存儲域
數(shù)據(jù)庫加密 諾亞防勒索訪問域
數(shù)據(jù)庫防水壩 數(shù)據(jù)庫防火墻 數(shù)據(jù)庫安全審計 動態(tài)脫敏流動域
靜態(tài)脫敏 數(shù)據(jù)水印 API安全 醫(yī)療防統(tǒng)方運維服務(wù)
數(shù)據(jù)庫運維服務(wù) 中間件運維服務(wù) 國產(chǎn)信創(chuàng)改造服務(wù) 駐場運維服務(wù) 供數(shù)服務(wù)安全咨詢服務(wù)
數(shù)據(jù)出境安全治理服務(wù) 數(shù)據(jù)安全能力評估認證服務(wù) 數(shù)據(jù)安全風險評估服務(wù) 數(shù)據(jù)安全治理咨詢服務(wù) 數(shù)據(jù)分類分級咨詢服務(wù) 個人信息風險評估服務(wù) 數(shù)據(jù)安全檢查服務(wù)上海燃氣有限公司(下稱“上海燃氣”)是綜合性城市燃氣運營企業(yè),負責保障上海市燃氣安全服務(wù)供應(yīng)。截至2020年底,上海燃氣服務(wù)天然氣用戶640萬戶,年供應(yīng)天然氣逾90億立方米。公司高度重視數(shù)字化改革對企業(yè)生產(chǎn)經(jīng)營、運營管理、服務(wù)水平等方面的提升,其應(yīng)用系統(tǒng)作為關(guān)鍵信息基礎(chǔ)設(shè)施,所涉及的數(shù)據(jù)涵蓋工業(yè)、運營、個人信息等數(shù)據(jù)。
此背景下,上海燃氣為響應(yīng)國家法律法規(guī)要求,保障業(yè)務(wù)系統(tǒng)安全,此次以客服類系統(tǒng)為切入點,開展數(shù)據(jù)安全治理工作。作為一家擁有海量數(shù)據(jù)資產(chǎn)的企業(yè),上海燃氣目前在數(shù)據(jù)安全治理工作落地方面,存在以下困境:
1、對數(shù)據(jù)資產(chǎn)使用權(quán)限缺乏有效性梳理,未落實數(shù)據(jù)分類分級管理并制定相應(yīng)的權(quán)限管控。
2、公司目前已建立較為完善的信息安全保障制度體系,但數(shù)據(jù)安全建設(shè)工程浩大,面對海量數(shù)據(jù)資產(chǎn),若無切實有效的數(shù)據(jù)安全制度流程,則難以掌握數(shù)據(jù)流向。
3、在等保合規(guī)基礎(chǔ)上,公司有意識進一步提升數(shù)據(jù)安全防護能力,降低數(shù)據(jù)安全隱患可能帶來的風險,但在具體落地方面仍存在難點。
基于上海燃氣數(shù)據(jù)安全防護的現(xiàn)狀和具體需求,美創(chuàng)科技圍繞“讓數(shù)據(jù)更安全更有價值”的核心目標,按照政策法規(guī)要求,以DSMM為抓手,以數(shù)據(jù)流向和應(yīng)用場景為切入點開展數(shù)據(jù)安全治理咨詢。咨詢內(nèi)容共分為以下三個階段:
第一階段:數(shù)據(jù)資產(chǎn)梳理
通過問卷調(diào)研、工具探查等方式多維度盤點數(shù)據(jù)資產(chǎn),厘清客服類數(shù)據(jù)資產(chǎn)現(xiàn)狀,并在此基礎(chǔ)上進行數(shù)據(jù)分類分級,為后續(xù)數(shù)據(jù)安全精細化管控提供基礎(chǔ)。數(shù)據(jù)資產(chǎn)梳理完成了如下內(nèi)容:
1、數(shù)據(jù)資產(chǎn)盤點:通過工具探查客服類數(shù)據(jù)資產(chǎn)情況,為分類分級實施做好準備工作。
2、數(shù)據(jù)權(quán)限現(xiàn)狀:盤點清楚用戶具備哪些權(quán)限,數(shù)據(jù)可以被哪些用戶增刪改查,權(quán)限過大用戶有哪些等。
3、數(shù)據(jù)流向梳理:盤點清楚客服類數(shù)據(jù)從采集、傳輸、共享交換到銷毀的流向。
4、數(shù)據(jù)分類分級:完成數(shù)據(jù)分類和分級,共分四級,其中一半為敏感數(shù)據(jù),同時明確各級數(shù)據(jù)的安全要求。
第二階段:數(shù)據(jù)安全風險評估
對上海燃氣數(shù)據(jù)安全現(xiàn)狀進行分析,識別和分析數(shù)據(jù)資產(chǎn)在全生命周期各階段風險,并給予中立的加固建議。數(shù)據(jù)安全風險評估內(nèi)容包括如下:
1、基礎(chǔ)風險評估:通過安全基線檢查、漏洞掃描、滲透測試等方式,發(fā)現(xiàn)在數(shù)據(jù)處理環(huán)境中存在的安全漏洞,并提供加固建議。
2、數(shù)據(jù)安全能力差距評估:基于客服類業(yè)務(wù)實際情況量體裁衣,深度分析和評估當前組織安全能力現(xiàn)狀,幫助其清楚自身在生命周期各階段的能力現(xiàn)狀與目標的差距。
3、數(shù)據(jù)安全合規(guī)評估:全面解讀和分析《數(shù)據(jù)安全法》、《個人信息保護法》以及地方辦法條例內(nèi)容,通過聯(lián)合對標分析,全面評估組織數(shù)據(jù)安全合規(guī)情況和合規(guī)風險,并提供針對性的加固建議。
4、數(shù)據(jù)全生命周期風險評估:參考信息安全風險分析方法,從資產(chǎn)和風險兩大視角出發(fā),基于數(shù)據(jù)分級結(jié)果,建立組織風險評估模型,識別組織面臨的數(shù)據(jù)安全風險,通過定性分析和定量分析方法,評估數(shù)據(jù)資產(chǎn)面臨風險。
第三階段:數(shù)據(jù)安全建設(shè)規(guī)劃
基于數(shù)據(jù)安全風險評估的結(jié)果,結(jié)合客戶方的實際情況,提供針對性的數(shù)據(jù)安全建設(shè)規(guī)劃方案:
1、管理制度建設(shè):結(jié)合客戶方實際,基于合規(guī)要求,完成部分相關(guān)數(shù)據(jù)安全相關(guān)制度建設(shè),為后續(xù)管理提供依據(jù)。
2、數(shù)據(jù)安全建設(shè)規(guī)劃:從管理、技術(shù)和運營三個維度規(guī)劃,開展數(shù)據(jù)安全建設(shè)的短、中、遠期規(guī)劃和建設(shè)工作,明確建設(shè)依據(jù)、建設(shè)規(guī)劃、建設(shè)路徑、建設(shè)周期、建設(shè)優(yōu)先級等內(nèi)容,為數(shù)據(jù)安全建設(shè)道路提供指引。
1、摸清家底,把控風險
通過數(shù)據(jù)資產(chǎn)梳理,厘清數(shù)據(jù)重要性和敏感度,實現(xiàn)各類數(shù)據(jù)資產(chǎn)的識別分類、賬戶權(quán)限梳理,可以幫助客戶快速、清晰了解數(shù)據(jù)安全現(xiàn)狀和風險點,為數(shù)據(jù)安全建設(shè)提供依據(jù)。
2、規(guī)劃方向,指引建設(shè)
基于保護目標和風險點清晰的必要條件下,通過建議采取適當、合理的管理措施和安全防護措施,為上海燃氣數(shù)據(jù)安全后續(xù)建設(shè)提供指引。
3、樹立標桿,促進發(fā)展
作為該行業(yè)優(yōu)先落地數(shù)據(jù)安全咨詢組織,積極響應(yīng)國家號召,不僅符合法律法規(guī)要求,更為后續(xù)數(shù)據(jù)安全精細化防護策略落地提供依據(jù),為數(shù)據(jù)共享交換保駕護航,同時也為同行業(yè)樹立了榜樣。
請聯(lián)系我們,我們將推薦適合您需求的產(chǎn)品,或為您定制解決方案
400-811-3777轉(zhuǎn)1