中孚数据安全风险评估防患于未然,护航数据安全规划建设
2022年12月,蔚来汽车确认,因服务器配置错误导致百万条用户信息泄露,并遭受225万美元等额比特币的勒索。蔚来创始人、董事长、首席执行官李斌就数据泄露一事公开致歉。
2023年1月,英国皇家邮政遭遇网络攻击导致国际邮政业务被迫中断,事发1个月后,LockBit组织正式宣告对这起攻击事件负责,该组织表示如果不能在2月9日凌晨03:42(UTC)之前缴纳赎金,被盗数据将会公开发布。
2023年2月,英国半导体材料厂商摩根先进材料(Morgan Advanced Materials)发布消息,该公司1月发生的网络攻击事件导致重要数据丢失,可能造成高达1200万英镑(约合人民币9799万元)的损失,消息发布后,摩根先进材料股价立即下跌超5%,收盘时跌幅为4.91%。
从上述事件可以看出,重要数据和核心数据正成为新型网络攻击的重要标靶,数据安全事件对组织的影响已经越来越大,带来的损失也越来越惨重。党政机关、科研院所、央国企等重要部门及单位,亟需转变传统被动防护的安全思路,通过开展数据安全风险评估工作,全面识别评估数据资产以及在数据处理活动中面临的风险问题,以风险管理为导向建立合适的数据安全技术能力与防护措施,实现对未知安全威胁的主动防御。
2021年9月1日,我国首部数据安全法律——《数据安全法》 正式实施,明确提出"重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告 "。开展数据安全风险评估成为党政机关、科研院所、央国企等组织必须满足的合规监管要求。
(一)
数据安全风险评估的定义及目的
数据安全风险评估是从风险管理角度 出发,以网络安全风险评估框架内容 为基础,以《数据安全法》 相关要求为基准,运用科学及自动化的方法和手段,识别分析组织数据资产以及在采集、存储、传输、使用、加工、处理、销毁等相关处理活动中,面临的威胁和存在的脆弱性,深度分析数据安全合法合规及技术风险,评估安全事件一旦发生可能造成的危害程度,然后再针对性提出抵御威胁的防护对策和整改措施,将风险控制在组织可接受水平。
(二)
数据安全风险评估的要素及关系视图
数据安全风险评估是以安全风险 为核心,围绕数据资产、威胁、脆弱性和安全措施 等要素展开,且在安全评估过程中,充分考虑企业数字战略、资产价值、数据处理活动、安全需求、残余风险、安全事件等相关衍生要素。
(三)
中孚数据安全风险评估原理
中孚信息以风险评估要素关系 为基础,通过对组织数据资产、威胁、脆弱性、已有安全措施等要素识别,基于数据重要程度 评判,深度分析数据威胁出现的可能性、脆弱性影响严重程度,研判数据安全事件发生的可能性以及发生后的损失,精准计算数据面临的风险值。
(四)
中孚数据安全风险评估框架
基于数据流量检测、数据漏洞扫描、API检测、合规评估 等评估工具,通过"4识别+1检查" ,实现数据安全风险分析及等级化处置,并结合组织业务,制定数据安全风险管控策略及安全体系优化方案。"4识别"即对组织结构化与非结构化全数据资产、威胁、脆弱性、已有安全措施进行识别;"1检查"即对组织进行合规性检查。
(五)
中孚数据安全风险评估流程
基于数据安全风险评估原理及框架 ,绘制评估流程。分别为评估准备阶段、识别检查阶段、风险分析阶段、风险处置阶段。
1、评估准备阶段
从国家法律法规及行业监管等相关要求出发,以组织数字战略为基础,明确此次数据安全风险评估的目标、内容与范围边界,确立评估准则,保障评估工作始终围绕主旨目标不偏离。
2、识别检查阶段
数据资产识别 :通过数据资源发现系统,对用户的办公区终端、数据库服务器、应用服务器等节点进行全数据扫描识别,并对账号等资产进行盘点。综合考虑数据资产的经济价值、资产安全状况对系统或组织的重要性,并对资产价值重要程度赋值定级。
已有安全措施识别 :使用文档查看、数据验证、协议分析、脆弱性分析等工具,从产品功能性、安全性两方面进行已有安全措施识别确认及有效性评估。明确已有安全措施是否真正地降低了系统的脆弱性,抵御了威胁,并对评估结果进行标记。
威胁识别 :基于管理不到位、无作为或操作失误、软硬件故障、恶意代码和病毒、越权或滥用、网络攻击、泄密、篡改、抵赖等12个大类、31项子类中孚数据威胁评估指标库,通过对以往安全事件、检测工具与日志发现、日常监测发现、近期公布与公开等数据分析研究,识别威胁的来源、主体、种类、动机、时机和频率,并依据出现频率、动机与能力对威胁赋值定级。
脆弱性识别 :基于数据安全管理、系统运维管理、数据库、数据应用等4个大类、24项中孚脆弱性评估指标库,依据脆弱性是对一个或多个资产弱点的集合的特性,综合采用问卷调查、工具检测、人工核查、文档查阅、渗透测试等方式,进行脆弱性识别。同时,结合资产的损害程度、技术实现的难易程度、弱点的流行程度以及管理脆弱性的严重程度等多个维度,评估脆弱性的严重程度,并对脆弱性赋值定级。
合规性检查 :基于中孚数据合规性评估指标库,从管理和技术两个维度入手,通过访谈,工具核查方式,进行合规性检查,评估已有安全管理措施与技术手段是否满足合规要求,发现现有安全体系与合规要求的差距,标记出"不合规、部分合规、合规"项,针对不合规项提出整改建议。
3、风险分析阶段
以数据资产重要程度为核心,采取风险最大化的原则,一是基于威胁等级,结合现有资产脆弱性,计算出安全事件发生的可能性;二是基于脆弱性等级,结合数据资产价值,计算安全事件发生后的严重程度,并赋值定级;三是采取风险计算原理及范式进行风险值计算,对数据资产风险定级处理。
4、风险处置阶段
依据风险值,结合组织数字战略和安全目标,明晰组织风险容忍度,明确风险分级处置策略,并根据已有安全措施和合规性评估结果,输出风险处置和安全体系优化方案,保障组织目标的实现。
中孚信息数据安全风险评估,深入用户办公、生产运维、开发测试 等业务场景,全面识别数据在生产存储、共享交换、内部协同应用、测试运维 等环节下的安全风险。以全面的资产盘点、全面的风险评估 ,摸清用户数据安全基础与问题,协助用户做好数据安全体系规划建设,从而实现主动安全。
未来,中孚信息将持续深耕数据安全 领域,以数据资产梳理、数据分类分级、数据安全风险评估 等服务为抓手,深度挖掘用户数据安全工作的实际需求,持续打磨数据安全产品,为党政机关、科研院所、央国企等用户的数字化转型、数据开放共享奠定安全基础。
咳嗽痰多?药王孙思邈一个祛痰方,湿热寒湿痰湿,通通拿下一入秋,咳嗽痰多的人越来越多,要怎么缓解?今天,我们就说一下这个话题!我们都知道,千寒易去一湿难除,但比湿气更可怕的是痰湿。今天,贾老师就给大家分享药王孙思邈的强力祛痰方,帮你去痰
妙用消风散,解决风热型荨麻疹今天重点给大家聊一下风热型荨麻疹的调理方法!首先我们需要先了解,什么是风热型荨麻疹,它的主要表现全身发热局部瘙痒起红色风团伴有口干喉咙痛便秘等热症的表现!风热型荨麻疹一般发病较急,
月经刚结束,有4件事再舒服也不要急着做,特别是年轻人要注意不来就恨,来了也恨,这是什么?不就是女性每个月都会来的大姨妈吗?大姨妈来的时候很多有趣的事情都做不了,很多美味的食物都吃不了,让女性很是烦躁。那你以为月经刚结束,你就可以正常做事为
健康小知识记住就是赚到1。无论服用什么药物都要记得戒烟烟中含有的盐碱会加快肝脏降解药物的速度,导致血液中药物浓度下降。2。感冒的时候不一定需要吃药,但是要小心并发症哦超过7天,病情还不好转,应及时寻求医
你以为水一煮沸就是熟水吗?健康喝水,这3点更关键网上有传言说喝熟水更利于人体吸收难道咱们平时喝的凉白开除了喝起来比较卫生之外还更有营养?市面上售卖的瓶装熟水和自家烧开的凉白开是一样的吗?划重点01hr什么是熟水?与生水有什么区别
有了蛋白尿不治会怎么样有的人去做体检,或者是由于某种疾病去查尿常规的时候,会发现自己有蛋白尿,但是身体又没有太大的不舒服,所以也就没有重视。有一些医生,也会说没问题,没事儿再看看,拖延下去后果是什么呢?
月经期可以泡脚吗?天气越来越冷,泡脚成了很多人晚上睡觉前的养生仪式,那月经期可以泡脚吗?有医生说,月经期不能泡脚,会增加出血量,也有医生说,月经期可以泡脚,缓解痛经可以不可以他们说的对,但都不对月经
脂肪肝的功能医学综合干预上篇给大家带来脂肪肝的底层逻辑及日常干预方法,今天分享功能医学脂肪肝综合管理。脂肪肝逆转需要的营养素,从以下5个方面进行。氧化应激是大部分肝病患者面临的一个问题,NAFLD患者也不
百利科技全资子公司百利锂电拟收购云栖谷40股权e公司讯,百利科技(603959)9月27日晚间公告,公司全资子公司百利锂电拟以1600万元,收购孙卫明持有的苏州云栖谷智能系统装备有限公司(简称云栖谷)40股权。双方约定云栖谷股
郎朗老婆国外工作被拍!穿透视衣渔网袜被嘲土气,拎3万贵气小包近日,有网友在国外旅游时偶遇吉娜拍视频,网友表示吉娜本人超瘦超美。当日,她身穿黑色渔网小外套搭配长裙,脚下的黑色高跟鞋也搭配了渔网袜,优雅又美丽。脖子间的锁骨清晰可见,小腰也十分纤
卡戴珊走秀裙子绑太紧!上楼迈不开大腿,全程并拢双脚蹦着走路近日,卡戴珊参加活动的一个钻石连衣裙造型引起了大家的关注,黑夜中的卡戴珊穿着裙子在黑夜中闪闪发光,整个人看起来就像是一件价值连城的珠宝。此次卡戴珊的造型也延续了一贯的紧绷风格,裙子