抄作业 | 合合信息:AI+Data数据安全体系及数据处理场景风险评估
来源:网信上海
为贯彻落实《网络安全法》《数据安全法》《个人信息保护法》《上海市数据条例》等法律法规,推动建立我市网络数据安全风险评估机制,提升全市数据安全防护能力和水平,2023年8月至12月,市委网信办会同中国电子技术标准化研究院、上海市信息安全测评认证中心成立试点工作组,组织开展了网络数据安全风险评估试点工作,遴选出一批试点优秀单位和试点优秀案例。
今天分享上海合合信息科技股份有限公司试点优秀案例——《AI+Data数据安全体系及数据处理场景风险评估》。
本案例围绕信息调研这一环节,从数据处理者基本情况、业务和信息系统情况、数据资产情况、数据处理活动情况以及数据安全措施情况五个方面阐述了合合信息在就调研内容采取的针对性方法及取得的调研结果。并通过建立专项小组从组织架构上保障信息调研工作有效推进,借由系统性的机制建设和工具创新以及自动化技术实现信息调研工作精准开展,形成“方法奏效、工作高效、结果有效”的信息调研流程,对信息调研工作常态化开展具有参考意义。
Europrivacy认证
文前扫码咨询 详细介绍
CAIM报名
CAIL报名
AI+Data数据安全体系及数据处理场景风险评估
(节选)
1)调研方法
a)成立数据安全风险评估专项小组
在进行数据安全风险评估的过程中,公司管理层高度重视数据安全风险评估工作,基于调研信息复杂多元的特性,决定自上而下推进工作开展,迅速组建了数据安全风险评估专项小组,该小组直接向安全与合规管理委员会进行汇报。通过这种组织架构层面的优化调整,专项小组得以依托上层决策力量,高效统筹并推进各项试点调研工作,实现了从战略部署到执行落地的一体化。此举不仅有效解决了初期调研工作的瓶颈问题,更有力保障了信息调研工作的整体进度和质量,最终促成项目的成功实施。
b)建立跨部门协同联动责任制
由首席数据官牵头联动技术负责人和产品负责人共同推进数据安全风险评估工作,这一举措有效地动员了包括核心业务、安全与合规、法务及运维在内的关键职能团队深度参与,通过构建跨部门协作网络,实现了信息调研、风险识别和风险评估三大阶段工作的衔接与整合,有效打破了部门间的信息沟通壁垒,强化了内部协调联动机制,从而显著提升了整个数据安全风险评估流程的工作效率与执行力度。
2)调研结果
针对数据处理者基本情况,公司分别就单位基本信息、单位性质、资本组成、业务规模、数据处理相关服务取得行政许可等情况完成调研,充分掌握了数据处理者的资质条件、运营状态等信息
1)调研方法
在面对业务系统复杂交织、数据处理流程连环紧凑等诸多的挑战时,公司采取了精细化管理策略,将业务与信息系统调研内容拆解为更便于管控的小型分析单元,对每个单元进行深度剖析,以精准识别出潜在的数据安全风险点。
图1 数据流转图
2)调研结果
该部分调研主要针对网络和信息系统基本情况、业务基本信息、信息系统、APP和小程序情况、数据中心和使用云平台情况以及接入的外部第三方SDK情况等进行梳理,绘制数据流转图,分析数据在不同业务和信息系统的流转情况,掌握了各个业务场景下的数据处理全貌,为后续的数据安全风险识别、评估和控制奠定了基础。
1)调研方法
公司根据《数据安全法》《个人信息保护法》等法律法规以及标准文件,从数据质量、数据数量和数据价值三个维度建立了内部数据分类分级规范,明确公司数据分类分级的标准及对应保护措施等,保障数据资产的安全性、合规性、稳定性。同时,借助大数据分类分级管理平台,对内部数据资产情况进行盘点分析,高效、精准地完成了数据资产梳理。
2)调研结果
公司针对本次重点评估对象开展了数据资产盘点,涉及多项结构化和非结构化数据,形成了完整清晰的数据资产表单。而借助数据分类分级机制和平台,原本预计至少1个月的调研时间,最后成功缩短至10日。
图2 数据分类分级系统测试环境截图
图3 《数据分类分级规范》制度文件
1)调研方法
在数据处理活动信息调研过程中,从业务实际出发将数据处理活动划分为“数据收集”“数据存储”“数据加工、使用、公开、删除”“数据传输”“数据提供”五个环节,并从“数据信息内容”“数据处理合规性”“处理技术安全性”三个锚点设计具体的信息调研维度,形成数据收集清单、数据提供清单、数据传输清单等5份数据安全风险评估过程的模板清单。调研人员仅需根据模板清单填写具体内容,促进了信息获取与整理工作的有序进行,直观地帮助识别并定位潜在的数据安全风险点,对建立常态化、标准化数据安全风险评估工作流程有积极意义。
2)调研结果
a)数据收集环节
数据收集环节共梳理18个业务场景,分别从SDK/API名称、接收方名称、收集信息内容等9个维度对数据收集进行调研。
图4 数据收集清单
b)数据存储环节
数据存储环节共梳理7个功能场景,分别从涉及到的信息、数据存储方式、存储系统等7个维度进行调研。
图5 数据存储清单
c)数据使用、加工、公开、删除环节
数据使用、加工、公开、删除环节共梳理20个相关场景,分别从数据使用目的、收集数据内容、数据对接系统/部门等11个维度进行调研。
图6 数据使用、加工、公开、删除清单
d)数据传输环节
数据传输环节共梳理出18个业务场景,分别从传输信息内容、传输方与接收方的情况、传输加密情况等12个维度进行调研。
图7 数据传输情况清单
e)数据提供环节
数据提供环节共梳理出18个业务场景,分别从提供目的、提供信息的来源、接收方名称等11个维度进行调研。
图8 数据提供清单
1)调研方法
在调研安全措施情况时,专项小组除采取传统的面对面访谈、文档审阅等手段,更充分利用了公司自主研发的安全运营中心(SOC)。SOC系统通过实时监控、智能告警及应急处置,对公司内部网络环境及数据安全状态进行全天候严密守护。同时,结合外部第三方权威的数据安全监测技术,对核心业务流量实施持续性的外部数据泄露风险监测。
得益于此,评估人员可以系统化地审查和分析公司在网络安全防护层面的具体部署,包括但不限于各类安全措施的实际运行状况、潜在网络漏洞及其管理响应效率、员工操作行为中是否存在异常现象以及历史记录中的网络与数据安全事件、遭遇过的攻击威胁等多元维度信息。这种科技赋能的方式有效地提升了在数据安全措施环节的信息调研准确度与工作效率,从而为风险评估提供了全面而精准的数据支持。
图9 安全运营中心框架图
2)调研结果
在调研安全措施情况时,公司分别从“安全认证与合规审计”“数据安全管理组织制度建设”“防入侵等网络安全设备及策略情况”“身份鉴别与访问控制情况”“网络安全漏洞管理及修复情况”“远程用户管理情况”“设备、系统及用户的账号口令管理情况”“加密、脱敏、去标识化等安全技术应用情况”“历史威胁攻击事件”9个方面进行了调研。
基于以上调研结果,公司有着较为出色的安全防护能力,近三年未发生数据泄露、有效的网络攻击事件,公司拥有成熟的纵深网络安全防护体系,通过自建安全运营中心实现公司网站、服务器、域名等资产监控,同时具备代码安全监控、数据库安全监控、应用进程权限监控、入侵检测防御与响应、敏感端口监控、外网应用漏洞检测及主机漏洞检测等多重防护机制,能多层次多维度识别和响应来自互联网的各种威胁。
数据安全风险评估工作的价值不仅在于单次评估中发现与整改的风险点,更在于将数据安全风险评估融入企业的日常运营与管理中,形成一种常态化的工作机制。公司坚持以问题为导向,将创新实践融入数据安全治理的每一个环节。通过结合先进的自动化数据分析工具和体系化的评估方法,合合信息成功提炼出一套与公司业务紧密相连的评估流程。这不仅提升了评估的效率和准确性,也确保了数据安全风险评估工作与公司整体战略和业务发展的紧密结合。
展望未来,合合信息将继续深化数据安全治理工作,不断优化评估方法和流程,以应对日益复杂的数据安全挑战,促进公司在全球数字化浪潮中稳健前行。
AITrust聚焦AI治理及安全的高端开放共享平台
AITrust整合法律、技术及管理的AI治理共同体
AITrust持续举办沙龙、读书会、论坛、年度大会
AITrust社群招募“AI Trust×”共建单位及大咖
加群请备注:姓名+单位+职务
不备注不通过
微信扫码关注该文公众号作者