據(jù)出境安全評估申報指南》等,幫助組織深入理解和研究數(shù)據(jù)出境活動的限制和要求�,厘清數(shù)據(jù)出境場景、出境數(shù)據(jù)范圍��、限制要求以及緩解措施�����,完成數(shù)據(jù)出境風(fēng)險自評估����,輔導(dǎo)客戶申報數(shù)據(jù)出境安全評估���。
服務(wù)流程:
成果交付物包括不限于:
數(shù)據(jù)出境安全風(fēng)險評估
數(shù)據(jù)出境安全整改指導(dǎo)
《數(shù)據(jù)出境安全應(yīng)急管理制度》
《數(shù)據(jù)出境安全應(yīng)急演練方案》
《數(shù)據(jù)出境安全整改方案》
《數(shù)據(jù)出境安全建設(shè)指引》
《數(shù)據(jù)出境安全建設(shè)加固》
數(shù)據(jù)出境安全評估申報
參考依據(jù):《數(shù)據(jù)安全法》、《個人信息保護(hù)法》���、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》����、《網(wǎng)絡(luò)安全審查辦法》���、《數(shù)據(jù)出境安全評估辦法》�、《數(shù)據(jù)出境安全評估申報指南(第一版)》���、《信息安全技術(shù) 個人信息安全影響評估指南》���、《信息安全技術(shù) 個人信息安全規(guī)范》、《信息安全技術(shù) 數(shù)據(jù)出境安全評估指南(征求意見稿)》���、《信息安全技術(shù) 重要數(shù)據(jù)識別規(guī)則(征求意見稿)》����、《個人信息出境標(biāo)準(zhǔn)合同辦法》等�����。
概述:通過深度解讀和分析法律法規(guī)��、監(jiān)管辦法等�����,提供數(shù)據(jù)安全檢查內(nèi)容����、通過模板、工具等方式進(jìn)行快速評估����,作為開展符合性判定的參考意見。數(shù)據(jù)安全檢查方式主要包括監(jiān)管檢查���、企業(yè)自查�。
檢查流程:
檢查內(nèi)容:
常用檢查工具:
漏洞掃描設(shè)備:漏洞掃描器
基線配置核查工具:基線配置核查系統(tǒng)
數(shù)據(jù)庫權(quán)限核查工具
敏感數(shù)據(jù)掃描工具
DLP掃描工具
……
參考依據(jù):《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》�����、《信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型》��、《信息安全技術(shù) 信息安全風(fēng)險評估規(guī)范》、《信息安全技術(shù) 個人信息安全規(guī)范》��、《信息安全技術(shù) 個人信息安全影響評估指南》
成果交付物:在制定檢查內(nèi)容時���,提供數(shù)據(jù)安全檢查清單�,包括檢查類別���、檢查項目���、檢查內(nèi)容、檢查方式及檢查要點��,根據(jù)要點判定出檢查結(jié)果�����,最終形成《數(shù)據(jù)安全檢查結(jié)果報告》等����。
概述:根據(jù)組織實際管理要求,定制化輸出數(shù)據(jù)安全相關(guān)制度�、流程和規(guī)范文件,以滿足客戶安全管理要求及實質(zhì)合規(guī)要求����。
制度設(shè)計思路:
成果交付物:包括管理制度�����、技術(shù)制度�、檢查制度等���,如《數(shù)據(jù)安全管理制度》、《數(shù)據(jù)采集與傳輸規(guī)范制度》���、《數(shù)據(jù)安全人員管理制度》�、《數(shù)據(jù)安全應(yīng)急響應(yīng)管理制度》�����、《數(shù)據(jù)安全檢查制度》等����。
