网络安全测评

数据安全治理，是指以保护数据及其价值实现为目的所采取的各种安全策略、技术和活动，从组织战略、组织建设、业务流程、规章制度、技术工具等各方面提升数据安全风险应对能力。

需求概况

随着数字经济的不断发展，数据安全风险与日俱增，同时《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》也提出了法律合规方面的要求，组织在开展数据安全保障工作中，面临着以下几个方面问题：

（1）  数据资源不清晰：缺少对数据资源的梳理，未形成完善的数据资源清单，组织拥有哪些数字资产难以掌握。因此亟需数据资源梳理服务，帮助组织掌握数据资源种类、数量、流转方式等信息；

（2）  数据分类分级困难：组织不具备对数据进行分类分级的能力，难以识别重要数据和核心数据，并开展分级保护管理，可能造成重要数据和核心数据的泄露。因此亟需数据分类分级服务，帮助组织明确数据分类分级清单，识别重要数据和核心数据；

（3）  数据安全与合规风险不明确：组织普遍缺乏安全风险管理的体系和意识，不会定期开展安全风险评估工作，无法识别可能存在的数据安全威胁和风险，难以开展针对性的保护。因此亟需数据安全评估与合规评估业务，帮助组织识别并控制数据安全与合规方面的风险，避免资产和声誉受到损失；

（4）  数据安全管理体系缺失、人员意识薄弱：目前组织的安全管理体系，均建立在以边界防护为原则的网络安全保护基础上，缺少以业务、数据为核心的数据安全管理体系，难以对数据进行有效的保护。因此亟需数据安全咨询与培训服务，帮助组织建立全生命周期过程的数据安全管理体系，并为相关人员开展培训，增强人员保护意识，保护组织数据安全。

服务内容

（一）数据安全及个人信息保护服务体系

依据《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规及相关标准规范，结合数据安全现状和需求，可为机关以及企事业单位提供五大类数据安全服务，包括数据安全咨询规划、数据安全及个人信息安全影响检测评估、数据安全培训、数据安全运营、数据安全审计。

1.  咨询规划

1.1.   数据安全治理体系咨询

根据单位信息化及数据安全治理需要，结合业务运营及数据安全现状，分析合规要求及数据安全需求，从顶层设计符合发展需要的数据安全综合治理方案，从管理、技术、运营等维度入手，覆盖组织建设、制度流程、人员能力、技术工具等内容。数据安全治理体系建设将为客户提供四个主要能力：重要数据的识别能力，对重要数据的管理和控制能力，对数据处理活动的风险评估能力，数据安全建设合规能力。

1.2.   数据分类分级

针对数据资源以及数据库账户、权限情况进行梳理，同时对重要数据库进行敏感数据分布梳理、敏感数据访问操作汇总，通过对数据资源摸底形成数据资源清单，全局掌握数据资源情况，清晰了解重要数据访问情况，结合国家、行业分级标准针对数据资源进行分类分级。

1.3.   数据安全制度体系建设

明确数据安全管理的思路和定位，构建符合监管合规要求、具有行业特色的数据安全制度体系。把握保障数据业务运营、提升数据安全水平两个重点，为数据业务和数据安全建立和完善制度体系，通过执行管理循环，促进管理能力和管理效果不断提升。

数据安全制度体系文件分为四个层面：

一级文件是方针、总纲。方针和总纲是面向组织层面数据安全管理的顶层方针、策略、基本原则和总的管理要求等，主要内容包括但不限于数据安全管理的目标、愿景、方针、基本原则，数据生命周期阶段划分和整体策略，数据安全违规处理。

二级文件是数据安全管理制度和方法，是指数据安全通用和各生命周期阶段中某个安全域或多个安全域的规章制度要求。

三级文件是数据安全各生命周期及具体某个安全域的操作流程、规范，及相应的作业指导书或指南，配套模板文件等。

四级文件指执行数据安全管理制度产生的相应计划、表格、报告、各种运行/检查记录、日志文件等。

1.4.   数据安全建设运营咨询

对数据分类分级、数据统一管控、数据加密/脱敏、数据安全监测、数据/介质销毁、数据终端安全管理等工具选型提供咨询。

结合实际的数据安全建设运营需求，对数据安全建设/部署方案等建设运营方案提供咨询，如数据资源识别、分类分级管控、数据加密、数据防泄露、数据脱敏等建设、部署及策略配置。

2.  数据安全及个人信息安全影响检测评估

2.1.   数据安全能力成熟度评估及认证

参考GB/T 37988-2019 《信息安全技术 数据安全能力成熟度模型》等相关标准规范，从组织机构、管理制度、人员、技术工具4个方面，从数据全生命周期安全（数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全）和通用数据安全（需求分析、合规与策略规划、组织与人员管理、供应链与资产管理、元数据与终端管理、鉴权与审计、监控与应急响应）开展测试评估及认证。

2.2.   数据安全风险评估

参考GB/T 20984-2022《信息安全技术 信息安全风险评估规范》和GB/T 31509-2015《信息安全技术信息安全风险评估实施指南》等风险评估相关标准规范，基于数据资源、数据应用场景、数据威胁、脆弱性、安全措施等要素开展数据安全风险评估。

2.3.   个人信息安全影响评估

参考GB/T 35273-2020《信息安全技术 个人信息安全规范》等相关标准规范，从个人信息安全七大原则（权责一致、目的明确、选择同意、最小必要、公开透明、确保安全、主体参与）、个人信息的收集、个人信息的存储、个人信息的使用、个人信息主体的权利、个人信息的委托处理、共享、转让、公开披露、个人信息安全事件处置、组织的个人信息安全管理要求等方面开展测试评估。

2.4.   APP安全合规检测

基于《中华人民共和国个人信息保护法》《App违法违规收集使用个人信息行为认定方法》（国信办秘字〔2019〕191号）《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》（工信部信管函〔2020〕164号）等相关法律、法规、规章和政策要求对APP开展安全合规检测评估。

2.5.   其他评估

基于行业和项目需要，开展合规性、入网、上线前、专项等数据安全及个人信息保护相关评估。

3.  数据安全培训

3.1.   政策法规类

针对相关政府单位、信息化从业人员、数据安全及个人信息保护行业人员等开设的课程，课程主要提供近年国家、省、市出台的一系列数据安全及个人信息保护领域重要的政策法规，如《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《关键信息基础设施安全保护条例》等的解析。

3.2.   标准规范类

针对相关政府单位、信息化从业人员、数据安全及个人信息保护行业人员等开设的课程，课程主要提供数据安全及个人信息保护领域的国家、行业或地方标准规范的解析，如GB/T 37988-2019《信息安全技术 数据安全能力成熟度模型》标准解析、GB/T 35273-2020《信息安全技术 个人信息安全规范》标准解析、GB/T 41479-2022《信息安全技术 网络数据处理安全要求》等。

3.3.   体系介绍类

针对相关政府单位、信息化从业人员、数据安全及个人信息保护行业人员等开设的课程，课程主要提供数据安全和个人信息保护知识体系、产品体系和治理体系等内容。

3.4.   技术实践类

针对系统设计、开发、集成、测试、运维等人员，以及信息化从业人员、数据安全及个人信息保护行业人员等开设的课程，课程主要提供数据安全和个人信息保护相关检测评估技术和实施方法、流程等内容。

4.  数据安全运营

4.1.   运营及协助管理

跟踪数据安全制度流程实施的情况，确保相关方及时获取且现行有效，定期或根据需要评估适用性及执行效果，发现实施过程中存在的问题，分析问题原因，给出整改建议，跟踪整改闭环，推进工作不断完善。开展数据安全制度执行效果评估，分析存在的问题，给出整改建议，跟踪整改情况。

4.2.   数据安全监测

通过敏感应用资产识别及梳理功能、敏感的接口梳理能力、应用接口自动分类功能、登录账号识别功能、数据安全风险检测、数据报表分析功能、数据安全态势感知演示等，对数据安全监测中发现的问题进行数据安全风险分析，梳理敏感数据接口和系统、识别敏感数据在传输过程中面临的风险、审计数据使用者行为，及时发现运行中的电子政务外网系统中的数据安全风险，最大限度降低数据安全风险所造成的影响，并形成相关的数据安全检测报告。

5.  数据安全审计

以审计视角定期开展专业、独立的数据安全审计是一种高效的数据安全保障有效性校验机制，能够及时发现网络安全及数据安全合规、体制机制设计及落实、制度建立完善及执行、重大安全技术缺陷类等方面的安全隐患，为组织持续完善数据安全预防及纠正控制措施、完善数据安全保障体系提供针对性参考。

（二）数据安全及个人信息保护业务流程

1. 数据安全咨询规划流程（以数据安全治理体系咨询为例）

数据安全咨询规划，主要包括启动与调研、安全现状摸查、体系框架编制、策略与方案编制、与改进五个环节。

在启动与调研环节，开展组织数据安全保护措施、需求、组织架构、人员等方面情况调研，了解组织数据安全现状、需求和治理总体目标；

在安全现状摸查环节，对组织安全管理现状、技术能力、数据资源、数据流转、业务等方面进行调研，全面掌握组织数据安全管理情况；

在体系框架编制环节，根据组织的安全需求、目标等确定数据安全的总体策略、方针、目标和数据安全管理体系的框架；

在策略与方案编制环节，形成包括数据分类分级、数据安全管理、策略等在内的数据安全管理制度体系文档，以及数据安全技术加固方案，协助组织开展数据安全技术体系、管理体系的建设。

在与改进环节，根据已形成的数据安全管理体系，协助组织开展核心业务和整体机构的，并在过程中不断改进和完善。

2. 数据安全及个人信息安全影响检测评估流程

数据安全及个人信息安全影响检测评估流程主要包括评估准备、方案编制、现场评估、报告编制四个环节。

在评估准备环节，根据评估双方签订的委托评估协议书和评估规模组建评估项目组，从人员方面做好准备。通过查阅组织已有资料并使用调查表格的方式，了解组织数据安全及个人信息保护情况，为编写评估方案和开展现场评估工作奠定基础。评估项目组成员在进行现场评估之前调试测评工具、准备各种表单等。

在方案编制环节，分析组织的数据安全及个人信息保护情况，确定评估对象、评估指标等，完成评估方案的编制。

在现场评估环节，召开现场评估启动会，明确评估相关事项并签署现场评估授权书。评估项目组根据评估方案以及现场评估准备的结果，安排评估人员在现场完成评估工作，汇总现场评估的评估记录。召开现场评估结束会，评估双方对评估过程中发现的问题进行现场确认；评估项目组归还评估过程中借阅的所有文档资料，并由被评估方文档资料提供者签字确认。

在报告编制环节，评估项目组对现场评估获得的评估结果进行汇总分析，形成评估结论，并编制评估报告。

服务价值

通过数据安全咨询规划服务，可以厘清数据资源家底，识别重要数据与核心数据，明确分级防护策略，为数据安全技术体系、制度体系的建设和运营提供支撑，助力组织实现全面的数据安全治理工作。

通过数据安全及个人信息影响检测评估服务，可有效识别数据处理活动中在组织建设、制度流程、技术工具、人员能力等方面的不足与面临的法律合规风险，并给出针对性改进建议，帮助组织不断改进和完善。

通过数据安全运营，可提供数据安全运营管理与风险监测服务，帮助实现数据安全与合规风险的有效管控。

通过数据安全审计服务，可以实现以审计视角对数据安全保障有效性的校验，发现体系中的不足之处，帮助组织不断改进和完善，实现数据安全保障与管理能力的不断提升。

服务优势

l  资质丰富声誉良好，政治可靠行业权威

具有国家首批网络安全等级保护测评、商用密码应用安全性评估、国家网络关键设备安全检测等多项机构资质授权。长期支撑国家及地方行业主管（含监管）部门的重点专项、重大项目及重要活动，权威可靠。

l  网络与数据安全服务体系成熟，经验丰富口碑良好

具备完善的数据安全服务体系，且具有成熟的网络安全等级保护服务体系及商用密码应用安全服务体系，在检测评估、咨询规划、人员培训等方面具有丰富的技术研究积累及项目服务经验。

l  数据安全团队专业扎实，支撑/服务成果丰富

团队已开展多个行业的数据安全主管部门支撑及各项技术服务工作，在制度政策供给、标准规范研究、全方位技术服务等方面具有典型案例，具有较丰富的数据安全支撑及技术服务经验。

典型案例

l  某行业数据业务和安全咨询管理

l  某行业安全管理相关制度文件编制咨询

l  某行业数据安全及个人信息保护分析研判

l  行业数据安全综合评估