一、组织是否合规?
1、网安法、数安法、个保法满足度?
2、等保2.0数据安全要求满足度?
3、行业数据安全专项检查满足度?
应对:
满足网安法、数安法、个保法、等保2.0数据安全部分所提出的要求;
满足行业监管部门所提要求
二、有哪些数据?哪些需要被保护?
1、有哪些类型数据?
2、数据属性内容是什么?
3、数据分布在哪?
4、数据分类分级要求怎么实现?
应对:
“摸清家底”,全面化系统化的梳理数据资产;
持续化动态化监测数据资产的变动情况、分布、使用情况;
制定数据分类分级策略;
建立自动化、智能化、快速化的分类分级工具
三、这些数据有没有风险?
1、采集阶段有哪些风险?
2、传输阶段有哪些风险?
3、存储阶段有哪些风险?
4、处理阶段有哪些风险?
5、交换阶段有哪些风险?
6、销毁阶段有哪些风险?
应对:
开展基于数据场景的全生命周期数据安全风险评估工作;
还原数据的生命周期流转轨迹,监控数个周期内各阶段环节风险
四、数据安全攻击怎么防范?
1、内部人员窃密怎么防范?
2、外部针对数据的攻击怎么防范?
3、数据滥用、误用等行为怎么防范?
应对:
针对内部攻击:增强数据泄露监测能力进行重点监测;
针对外部攻击:基于现有网络安全建设成果进行扩展,加速“数安”与“网安”融合;
针对数据滥用、误用:建立数据基线模型,结合数据流转测绘能力进行持续监测
五、数据安全怎么运营管理?
1、分类分级后的数据怎么集中管理?
2、发生数据安全事件后怎么协调处置?
3、发生数据安全事件后怎么闭环跟踪?
4、哪些部门负责管理数据安全问题?
5、数据安全问题管理策略和流程?
应对:
数据安全组织架构策略、数据安全管理策略,指导开展数据安全管理工作;
建立“可使用、可持续”的安全运营体系,对数据资产、安全策略、数据事件、数据风险进行整体运营管控;
以“平台化、体系化、可视化、实用化”为出发点,建立数据安全集中运营管理能力