データセキュリティリスク評価は、「データセキュリティ法」に定められた基本的なデータセキュリティ体制の一つであり、重要なデータ処理者が果たすべきデータセキュリティ保護義務でもあります。今年5月には「ネットワークセキュリティ標準実践ガイドライン ネットワークデータセキュリティリスク評価の実施ガイドライン」が公表された。
デジタルトランスフォーメーションが継続的に進む中で、部門や組織のデータ量は急速に増加し、データの生成、流通、利用シナリオはより多様化し、さまざまなセキュリティ上の脅威やリスクが複雑に絡み合い、機会を待っています。これは、デジタル化のさらなる進歩に厳しい課題をもたらしています。データ セキュリティ リスク評価を通じて、コンプライアンス規制要件を実装する場合でも、独自のビジネス セキュリティ開発に基づく場合でも、データ セキュリティの隠れた危険を発見し、データ セキュリティ リスクを防止することは重要なタスクです。
Meichuang が立ち上げたデータ セキュリティ リスク評価サービスは、長年データ セキュリティの分野に深く関わっており、金融、政府、医療、その他の業界で豊富な実践経験を蓄積し、一連の科学的リスク評価手法と評価リファレンスを形成しました。モデル。経験の蓄積と変革に基づいて、美創は 2022 年に複数の機能を統合した包括的なデータ セキュリティ評価システムを正式にリリースし、評価作業の簡素化と効率化に取り組んでいます。
では、どうやって進めればよいのでしょうか?次に、データ セキュリティ リスク評価サービスの「実行者」を理解するための事例演習から始めましょう。
チャレンジ
大量のデータ収集は複雑なリスクに直面する
「人々の利益」、「医師の利益」、「政府の利益」を促進するために、市は健康な脳のデジタル基盤として国民健康情報プラットフォームを使用して市内のすべての医療・保健機関を接続し、業界全体の健康情報を包括的に統合します。
◼︎ 現在、国民健康情報プラットフォームには約 10TB の個人情報、医療申請データ、医療支払データ、医療資源データ、公衆衛生データが含まれています。
大規模なデータの相互接続と情報共有は、医療と公衆衛生のビジネス連携、便利なサービス開発、包括的なビジネス管理を強力にデータでサポートしますが、ますます複雑化するデータエコロジーは新たなリスクの出現にもつながります。
さまざまな高価値のデータ資産情報に直面している保健医療委員会にとって、セキュリティを適切に遂行することは最優先事項であり、データ資産を保護し、データ資産が直面するリスクを防止または軽減するために合理的な措置を講じる方法は、重要な仕事になります。
練習する
リスクアセスメントを活用して問題を未然に防ぐ
「データセキュリティ法」や「個人情報保護法」などの法令の要件を遵守し、対象を絞った方法でリスクを特定し、データセキュリティ保護の全体的なレベルを向上させるために、市保健衛生委員会は、 Meichuang Technology は、データ セキュリティ リスク評価システムの有効性を調査するためのメソッド パスを実装しました。
データセキュリティのリスク評価作業は、データ資産とデータ処理活動を中心に展開され、評価プロセスでは、データ資産の価値、資産の脆弱性、セキュリティの脅威、セキュリティ対策の関係を十分に考慮する必要があります。
このリスク評価は主に国家健康情報プラットフォームのデータに基づいており、美創科技は「省のデータセキュリティリスク」に基づいて、データセキュリティ総合評価システム、ダークデータの発見、分類と分類などの自動ツールを手動手法と組み合わせて採用しています。評価仕様書(トライアル版) 「主要な参考文書として、データ資産の特定、脆弱性の特定、脅威の特定、リスク分析と計算を通じて、データが直面するさまざまなリスクを包括的に特定し、包括的なリスクリストとデータ資産のリスク推定を生成し、リスク対応の提案サービスプランを提供します。
全体的な評価内容:データ資産の特定と分類、データセキュリティの脅威と脆弱性の特定、データセキュリティ対策の特定など
評価プロセスを整理します。
1.評価の準備
評価ツールの準備
基礎研究の実施
評価計画を作成する
2. 実装の評価
現地調査を実施する
データのコーミングと分類
脅威と脆弱性の特定
データセキュリティ対策等の特定
3. リスク分析
評価資料の照合
リスクの定性的および定量的な計算
リスク治療の推奨事項を作成する
4. レポート出力
コンパイルされた出力
リスク評価報告書
効果
脅威と課題を明確にし、安全な防御線を構築する
◼︎データ資産の識別、分類、分類:データセキュリティリスク評価において、データ資産の識別は重要なリンクです。この評価では、地域および業界の基準と規制に基づいて、保健衛生委員会独自のビジネス状況とデータの特性を組み合わせ、手動調査とダークデータの発見と分類と格付けシステムの二重の組み合わせ方法を通じて、データ資産を迅速に分析します。資産価値の重要性を特定し、分類、割り当て、格付けし、データ資産のリストを作成します。
最後に、ビジネスアプリケーション次元とデータオブジェクト次元から、データは重要度に応じて個人属性データ、医療アプリケーションデータ、医療支払データ、医療資源データ、技術管理データなどのカテゴリに分類されます。一般データ、重要データ、コアデータに分かれています。
◼︎データ セキュリティの脅威と脆弱性の特定:リスク評価の基準と仕様に従って、データの収集、保管、送信、使用と処理、共有およびその他の活動について、セキュリティ管理システム、プロセス仕様、プロセス記録、セキュリティコンプライアンス、技術的能力からおよび機能 合計 36 種類のセキュリティ脅威が特定されました。
脆弱性スキャンやベースライン検証などの脆弱性特定手法と、現状調査段階の非技術調査および分析の結果を組み合わせて、37 の脆弱性評価指標のうち 29 を特定しました。
◼︎ データセキュリティ対策の認識:現在のシステムで採用されているセキュリティ技術対策を評価することにより、アクセス制御の仕組みと実装方法、セキュリティ監査とデータトレーサビリティの仕組みと方法、データの暗号化やデータの暗号化などの管理対策の有効性を確認します。漏洩防止対策など データ セキュリティ保護対策に関する 80 のセキュリティ要件をベンチマークします。そのうち 15 は実装され、21 は部分的に実装され、33 は実装されず、11 は関与しませんでした。
◼︎包括的な リスク分析:上記のリスク評価の側面を通じて、美創はデータの分類と分類に基づいて、データセキュリティ総合評価システムDCASの助けを借りて、強力で豊富なデータセキュリティに依存して、資産とリスクの2つの観点から開始します。セキュリティコンプライアンスデータベースとセキュリティリスクデータベースおよびセキュリティ処理ポリシーライブラリにより、リスク脅威の割り当て、分析、計算が自動的に完了します。17 種類のデータ資産のさまざまなレベルのリスク値を包括的に計算および分析した結果、2 種類の高リスクデータ資産、5 種類の低リスクデータ資産、および 10 種類の超低リスクデータ資産が見つかりました。
◼︎ 最終的に、Meichuang はリスク評価プロセスと結果を要約し、評価対象、データ セキュリティ リスク評価方法、データ資産、データ セキュリティ脅威、脆弱性特定結果、リスク分析、リスク統計や結論などは、医療データの安全かつ秩序ある流れと価値の解放のための確かな一歩を築きます。
Meichuang Technologyは、データセキュリティの豊富な実践とサービスに基づいて、長年にわたってデータセキュリティの分野に率先して注力しており、専門的な「データを理解し、セキュリティを理解する」サービスチームと自動ツールサポートを備えているだけでなく、権威ある機関から推奨されています 「中国のデータセキュリティサービスにおけるトップ10企業」、「IDC Perspective: China’s Data Security Services Market Insights」推奨ベンダーの1社に選ばれ、また、中国と共同で発行するデータセキュリティ賞を受賞しています中国ソフトウェア評価センターおよび中国コンピュータ産業協会データセキュリティ専門委員会によるサービス能力評価資格の最高レベルの証明書。
リスクを明確にすることでのみ事前の計画を立てることができ、強固な防御線を構築することでのみ着実に前進することができます。データの安全性と価値を高めるために、Meichuang Technology は常に、より専門的で効率的なサービスを提供して、何千もの業界のデジタル セキュリティ変革を保護してきました。