为贯彻落实《网络安全法》《数据安全法》《个人信息保护法》《上海市数据条例》等法律法规,推动建立我市网络数据安全风险评估机制,提升全市数据安全防护能力和水平,2023年8月至12月,市委网信办会同中国电子技术标准化研究院、上海市信息安全测评认证中心成立试点工作组,组织开展了网络数据安全风险评估试点工作,遴选出一批试点优秀单位和试点优秀案例。
今天分享上海数据集团有限公司试点优秀案例——《数据安全风险评估辅助工具》。
本案例立足数据安全指标广、维度多、专业强等特点,针对风险评估跨部门协同难、一体化实施难、可持续运营难等痛点,上海数据集团有限公司(以下简称“数据集团”)自研开发全要素、通用型、可配置的数据安全风险评估辅助工具,包括“数据安全风险评估矩阵表”、“数据安全风险评估系统(DSRAS)”,提供自评估、外评估,线下评估、线上评估等模式,满足不同业态、不同规模企业的数据安全风险评估组织、管理、运营需要,工具简明实用,对于高质量、高效能实施数据安全风险评估具有参考意义。
数据安全风险评估辅助工具
(节选)
1、数据安全风险评估辅助工具设计:瞄准痛点,解决难点
数据安全贯穿于数据生命周期全过程,与业务活动强相关,数据安全风险评估可借鉴、可参照的经验较少,企业开展评估面临指标难、组织难、管理难等问题。数据集团设计开发数据安全风险评估辅助工具的初衷,源于试点工作中实操中的痛点难点,通过针对性的问题解决,为风险评估的便捷开展提供工具支撑。
1)指标难:评估前的指标研究
工具应提供一套全面的数据安全风险评估全要素指标体系,企业可直接调用标准解析结果、自行裁剪风险评估条目,并支持权重调整、指标扩充,有效解决评估前的指标研究问题。
2)组织难:评估中的组织实施
工具应提供一套直观的数据安全风险评估全流程实施方案,企业可穿透到具体部门、配置到一线人员,对评估项动态、评估人动态进行全局跟踪,大大降低评估中的组织实施难度。
3)管理难:评估后的管理运营
工具应提供一个简单的数据安全风险评估中长期运营载体,企业可打通风险评估、风险治理,实现历史回溯、年度对比、单项改进,快速成为评估后的管理运营抓手。
结合网络数据安全风险评估试点工作,一并考虑企业在开展自评估时可能遇到的痛点难点,数据集团自主研发网络数据安全风险评估辅助工具——数据安全风险评估系统(DSRAS)。
经过自用验证,DSRAS可显著降低数据安全风险评估工作的实施难度,提高协同效率,提升评估质量。DSRAS提供全量评估指标的默认初始化,同时具有对单一、批量评估项的可编辑、可裁剪、可配置、可扩展功能,企业可结合自身业务特征、行业特点进行快捷选择,支撑各类组织的数据安全风险评估工作。
图1 数据安全风险评估辅助工具
1)一体化、一站式
2)全流程、全透明
图2 数据安全风险评估-风险评估
(线上)
3)可闭环、可运营
图3 数据安全风险评估-风险治理
(线上)
4)全要素、可配置
图4 数据安全风险评估-新增评估项
(线上)
图5 数据安全风险评估-新增风险项
(线上)
5)可量化、易跟踪
图6 数据安全风险评估-评估项量化
(线上)
图7 数据安全风险评估-风险项量化
(线上)
DSRAS对于数据安全风险评估具有多方面直观的综合效益。主要体现在:增加了风险评估的透明性,解决不可见、不透明、难控制的过程管理问题;提高了风险评估的协同性,降低部门墙、业务墙、数据墙等对风险评估的效率影响;降低了风险评估的资源依赖,解决牵涉广、覆盖大、资源少问题;提供了风险评估的长期载体,化解文件多、表格长、无沉淀的运营难点。
DSRAS对于集团型企业和中小企业都具有良好的推广价值。主要体现在:针对数据安全风险管理,为集团对所属企业、中小企业自身的数据安全风险评估工作提供直接、轻便的工具支撑;针对数据安全常态管理,可为企业提供全面风险评估,以及扩展出如个人信息合规审计、数据出境安全、App、爬虫等专项评估提供工具支撑;针对数据安全监管管理,可为企业面向主管部门、监管部门的检查、审查、调查等的要求执行、合规举证提供工具支撑。
综上,本案例作为网络数据安全风险评估试点的创新成果,数据集团提供了一体化、一站式、高效能的数据安全风险评估工具DSRAS。DSRAS针对数据安全风险评估的组织、管理和运营,满足指引下发、项目组织、部门联动、角色配置、过程管理、结果呈现、治理跟踪、报告编制等工作需要。功能设计上,提供了评估概览、评估指南、风险评估、风险治理、评估报告等功能模块,具备风险评估全流程服务能力。管理配置上,设置了版本管理、用户管理、租户管理等管理选项,适配企业不同的运营需要。部署方式上,规划了本地化、云化等落地方案,支撑企业多样的应用选择。
来源:网信上海