數字化深入的今天,資料價值和風險相伴相生,讓資料要素發揮更大價值,提高風險預見預判,資料安全評估日益緊迫和必要。《資料安全法》提出:“重要資料處理者應對其資料處理活動定期開展風險評估,并向有關主管部門報送風險評估報告。”《個人資訊保護法》、《資料出境安全評估辦法》等法律法規及相關條例規範也均對此明确規定。
無論是安全之需還是監管合規之要,開展資料安全評估工作都勢在必行,然而日益高漲的安全評估需求和目前“缺人才、缺工具、缺方法”的現狀形成沖突,不少機關組織做好這個工作存在諸多難題:
- 資料梳理更多偏向于“台賬”的盤點,未對資料資産以及使用權限進行梳理;
- 傳統安全評估方式,過高依賴人工核查,落地周期長、成本高;
- 過程評估和過程計算複雜,取決于評估人員的能力要求,評估品質難保障;
- 評估工具多種多樣,工具之間資料無法互通或關聯,導緻結果分析存在出入。
深入于資料安全評估服務一線,美創熟知應對上述“窘況”,離不開成熟全面的評估方法,兼具行業認知和豐富安全經驗的複合型咨詢團隊。工欲善其事,必先利其器,全面高效地評估工具更是必不可少。
近日,基于資料安全治理咨詢團隊豐富的項目實戰經驗沉澱轉化,美創科技正式釋出資料安全綜合評估系統(DCAS)。
資料安全綜合評估系統(DCAS)融合資料資産梳理、資料權限梳理、安全現狀分析、資料合規基線分析、安全能力差距分析、資料安全風險分析等多重能力,基于強大内置知識庫、豐富分析模型、自動計算以及簡單操作等特點優勢,可對多種風險因素進行多元可視化分析展示,自動化輸出高品質報告,幫助機關組織全面、準确、高效、便捷的識别安全風險與合規差距,滿足合規需求。
針對目前一對一調研和評估模式下多重采集資訊的痛點,美創資料安全綜合評估系統采用“流式”産品設計思路,内置多種分析模闆、合規模闆,通過資訊收集和分析松耦合方式,實作“一次采集、多元分析”。
四大能力融合 覆寫各類評估訴求
資料資産梳理分析
資料安全評估過程中,資料資産梳理分析是基礎工作,資料安全綜合評估系統支援暗資料發現與分類分級系統接口連接配接,或結果資料導入,自動多元度分析資料資産,明确資料資産構成、特征、範圍及流轉情況,自動分析資料權限現狀,為後續資料安全風險分析、安全建設規劃提供前置資訊。
安全能力差距分析
資料安全綜合評估系統通過多對象調研,結合對資料基礎環境進行安全基線檢查、漏洞掃描結果,自動關聯比對和識别組織當下的資料安全保護現狀,重點分析存在的安全漏洞和薄弱環節。基于調研結果,自動完成能力評估,包括過程域檢查與測試、級别評定、能力缺陷分析、整改建議,實作能力級别和能力差距的詳細評估。
資料合規風險分析
資料安全綜合評估系統集合資訊采集、評估分析、結果判定、處置跟蹤四步,可自動識别并關聯分析法律法規、政策規範,以及組織相關條款、現狀描述等,最後輸出合規評估報告,包括合規統計結果、合規風險情況等,幫助組織充分了解合規義務、安全現狀、合規風險,及早規避和關注可能存在的風險。
生命周期風險分析
針對機關組織資料生命周期各階段活動,資料安全綜合評估系統可依據前置資料采集和分析結果,自動完成生命周期各階段的風險分析,生成資料資産的全面風險清單和風險預估,同時評估完成後可自動形成可視化報表,如下圖所示: