结缘数据安全评估师(CCRC-DSA)从最初的校园生活到踏足网络安全和工控领域,直至今年接触数据安全,我在网络与数据安全领域从业已6年有余。这6年的工作经历,让我对网络与数据安全有了一些粗浅的认识,也掌握基础了网络架构、网络设备调试等知识。参加中国网络安全审查技术与认证中心数据安全评估师(CCRC-DSA)岗位能力认证评价考试,一方面是基于公司对数据安全工作的高度重视,更重要的是出于自身对掌握数据安全领域新知识、把握数据安全新态势的渴望。
我对数据安全的理解
随着数字化时代的到来,数据已成为继土地、劳动力、资本、技术之后的第五大要素,数据作为生产要素分配,已经上升到国家的战略高度。我虽然知晓国家对于数据安全的重视程度,也了解数据安全相关法规及制度的颁布实施,但对于数据方面的安全问题、整体架构、评估方法及流程、治理模式等事项还存在一知半解,浅尝辄止的情况,迫切需要专业的能力评价和知识学习来弥补自身短板,这也是我参加CCRC-DSA岗位能力评价的初衷。通过对CCRC-DSA知识的学习以及和大家的内部探讨、心得交流、项目案例分享及专家点评,不仅加深了我对数据安全评估相关概念的理解,提高了自己的数据安全理论深度,还掌握了数据安全评估具体实践流程,补足了自身数据治理安全实践弱项,更难能可贵的是结交了一群志同道合的伙伴。
关于数据安全评估工作的心得体会
数据安全工作的重点是数据安全风险评估,数据安全风险评估工作需从技术和管理双层面进行。首先需要了解企业中哪些数据需要数据评估,对于这些疑问可以从《信息安全技术 网络数据分类分级要求》(征求意见稿)《信息安全技术 重要数据识别指南》(征求意见稿)《信息安全技术 数据安全风险评估方法》(征求意见稿)中找到答案。《数据出境安全评估办法》等相关法规和标准则是对处理重要数据或者赴境外上市的数据处理者需要开展的相关数据安全评估工作作出规定。
数据安全评估是个综合项目。开展数据安全评估工作首先要将数据进行分类分级,如此才可知晓对于不同的数据需要采取不同的方式方法进行评估;其次要考虑数据的收集、个人信息的存储、识别和评估等;再者需要重视数据的采集、传输、存储、使用、加工、公开和删除等全生命周期的多个环节。数据安全评估除了要考虑数据技术层面,也要考虑数据在安全管理防护层面相关内容,可通过人员访谈、文档查验、安全核查、技术测试等方法对数据及数据处理活动进行评估。
数据安全风险评估重点工作分为评估准备、信息调研、风险分析、风险总结四个方面。数据安全风险评估重点关注数据和数据处理活动(数据全生命周期)所面临的风险、风险源、安全措施等基本要素。数据安全风险评估各要素关系图如图1所示:
图1:数据安全风险要素关系
· 评估准备:和企业签订协议后,开始前期评估准备阶段。此阶段通过协议和企业的数据安全管理要求确认企业此次评估的范围、数据资产及数据处理活动中参与人及所属行业。根据相关情况准备评估工具、参与评估人员、评估计划,调研表单等。
· 信息调研:调研根据前期准备工作确认的范围、企业数据及数据处理活动(收集、传输、存储、公开、删除等)所涉及的数据及数据的分类分级情况,涉及个人信息情况等。
· 风险分析:通过GB/T 41479、GB/T 35273明确数据和数据处理活动技术和管理层面数据所面临的风险及风险源,对照数据造成的风险值并参考安全措施(技术和管理等)量化出结果。
· 风险总结:对于风险分析的结果进行数据风险问题梳理,对数据风险问题给出处置建议。企业根据处置建议提供解决时效及方案,并对于处置后的风险再次分析识别,最终编制数据安全风险评估报告。风险评估报告如图2所示:
图2:数据安全风险评估报告
CCRC-DSA数据安全评估师认证办理北京青蓝智慧科技有限公司13521730416.