1.CDSP便于企业通过数据安全合规性合法性审查
《网络安全审查办法》
审查标的由“供应链安全”审查扩大到了“供应链安全”审查和“数据安全”审查,并落实了最新出台旧尚未生效的《中华人民共和国数据安全法》中的相关制度。
《个人信息保护法》
个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失。
《网络安全法》
网络运营者的则应根据网络安全等级保护制度的要求,履行安全保护义务,保障网络免受干扰、破坏或入侵,防止数据泄漏或被窃取或篡改。
《数据安全法》
开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。
重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门门报送风险评估报告。
《等级保护2.0扩展要求》
对审计数据控制,云服务商和云服务客户的数据访问权限以及云端加密数据的密匙管理都有明确要求。
2.在数据生命周期各阶段企业面临的数据安全风险!
数据采集阶段:主要有数据源服务器未及时更新漏洞,进行数据库系统加固,缺少问控制和数据层安全防护,如运维访人员刷库和外部SQL注入等。
数据存储阶段:主要有数据明文存储导致数据泄露,缺少统一访问控制及相关身份认证,缺少审计及异常操作告警。
数据处理阶段:主要有缺少数据访问控制,数据脱敏机制,缺少数据处理审计及异常操作告警。
数据传输阶段:系统并发访问链接高,数据库中含有大量敏感数据,同时缺乏审计记录、并且存在批量数据导出行为缺乏主动拦截。
数据交换阶段:主要有缺少数据访问控制,缺少数据脱敏机制,缺少数据处理及异常操作告警。
数据销毁阶段:存储成本的进一步降低,很多企业 采取了“保留全部数据”的策略, 缺乏有效监管审计容易造成数据存储介质丢失。
想要了解更多关于CDSP资讯信息,请关注中培伟业金老师二维码: