为企业数据安全保驾护航

近几年数据作为生产要素的价值和风险变得更加突出，数据安全问题备受各行各业的关注，但数据作为生产要素提出尚处于一个比较新的阶段，这使得对于大多数企业来说，开展数据安全建设没有明确的思路，方法也不成体系。如何设计、规划、落地和运营企业数据安全建设是燃眉之急。现开源网安以法律合规要求为根本出发点，以数据为中心，推出数据安全咨询的专项服务，协助企业掌握自身数据安全风险情况，完善数据安全能力建设。

数据安全现状

数据安全挑战不断，缺乏体系化防护，人员安全意识也未普及

线上业务的爆发、或业务上云都使得数据安全风险骤增，数据交易使数据的流动更频繁，这都要求数据安全技术和理念不断演进。而数据泄漏事件的数量以及单次泄漏的数据量都呈逐年增高的趋势，泄漏的数据内容和影响的人数也在不断刷新纪录。

数据发生泄漏的原因多且复杂，有关联的因素包括人员、应用、数据内容和使用方式等方面。企业机构目前仅依赖若干孤立产品进行安全防护，已不能应对当前复杂的应用场景。

很多起数据泄漏事件更是因为员工对数据安全缺乏足够重视。数据安全与网络安全相比，尚未得到完全普及。如何从组织建设、制度流程、技术工具、人员能力等方面出发保障数据安全与合规成为急需解决的问题。

国家监管变宽且趋严，企业违规影响多元

目前我国以《网络安全法》《数据安全法》和《个人信息保护法》为上位法，再加上《关键信息基础设施安全保护条例》《网络数据安全管理条例（征求意见稿）》《网络安全审查办法》《互联网信息服务管理办法（修订草案征求意见稿）》等多部目的明确、条文细致的下位法和配套法律、法规、条例、指导意见等，共同组成了我国网络安全与数据安全法律体系。

数据安全已成为事关国家安全与经济社会发展的重大问题，数据安全和个人数据保护法律法规和国家标准的密集出台，彰显了我国对于开展数据安全治理和个人信息保护的决心。

企业发生数据安全事件，个人信息泄露事件，将面临舆论谴责、民事侵权赔偿、行政监管罚款等一系列不利局面。若已经上市或即将上市，则会间接导致股票下跌、上市受阻等衍生影响。

为什么需要数据安全咨询服务？

对于企业

管理者：

可以建立起适配企业自身特点的数据安全管理体系，减少因违反法律而产生的经济处罚及通报批评产生的名誉受损风险。

处罚案例：

2021年1月19日，银保监会公布了2021年1号罚单，剑指金融数据安全，罚单详情如下:

根据罚单内容，农业银行因发生重要信息系统突发事件未报告；制卡数据违规明文留存；生产网络、分行无线互联网络保护不当；数据安全管理较粗放，存在数据泄露风险；网络信息系统存在较多漏洞；互联网门户网站泄露敏感信息等6项案由，根据《中华人民共和国银行业监督管理法》第二十一条、第四十六条第五项和相关审慎经营规则，被罚款420万元。

问题原因：

未建立数据安全管理体系
敏感数据保护缺失

同年3月17日银保监会再开出个人信息保护罚单，根据公布的行政处罚信息公开表显示，中信银行股份有限公司因涉及客户信息保护体制机制不健全、客户信息收集环节管理不规范、敏感信息管理不善、违规存储客户敏感信息等违法违规行为，被处罚款450万元。详情如下：

开源网安咨询服务可帮助企业建立科学的数据治理机制和数据安全管控体系。

具体如下：

建立数据安全管理制度体系
明确数据安全管理组织架构，梳理内部安全管理流程和人员
制定敏感数据分类分级保护管理机制

2021年7月“滴滴企业版”因存在严重违法违规收集使用个人信息问题，被多部门进驻联合审查，国家互联网信息办公室依据《中华人民共和国网络安全法》相关规定通知应用下架上述25款App

2022年2月18日，工信部通报2022年第一批侵害用户权益的APP通报指出，依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规，我部近期组织第三方检测机构对移动互联网应用程序(APP)进行检查，截至目前，尚有107款APP未完成整改。同时，检测过程中发现，13款内嵌第三方软件开发工具包（SDK）存在违规收集用户设备信息的行为名单如下:

问题原因：

侵犯用户权益
个人信息保护不合规

开源网安咨询服务可以从两个方面展开合规工作：

从数据合规体系制度建设角度给予App数据合规合规的制度保障生态
依托开源网安移动应用安全合规检测平台（简称：AppCheck），从技术角度给予App数据安全的运营环境

员工：

提高员工的数据安全意识，减少人为造成的数据安全风险问题，减少敏感信息泄露风险。

事件案例;

某酒店集团共140G约5亿条个人信息遭泄露，且被发现泄露的信息在境外黑市中售卖。

因该集团对员工的安全意识缺乏足够的教育培训，导致开发人员在无意识的情况下将公司测试平台的账号密码发到 GitHub（一个软件托管平台）上，使得黑客随便使用正常的下载工具即可下载整个数据。

问题原因：

安全管理流程问题
人员安全意识不足

开源网安咨询服务可依托数据安全现状提供：

以咨询服务落地执行的数据安全管理体系为基础，围绕数据全生命周期宣贯数据安全方法论，提高有关人员数据安全相关工作落地效率和保障意识。

开源网安数据安全咨询服务提供什么？

数据生命周期链路长、涉及环节多，安全能力建设落地是一个持续的过程。

开源网安能够帮助企业按照数据等级、数据量级、数据风险可能性等维度综合评估数据风险情况，并按照风险防范的优先级给出数据安全能力建设意见。包括：

1.识别重要的数据资产，评估特定场景下的数据风险

2.促进建立科学的数据治理机制和数据安全管控体系

3.为组织建议适宜的数据安全技术与产品实施方案

4.保障组织在数据安全领域的合法合规

开源网安数据安全咨询项目的计划及交付，涵盖数据分类分级梳理、数据安全风险评估、数据安全能力建设和数据安全日常运营四大模块。

下图为数据安全咨询服务内容：

对目标单位中的数据资产进行梳理，形成数据资产的清单，并对数据进行分类分级。对数据资产面临的威胁、存在的弱点以及可能造成的影响综合作用所带来的风险评估。对风险评估结果结合合规要求为客户提供相应的专业报告及解决方案。

数据安全能力的建设思路：

数据安全管理体系建设思路：

数据安全解决方案思路：

开源网安数据安全咨询服务最终交付物：

差距分析报告、风险评估报告、合规评估报告、数据安全建设规划方案、数据安全管理制度体系、数据安全相关制度、数据安全培训。

数据安全咨询服务的意义

在大数据时代，数据安全及个人信息保护成为了人们首要关注的问题。开源网安咨询团队以国家数据安全法和行业数据安全监管规范为准绳，全面动态掌控企业在数据安全方面的差距，并以此为基础从组织、制度、技术、人员四个维度完成适合实际用户数据安全建设的规划设计，让数据安全建设有章可循，输出配套的数据安全制度及规范流程，从而解决数据安全建设管理中的难点，并确保咨询方法的科学性以及咨询成果的有效性，最后能实现最优最贴合场景痛点的数据安全建设。