服務流程:
成果交付物:
《數據清單》
《數據權限現狀清單》
《數據流向圖》
《安全現狀清單》
《安全掃描結果》
《DSMM安全評估結果》
《合規對標結果》
《數據安全管理制度》
《數據安全建設規劃設計方案》
······
概述:深度解讀法律法規、監管辦法等,協助組織充分了解合規義務、安全現狀、合規風險及處置規劃,旨在及早規避和關注可能存在的風險,包括綜合合規評估、個人信息安全合規、數據跨境合規評估等。
評估流程:
成果交付物:匯編輸出《數據安全合規評估報告書》,另附參考指南/標準清單&附件。具體報告內容包括不限于如下:
數據安全合規義務
信息采集內容
數據安全現狀梳理
主要法律法規解讀
數據安全合規差距分析
安全關注&風險分析
條文符合性評估結果
綜合合規評估結果
合規加固建議
······
參考標準:基于《數據安全法》、《個人信息保護法》,聯合其他數據安全相關辦法規定、行業監管等文件,參考ISO37301:2021標準、Gartner DSG架構、PDCA方法等。
概述:協助組織充分了解數據資產在各項數據處理活動中可能存在的各項風險情況,給予相關的風險處置措施。
評估流程:
成果交付物:《數據安全風險評估報告》作為最終的交付物,報告主要內容包括:
評估工具和方法
評估參考依據
被評估數據資產清單
被評估對象的數據威脅
被評估對象的數據脆弱性
評估情況記錄
數據安全風險清單
數據安全風險分析過程
數據安全風險評估結果
風險處置措施
參考依據:《數據安全法》、《信息安全技術 數據安全能力成熟度模型》、《信息安全技術 數據安全風險評估方法》等國家標準、行業標準、地方標準對評估指標進行定制
評估收益:全面識別組織數據面臨的各種風險,并據此采用適當安全處置措施。數據安全風險評估及其形成的記錄文檔,可用于證明組織已經主動評估風險并采取一定的安全保護措施,有助于減輕、甚至免除組織的相關責任和名譽損失。
概述:旨在幫助組織有效分析在各項數據處理活動中的所存在個人信息、特別是個人敏感信息所可能存在的各項風險情況,同時結合對出現個人信息相關安全事件時所造成的影響進行分析的結果,給予相關的處置措施建議。
服務流程:
成果交付物:最終輸出《個人信息安全風險評估報告書》,包括不限于:
個人信息保護專員的審批頁面
評估報告適用范圍
實施評估及撰寫報告的人員信息
參考的法律、法規和標準
個人信息影響評估對象
評估內容及所涉及的相關方
個人權益影響分析結果
參考依據:《個人信息保護法》、《信息安全技術 個人信息安全規范》、《信息安全技術 個人信息安全影響評估指南》,結合組織所在行業的相關規定,如:醫療衛生行業《GB/T 39725-2020 信息安全技術 健康醫療數據安全指南》等。
概述:依據《數據出境安全評估辦法》、《數據出境安全評估申報指南》等,幫助組織深入理解和研究數據出境活動的限制和要求,厘清數據出境場景、出境數據范圍、限制要求以及緩解措施,完成數據出境風險自評估,輔導客戶申報數據出境安全評估。
服務流程:
成果交付物包括不限于:
數據出境安全風險評估
《數據出境調研結果清單》
《數據出境活動清單》
《數據出境流向圖》
《數據安全風險評估報告》
《個人信息保護影響評估報告》
數據出境安全整改指導
《數據出境安全應急管理制度》
《數據出境安全應急演練方案》
《數據出境安全整改方案》
《數據出境安全建設指引》
《數據出境安全建設加固》
數據出境安全評估申報
《數據出境風險自評估報告》
《數據出境安全評估申報書》
·····
參考依據:《數據安全法》、《個人信息保護法》、《關鍵信息基礎設施安全保護條例》、《網絡安全審查辦法》、《數據出境安全評估辦法》、《數據出境安全評估申報指南(第一版)》、《信息安全技術 個人信息安全影響評估指南》、《信息安全技術 個人信息安全規范》、《信息安全技術 數據出境安全評估指南(征求意見稿)》、《信息安全技術 重要數據識別規則(征求意見稿)》、《個人信息出境標準合同辦法》等。
概述:通過深度解讀和分析法律法規、監管辦法等,提供數據安全檢查內容、通過模板、工具等方式進行快速評估,作為開展符合性判定的參考意見。數據安全檢查方式主要包括監管檢查、企業自查。
檢查流程:
檢查內容:
常用檢查工具:
漏洞掃描設備:漏洞掃描器
基線配置核查工具:基線配置核查系統
數據庫權限核查工具
敏感數據掃描工具
DLP掃描工具
……
參考依據:《信息安全技術 網絡安全等級保護基本要求》、《信息安全技術 數據安全能力成熟度模型》、《信息安全技術 信息安全風險評估規范》、《信息安全技術 個人信息安全規范》、《信息安全技術 個人信息安全影響評估指南》
成果交付物:在制定檢查內容時,提供數據安全檢查清單,包括檢查類別、檢查項目、檢查內容、檢查方式及檢查要點,根據要點判定出檢查結果,最終形成《數據安全檢查結果報告》等。
概述:根據組織實際管理要求,定制化輸出數據安全相關制度、流程和規范文件,以滿足客戶安全管理要求及實質合規要求。
制度設計思路:
成果交付物:包括管理制度、技術制度、檢查制度等,如《數據安全管理制度》、《數據采集與傳輸規范制度》、《數據安全人員管理制度》、《數據安全應急響應管理制度》、《數據安全檢查制度》等。
浙公網安備 33010502006954號 
