《中华人民共和国数据安全法》及《中华人民共和国个人信息保护法》共同构筑了我国数据安全的顶层法律制度。随着相关法律法规落地实施,标志着数据不仅将是重要的商业资源和生产要素,也将是基础性的国家战略资源。企业对于数据的管控能力和用户信息的管控水平,已经成为影响企业发展潜力和核心竞争力的重要因素。
为促进各行各业更加安全地存储数据、使用数据、共享数据,中国信息通信研究院(以下简称“中国信通院”)在广泛听取各方意见和建议后,于2021年1月正式启动“卓信大数据计划”,旨在通过推出多层次指导措施和基础服务帮助企业提升数据安全能力,推动我国数字经济更加健康、可持续的发展。
当前,业务系统的安全防护手段,如漏洞扫描、渗透测试等均关注网络安全层面的风险,无法对业务系统的数据暴露面、敏感接口、数据传输等数据安全风险进行全方位的风险检测,一定程度上暴露了数据安全风险。
为切实帮助企业解决上述问题,中国信通院“卓信大数据计划”于2021年1月1日发起首批“数据安全风险评估专项”。“专项”运用科学的方法和手段,系统地分析业务系统的数据暴露面、敏感接口的脆弱性。
今年9月,“卓信大数据计划”开启了第三批的测试评估工作,截至10月27日,共有30余家企业申请该项评估。在测试过程中发现,接受测试评估的企业普遍存在IP透出、水平越权等相关问题,前期检测出的共性问题如下图所示:
中国信通院数据安全风险评估问题统计(第三批)
其中,12家企业通过整改后基本符合了相关行业标准要求。
表1 中国信通院数据安全风险评估第三批通过企业(排名不分先后)
同时,截至2021年9月前,已有两批次28家企业通过本项测试评估工作。
表2 中国信通院数据安全风险评估第一、二批通过企业(排名不分先后)
截至目前,中国信通院“卓信大数据计划”-数据安全风险评估专项已为近百家企业提供了评估服务,共计40家企业接受了评估指导后通过了测评。2021年11月,中国信通院“卓信大数据计划”将正式开启第四批“数据安全风险评估专项”。本次限定参与企业不超过30家。
参与报名联系:nbd@caict.ac.cn。
校 审 | 陈 力、 珊 珊
编 辑 | 凌 霄
推荐阅读
