数据安全评估业务介绍

1、业务介绍

随着信息技术的发展，众多行业的基础业务、核心流程、行业间业务往来等事务和活动均已运行在信息化支撑载体之上，各行业信息系统生产运行过程中产生的信息也逐步以不同形式转化为数字资产。随着大数据、人工智能、云计算等新技术在各行业的深入应用，数据逐步实现了从信息化资产到生产要素的转变，其重要性日益凸显。

数据泄露、滥用、篡改等安全威胁的影响逐步从各机构内转移扩大至合作方间以及行业间，甚至影响国家安全、社会秩序、公众利益与经济市场稳定。如何在满足业务基本需求的基础上，强化数据保护能力，防范数据安全风险，已成为当前亟待解决的问题。

我中心依据《中华人民共和国数据安全法》《信息安全技术数据安全能力成熟度模型》《信息安全技术网络数据处理安全规范》等政策法规、标准规范的要求，对数据安全保护范围、数据安全管理要求、数据运营活动控制等环节进行评估。

主要对被评估机构当前数据安全现状、所面临的各类数据安全问题严重程度及主要安全风险情况等进行分析，针对组织数据收集、存储、使用、加工、传输、提供、公开等活动，根据相关法规标准要求，按照风险分析的方法，分析网络运营者数据相关活动存在的安全风险，并提出相应改进建议。协助用户发现本单位目前存在的数据安全风险和控制薄弱点，提升数据全流程的安全管控能力。可依据资产分类分级结果、对数据安全保护现状开展脆弱性评估和威胁性评估，最终形成数据安全评估报告；另一方面可基于业务流程或者信息系统对数据全流程的安全管控进行评估，用于指导安全建设。

２、服务流程

３、典型案例

1)中山医院数据安全风险评估：基于《数据安全能力成熟度模型》，结合医疗机构需要满足的数据安全相关法律法规和监管要求和行业实践，从数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全、以及通用安全对互联网应用进行数据安全评估。

2)上海市规划和自然资源局数据安全风险评估：基于《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《GB/T39477—2020信息安全技术政务信息共享数据安全技术要求》结合政务系统需要满足的数据安全相关法律法规和监管要求，围绕市规划和自然资源局重要信息系统以及重要数据开展数据安全管理、数据安全技术、数据安全运营等多方面开展数据安全评估。