今天看啥  ›  专栏  ›  中智协-注册风险管理师CPRM

工业和信息化领域数据安全合规指——数据安全风险监测预警、报告、处置

中智协-注册风险管理师CPRM  · 公众号  ·  · 2024-11-27 10:01
    

主要观点总结

该文章主要介绍了数据安全风险监测预警、数据安全风险信息报告、数据安全风险处置、数据安全事件应急处置、数据安全风险评估等方面的内容。

关键观点总结

关键观点1: 数据安全风险监测预警

通过部署相关系统设备,建立数据安全风险监测预警技术能力,及时监测日常数据处理活动中的安全风险,并可根据相关预警信息设置差异化告警级别,匹配对应的告警提醒方式。

关键观点2: 数据安全风险信息报告与处置

对发现的数据安全风险进行研判,分析数据安全事件的可能性及其可能造成的影响,并将可能造成重大及以上安全事件的风险及时向地方行业监管部门报告。同时,当发现数据安全缺陷、漏洞等风险时,及时排查安全隐患,采取相应的处置和惩戒措施。

关键观点3: 数据安全事件应急处置

制定本单位数据安全应急预案,开展应急演练,提高数据安全事件应对能力。当收到不同级别的预警时,应启动相应级别的响应,采取措施开展应急处置工作。

关键观点4: 数据安全风险评估

组建评估团队,开展自评估或委托第三方评估机构进行评估。确定评估范围,制定评估方案,实施风险评估,并形成评估报告。重要数据和核心数据处理者每年至少进行一次数据安全风险评估,并及时向地方行业监管部门报送风险评估报告。


文章预览

一:数据安全风险监测预警 1.1 一般数据 (1)通过部署监测审计、态势感知等相关系统设备,建立数据安全风险监测预警技术能力,及时监测日常数据处理活动中的安全风险,如导入导出严重异常、违规向第三方传输、非必要端口开放、数据泄露、数据篡改、数据滥用、非法访问、流量异常、数据违规出境等。(2)密切关注工业和信息化领域数据安全风险信息报送与共享平台通报的,以及国内外权威漏洞库及相关厂商发布的漏洞预警通知,定期开展漏洞排查与扫描检测,留存相关记录。(3)可根据相关预警信息设置差异化告警级别,匹配对应的告警提醒方式(短信提醒、电话提醒、系统提醒等),并发送提醒相关责任人,如系统管理员、安全审计员等。 1.2 重要数据和核心数据 在满足 5.1.1 的基础上,做好以下工作:(1)建设数据风险监测预警 ………………………………

原文地址:访问原文地址
快照地址: 访问文章快照
总结与预览地址:访问总结与预览