天融信“数据出境自评估和防护利器”让数据出境更安全!
TOPSEC
速报!
国家互联网信息办公室令第11号,《数据出境安全评估办法》(以下简称“办法”)于2022年7月7日公布,并于2022年9月1日起正式施行。
近年来,随着数字经济的蓬勃发展,数据出境活动日益频繁,数据处理者的数据出境需求快速增长。《数据出境安全评估办法》的公布,完整承接了《数据安全法》中第三十一条及第四十条法律条文中对数据出境提出的相关规定,并明确了三类需做数据出境安全评估的场景:
重要数据出境。
关键基础设施运营者收集和产生的个人信息出境。
达到一定条件的非关键信息基础设施运营者收集和产品的个人信息出境,并分为一般性个人信息和敏感个人信息。
制定出台《办法》是落实《网络安全法》、《数据安全法》、《个人信息保护法》有关数据出境规定的重要举措,旨在规范数据出境活动,在合法、正当、必要的条件下,对数据处理者的数据出境行为进行多方面、多维度的评估,促进数据流动、数据出境激发数据潜能的同时,保障数据出境活动的安全。
数据出境过程中,数据处理者在进行数据出境评估前,应当开展自评估工作,并且明确提出重点评估事项,比如需明确出境数据的规模、范围等,需评估数据出境中、出境后的数据安全风险等,具体的流程如下:
一旦涉及到数据出境业务的时候,需要开展数据出境风险自评估工作,在这个过程中,数据处理者们面临如下的困惑:
1
出境数据的范围、规模和敏感程度如何清晰定义,如何判定出境数据的合法性、正当性以及产生的影响。
2
出境数据的数据风险评估项如何进行定义,包括数据篡改、破坏、泄露、丢失等。
3
如何确保自身环境中没有相关的出境数据风险,需要进行怎样检测。
天融信认为企业在自评估过程中不仅需要考虑出境数据的管理及技术要求,还需要考虑出境数据的监测验证环节。
基于多年数据安全领域的经验,天融信发布数据出境自评估解决方案,采取数据出境评估模板厘清当前出境数据的范围及内容,通过天融信数据防泄漏系统验证是否存在风险,并根据监测结果生成相应结果报告,解决当前数据处理者的问题,让出境数据自评估更简单、更便捷。
一
明确出境数据范围、脆弱性及合规程度等
通过天融信《数据出境风险自评估调研表》,全面掌握数据处理者和境外数据接收方的业务基本情况、数据基本情况、合规风险情况、管理措施情况、技术措施情况等各方面现状和差距。
调研企业业务的基本情况,梳理并汇总企业涉及的出境业务场景、业务数据处理活动等内容。
根据企业出境业务情况调研,梳理出境业务中所涉及的数据规模、数据范围、数据种类、数据敏感程度等信息,明确重要数据和个人信息数据的数据处理活动情况。
梳理数据处理者的数据安全合规风险情况、管理制度保障能力、技术手段保障能力等。
梳理境外接收方主体背景情况、所在国家或区域的政治法律环境、管理制度保障能力、技术手段保障能力等。
二
验证当前环境中是否存在数据出境风险
出境传输应用协议识别:对数据出境传输通道自动识别,解析HTTPS、HTTP、SMTPS、SMTP、POP3、IMAP、IM、FTP等协议,监测Web应用、社交网络、即时通讯、云盘、邮件等应用,准确还原数据出境行为。
敏感数据监测与防护:采用深度内容识别技术,通过关键字、正则、文件属性、用户组、数据标识符、结构化数据指纹、非结构化数据指纹、权重字典、文档指纹、机器学习等检测算法,实现对跨境敏感数据的监测与阻断,可针对邮件密送、文件加密、修改后缀、多层嵌套、多层压缩、压缩分卷、图片注入等恶意传输敏感数据的行为进行告警、拦截。
内置跨境数据识别策略库:系统内置大量行业的重要信息、个人信息策略库,实现系统快速上线,达到开箱即用的效果。
可视化展示轻松发现风险:提供全面的数据出境风险展示,直观、便捷地了解当前出境数据的风险占比,并迅速进行整改。
三
完善及确认数据出境风险评估报告
通过天融信数据防泄漏系统验证后,形成天融信《数据出境风险自评估报告》,评估报告包括:企业基本情况介绍、评估依据、评估原则、评估流程、评估要点、差距分析、评估总结及建设规划等,可用于开展国家网信部门数据出境安全评估申报。
TOPSEC
随着《数据出境安全评估办法》的发布,后续我国将会针对数据出境展开一系列的工作,包括明确基础概念和操作规范、技术手段建设等。作为国内领先的网络安全、大数据与云服务提供商,天融信将持续加强数据安全领域的研究与实践为客户提供全面的数据出境合规治理以及数据出境过程保护的能力。
相关阅读