数据安全文件体系系列(六) | 外部合规认证与测评
点击蓝字,关注我们
本系列主要阐述数据安全领域的制度文件体系,整合业界的经验编写而成,如有谬误,请及时联系我勘正!本系列文章共计会推出6篇,本文是第六篇,完结撒花,感谢您的关注!
推荐阅读:
等级保护认证测评,来自对《关键信息基础设施安全保护条例》的合规遵从,适用于关键信息基础设施。 GDPR法律合规,适用于向欧盟用户提供服务的业务。 PCI-DSS(Payment Card Industry Data Security Standard,支付卡行业数据安全标准),来自合同义务,适用于所有涉及支付卡处理的实体。
01
《关键信息基础设施安全保护条例》规定:发生安全事件后可能造成严重后果(危害国家安全、国计民生、公共利益等)的设施,属于CII(Critical Information Infrastructures,关键信息基础设施)。
这表明,一些原本属于企业内部的安全工作,开始由企业的自主选择转变为国家意志;很多产品或服务一旦被确认为CII,必须做好安全保护,并满足等级保护相关要求,这就引出等级保护认证测评的需求。对于CII而言,等级保护认证测评已是强制性需求。
需要纳入CII的产品或服务包括但不限于:通信、能源、交通、水利、金融、电子政务等领域的信息系统和工业控制系统,包括但不限于网站、即时通讯、购物、网银、支付、搜索、邮件、地图、电视转播、调度系统、通信网、物联网等。互联网信息网络、云计算、大数据、大型公共信息网络平台或服务。
等级保护根据信息系统的重要程度由低到高划分5个等级,目前广泛认证的是等级保护三级,金融、支付等业务还会涉及四级认证(监管需求)。
02
建立并维护安全的网络:需要有防火墙保护持卡人资料;不使用默认口令。 保护持卡人数据:持卡人数据在存储和传输过程中的保护。 漏洞管理:防病毒软件的定期更新;开发并维护安全的系统和应用程序。 访问控制:限制对持卡人数据的访问;识别并验证对系统组件的访问。 定期监控及测试:跟踪并监控对网络资源和持卡人数据的访问;定期测试安全系统和流程。 维护信息安全政策:人员安全政策。
文件下载地址如下:
listings.pcisecuritystandards.org/pdfs/pci_dss_chinese_simplified.pdf03
云安全国际认证(CSA-STAR),以ISO/IEC 27001认证为基础,结合云端安全控制矩阵CCM(Cloud Control Matrix)的要求,运用BSI(British Standards Institution,英国标准协会)提供的成熟度模型和评估方法,为提供和使用云计算的组织,从如下5个维度,综合评估组织在云端的安全管理和技术能力,并给出独立的第三方外审结论:
来源:CSA-GCR
沟通和利益相关者的参与。
政策、计划、流程和系统性方法。
技术和能力。
所有权、领导力和管理。
监督和测量。
来源:CSA-GCR
04
ISO 27001(信息安全管理体系推荐性认证)
信息安全管理体系规范:建立、实施和文件化信息安全管理体系(ISMS)的要求。 信息安全管理实施规则:该部分对信息安全管理给出细则建议,供安全管理团队启动、实施或维护安全管理体系。
05
ISO 29151提供了针对个人身份信息(PII,Personally Identif iableInformation)的保护实践指南,涵盖26个控制域,181条控制措施,旨在控制个人身份信息相关的风险,满足隐私影响评估的要求,确保个人身份信息全生命周期的安全。
该认证不属于强制性认证,且有关个人数据保护的业界最佳实践框架还有很多,如GAPP(Generally Accepted Privacy Principles,公认隐私准则)、OECD Privacy Framework(Organisation for Economic Cooperation and Development,经济合作与发展组织隐私框架)等。
06
制定专门针对云端隐私保护的条款; 提供针对云上个人数据的安全控制措施。
往期回顾
JOIN US ▶▶▶
向下滑动查看所有内容
想了解更多数据安全的管理制度、标准规范、产品服务、认证评估等,可扫码加入「 数据安全备忘录」知识星球,更多精彩内容持续更新中!
想了解更多数据要素的政策制度、标准规范、最佳实践、行业报告等,可扫码加入「 数据要素备忘录」知识星球,更多精彩内容持续更新中!
关注【数据要素与AI新知】公众号,获取更多行业资讯!
公众号|数据要素与AI新知