闪捷数据安全治理解决方案_数据资产梳理系统

闪捷数据安全治理解决方案

数据安全战略规划服务是安全咨询专家结合客户的合规要求、业务需求、数据资产现状和风险，以数据安全为总目标，从数据安全管理能力、数据安全技术能力、数据安全运营保障能力三方面入手，规划建立健全数据安全长效运营和保障机制，构建数据安全整体防护体系，制定适合组织短期、中期、长期的数据安全建设目标规划。

立即咨询

首页 > 产品中心 > 数据安全 > 闪捷数据安全治理解决方案

开展数据安全工作面临的难题 icon

Gartner数据安全治理理念 icon

数据安全治理流程

数据安全治理服务产品目录 icon

数据安全设计类

数据安全战略规划服务。
数据安全组织设计服务。
数据安全制度设计服务。

数据资产梳理类

数据资产梳理和敏感数据识别。
数据安全分类分级服务。

数据安全评估类

数据安全风险评估服务。
个人信息安全影响评估服务。

数据安全战略规划服务-①服务内容 icon

服务介绍
数据安全战略规划服务是安全咨询专家结合客户的合规要求、业务需求、数据资产现状和风险，以数据安全为总目标，从数据安全管理能力、数据安全技术能力、数据安全运营保障能力三方面入手，规划建立健全数据安全长效运营和保障机制，构建数据安全整体防护体系,制定适合组织短期、中期、长期的数据安全建设目标规划。

数据安全战略规划服务-➁服务流程 icon

数据安全战略规划服务-➂服务交付物 icon

服务交付物
本服务将输出:《数据安全现状评估报告》《数据安全战略规划方案》。

数据安全组织设计服务-①服务内容 icon

服务介绍

数据安全组织设计是安全咨询专家根据客户现有的组织架构、IT架构、安全架构、安全管理需求等，为客户构建包含决策层、管理层、执行层以及监督层的多层次的数据安全管理组织架构提供咨询服务，并综合分析客户实际情况，为数据安全管理组织和角色、数据安全工作职责设计提供支撑服务。

数据安全组织设计服务-②服务流程 icon

1、前期咨询调研

通过咨询调研的方式摸清客户现有的组织架构、信息安全或数据安全组织架构、现有信息安全、数据安全角色，各部门或角色职责分工。

2、组织架构设计

根据前期调研的现状，结合客户的需求和实际情况，设计数据安全组织架构，包含组织层次、角色、职责等。

3、组织架构发布

数据安全组织体系设计完成后，将发客户征求意见，并根据客户意见修改和完善，最后通过客户评审后将以管理制度的方式在客户内部发布执行。

数据安全组织设计服务-③服务交付物 icon

服务交付物
本服务将输出:《数据安全组织架构和职责》、《数据安全角色管理和职责》。

数据安全组织设计服务-④服务价值 icon

服务价值
·满足合规。《数据安全法》第二十七条指出重要数据的处理者应当明确数据安全负责人和管理机构，落实数据安全保护责任。

·建立管理体系。明确了用户数据安全管理组织架构的层次和职责，明确关键角色的职责，指导用户数据安全管理组织建设。

·落实安全责任。通过建立专门的数据安全组织，落实数据安全管理责任，确保数据安全相关工作能够持续稳定的贯彻执行。

数据安全制度建设服务-①服务内容 icon

服务介绍
数据安全制度流程设计服务是安全咨询专家结合客户的合规要求、业务需求、数据资产现状和风险，从组织层面整体考虑和设计，设计包含方针总纲、数据安全管理制度、数据安全操作流程规范、数据安全操作记录/日志的四级数据安全管理体系框架，为数据安全基础管理、数据安全全生命周期管理、数据安全运营各场景管理以及数据安全技术操作提供规范依据。

数据安全制度建设服务-②服务流程 icon

1、前期咨询调研

通过咨询调研的方式对摸清客户现有的安全组织架构、角色和职责，现有数据安全管理规范、数据应用场景、数据使用流程、业务需求和合规需求等。

2、制度规范设计

根据前期调研的现状，依据国家、行业、地方等法律法规要求，结合客户的需求和实际情况，设计数据安全管理体系，包含组织、角色、流程、规范等内容。

3、规范评审发布

数据安全制度规范初稿完成后，发客户征求意见，根据相关方的反馈修改数据安全制度规范形成评审稿，参加客户组织的评审会，记录评审意见，形成终稿，并由客户发布。

数据安全制度建设服务-③服务交付物 icon

服务交付物
本服务根据用户实际需求，输出物可包含:《数据安全管理办法》《数据全生命周期安全管理制度》《数据安全分类分级管理规范》《数据安全分类分级操作指南》《数据脱敏安全规范》《数据加密安全规范》《数据安全权限管理规范》《数据运营安全管理规范》《数据治理安全管理规范》《应用系统日志安全管理规范》《开发测试安全管理规范》《数据安全应急管理》等制度。

数据安全制度建设服务-④服务价值 icon

服务价值
·满足合规需求。《数据安全法》第二十七条指出开展数据处理活动应当依照法律、法规的规定，建立健全全流程数据安全管理制度。

·建立管理体系。三分技术七分管理”，通过规范化的制度流程指导日常数据安全运营管理，指导数据安全管理工作具体落地执行。

数据资产梳理和敏感数据识别/服务内容 icon

数据资产桥理和敏感数据识别服务主要是闪捷数据资产安全管理平台+人工服务方式，闪捷数据资产安全管理平台通过对用户各类数据和数据库账号权限进行拉网式清查盘点，并以数据资产地图、数据资产目录、数据库账户权限目录等方式进行展现;通过机器学习、正则表达式、数据指纹、关键字等多种教感特征识别方式，对用户敏感数据进行识别和定位。安全专家对业务场景、数据库账号权限、数据访问热度进行梳理，梳理出用户、数据库账号和数据表的关联图谱，并绘制数据访问热力图、敏感数据分布图;对敏感数据的异常行为（篡改、下载、访问等）或违规操作进行识别和监控，提前发现可能存在的安全隐患。

数据资产梳理和敏感数据识别/服务流程 icon

1、前期准备及调研

前期调研
·数据源信息调研：ip、库名、账号、实例等。
·敏感数据调研：数据类型、数
据特征等。
·业务情况调研：部门、人员、
业务流程等。
·系统信息调研：数据字典、开
发规范等。
环境准备
·协调准备部署环境。
·部署数据资产管理平台。
·配置数据源和扫描参数信息。

2、特征梳理及敏感定义

数据特征梳理
·开启内置数据特征规则。
·新建数据特征项和规则。
·梳理并导入自定义标注。
·开启AI标签推荐功能。
敏感数据定义
·配置敏感数据标签。
·新建敏感数据规则。
风险模型配置
·配置风险模型参数信息。
·新建风险预警规则。

3、资产梳理和敏感识别

资产梳理
·配置并运行资产扫描任务。
·核验数据特征识别结果。
·完善数据库表中文释义。
·核验数据访问热度及热力图。
·扫描数据库账户权限。
敏感数据识别
·配置并运行敏感数据识别任务。
·核验敏感数据识别结果。
风险监控
·监控敏感数据访问违规行为。
·监控僵尸库表。

4、人工分析及优化

特征及规则优化
·根据资产识别结果优化识别规则。 ·根据敏感数据识别结果优化识别规则。
关联图谱绘制。
·梳理数据访问热度与数据库账号关系。
·绘制用户、数据库账户、热度的图谱。
风险报告输出
·分析风险监控预警事件。
·输出敏感数据报告。
数据资产及敏感数据清单梳理
·梳理数据资产清单。
·梳理敏感数据淸单。
·梳理数据库账户权限清单。

数据资产梳理和敏感数据识别/服务交付物示例 icon

数据资产梳理和敏感数据识别价值 icon

数据资产梳理和敏感数据识别价值 icon

01、厘清数据资产现状

通过数据表结构抽取及敏感数据识别，从数据量级、

数据敏感性、数据分布、访问频次、访问热度等

全面掌握数据资产现状，为后续开展数据

分类分级工作提供支撑。

04、帮助开展数据安全防护

通过梳理数据资产和敏感信息，理清数据资产现状，

摸清数据使用情况，厘清数据应用场景，可帮助后期

开展数据安全防护建设工作。

02、发现敏感数据泄露风险

在敏感数据识别的基础上，通过监控敏感数据的异常行为(篡改、下载、访问等)或违规操作，识别敏感数据泄露风险行为，为后续强化敏感数据安全提供依据。

03、满足数据安全合规要求

通过梳理个人信息，摸清个人信息分布和敏感数据情况，为开展个人隐私安全防护提供依据和支撑，同时满足《中国人民共和国个人信息保护法》和《中华人民共和国数据安全法》等法律法规要求。

数据安全分类分级/服务内容 icon

数据安全分类分级服务主要依照国家《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规、国家和行业相关标准规范（《GBT35273-2020 信息安全技术个人信息安全规范》、《GB/T39725-2020 信息安全技术健康医疗数据安全指南》、《工业数据分级指南》）等以及组织现状，帮助组织设计数据安全分类分级管理体系，保障和指导数据分类分级工作开展；并借助数据分类分级工具，开展数资产梳理工作，并依照数据分类分级规范或方案设计数据分类分级规则模型，生成数据分类分级清单；同时摸清数据应用场景，并设计基于数据分级和数据应用场景的数据安全策略矩阵和数据分级防护方案为精细化数据安全防护提供依据和支撑。

数据安全分类分级/服务流程/管理体系设计 icon

数据安全分类分级/分类分级管理体系 icon

管理体系和职责

数据分类分级决策机构
·决策机构负统筹和决策职责，决策数据分类分级工作的目标、内容、标准规范等。
·决策机构的最高责任人对数据分类分级工作负全面领导责任。

数据分类分级牵头部门
·牵头部门负责牵头推动数据分类分级工作的开展，牵头部门负责按照决策机构议定的工作目标和要求开展数据分类分级工作，牵头制定企业数据分类分级管理办法、制度、流程、标准规范，协调解决分类分级工作中的问题，牵头进行数据分类分级工作的评价。

数据分类分级实施部门
·实施部门负责本部门数据分类分级的具体实施工作，具体包括:按照牵头部门制定的制度、流程、规范等梳理本部门的数据资源，并提交给牵头部门。
·实施部门包括企业各业务部门和技术部门。

数据分类方法

数据定级方法

数据分类分级操作流程

数据安全分类分级/服务流程/分类分级标识 icon

工具部署安装

沟通工具环境

与组织确认数据分类分级工具部署所需最低资源配置和环境等事宜。
获取相关账号
根据组织需要，获取登录组织内部网络所有VPN、堡垒机、服务器等账号。
部署安装工具
在组织协调好的环境部署安装数据分类分级工具，并进行工具调试。

数据资产梳理

数据源信息调硏
通过资料收集、问卷调研或现场访谈的形式获取数据分类分级业务系统数据库相关信息。
数据源添加配置
在数据分类分级工具中添加和配置数据源信息。
数据资产梳理
通过工具自动采集数据库表结构、表注释等信息，并通过人工方式补充和完善数据表和数据项中文释义信息，形成完善的数据资产清单。

标签库维护

数据分级维护
根据已确定的《数据分类分级规范》中约定的数据分级信息，在数据分类分级工具中维护数据分类信息。
数据分类维护
根据已确定的《数据分类分级规范》中的数据分类示例，在数据分类分级工具中维护数据分类信息，数据分类信息过多的情况下，可以在模板中整理好再导入数据分类分级工具。

规则模型维护

规则模型提炼
结合数据资产清单和《数据分类分级规范》，整理和提炼数据分类分级规则。
规则模型维护
将整理提炼的数据分类分级规则维护到数据分类分级工具中并在非工作时间段运行数据分类分级规则模型，以形成数据分类分级清单（初稿）。

规则模型调优

分类分级检核
对数据分类分级清单(初稿)进行评审和检核，找出数据分类或分级不正确的数据，并与组织讨论确定正确结果。
规则模型调优
针对数据分类分级不正确的数据，优化和提炼数据分类分级规则，并运行数据分类分级规则模型直至获取正确数据分类分级结果。

数据分类分级标识与核验 icon

数据安全分类分级/服务流程/分级策略规划 icon

数据安全分类分级/分级策略规划 icon

数据安全分类分级/服务交付物 icon

数据安全分类分级价值 icon

履行数据安全合规职责

可满足《中华人民共和国数据安全法》《中华人民共和国

个人信息保护法》等法律法规以及行业数据分类分级监管

要求，实现履行数据安全合规职责。

指导数据安全防护建设

摸清数据资产分布、分级、使用等情况，并基于数据应用

场景制定分级防护策略，为细粒度数据安全防护提供建设

依据，指导数据安全防护工作开展。

打好数据安全管理底座

通过建设数据分类分级管理体系（数据分类分级组织和制度），可指导和保障数据分类分级工作开展，迈出数据安全管理的第一步打好数据安全工作底座。

支撑数据分类分级运营

通过制定数据分类分级规范和操作指南，可在组织内部横向扩展，并可支撑数据分类分级常态化运营工作开展，实现数据分类分级全面化和可持续化。

数据安全风险评估服务内容和流程 icon

服务介绍
数据资产风险评估服务主要是依据国家、行业等有关数据安全技术与管理标准，从风险管理的角度，对数据安全要素（数据处理者。业务和信息系统、数据资产、数据处理活动、安全防护措施）和风险进行识别（数据安全管理、数据处理活动），根据风险危害程度和风险发生可能性对风险进行分析和评估，并结合组织实际情况，给出合理化数据资产风险处置建议。

评估准备：数据安全风险评估内容框架图 icon

风险识别

数据泄露风险

评估数据保护措施是否足够，以防止未经授权的访问、使用或泄露敏感数据。

外部攻击风险

评估网络安全措施是否妥当以防范网络攻击、恶意软件,勒索软件和其他攻击。

内部威胁风险

评估内部员工数据访问权限和控制措施，以防止内部人员滥用权限或泄露重要数据。

安全合规风险

评估与第三方服务提供商和合作伙伴之间的数据共享和安全措施，以防止第三方的数据泄露或未经授权的数据使用。

软硬件风险

评估硬件和软件系统是否存在漏洞，以及是否有措施及时修补漏洞，以防被黑客利用。

第三方风险

评估与第三方服务提供商和合作伙伴之间的数据共享和安全措施，以防止第三方的数据泄露或未经授权的数据使用。

风险识别方式

问卷调查

对通过问卷形式先让金融机构自己填写了解机构情况和其他基本信息。

文档查验

由被评估方提供与数据安全相关文档材料评估小组查验相关文档材料。

工具测试

根据材料，通过技术工具进行实操测试验证是否材料真实。

人员访谈

通过与被评估方进行交流、讨论方式，了解有关信息。

配置核查

根据材料，登录相关信息系统工具平台香写材科保持一致，对文档爸查配置是审核内容进行核实。

旁站验证

通过被评估方人员对承载数据的各个载体（系统，设备，网络）以及数据使用各个生命周期进行观察验证

数据安全风险评估的价值 icon

指导数据安全规划

数据安全风险评估中发现的安全和隐私风险可成为组织风险管理和数据安全建设规划的主要输入，从而实现更明智的决策，有助于减少数据安全事件发生增强数据安全防护壁垒。

提升数据安全防护

通过分析数据全生命周期的安全需求，评估现有安全防护措施是否满足数据安全要求，对存在风险的环节提出整改建议，指导企业完成整改，提升企业整体安全防护水平。

落实安全管理体系

评估数据安全组织和职责的差距，为数据安全管理体系建设提供建设依据，形成有效的数据安全管理机制，以及相应的制度、标准、流程、表单，保障数据安全工作开展。

满足法律法规要求

满足《数据安全法》、《个人信息保护法》等相关法律法规要求，建立持续性检测评估及内容迭代机制，形成国家战略、相关要求规范与组织的“能力通道”。

提升企业品牌形象

通过开展数据安全风险评估，及时规避风险减少数据泄露事件发生，以减少对企业形象和品牌声誉的影响，进而提升企业的竞争力和业务拓展。

易触发数据安全风险评估的场景 icon

新系统或应用的部署

在新IT系统、软件或应用投入使用前，评估是否符合组织的数据安全标准。

合规性要求

为满足数据安全法律规定或行业主管部门要求，进行数据安全评估。

定期审计

根据组织的政策和程序，定期进行评估以识别和缓解潜在的安全风险。

安全事件后

在数据泄露、安全漏洞被发现或其他安全事件发生后，评估数据安全风险和影响。

重大变更或更新

对现有系统、应用或数据处理活动流程进行重大修改或更新时进行评估。

业务扩展或变化

当组织的业务模型、流程或数据处理活动发生重大变化。

技术环境变化

如云服务迁移、系统升级或新技术的采用等情况下。

第三方供应链变更

在引入新的第三方服务提供商或对现有的供应商的服务进行重大更改时。

个人信息安全影响评估（PIA） icon

服务介绍
个人信息影响评估服务主要是依据《中华人民共和国个人信息保护法》、《GBIT 35273-2020 信息安全技术个人信息安全规范》《GBT 39335-2020 信息安全技术个人信息安全影响评估指南》等法规要求，对客户涉及个人信息的处理活动进行评估，分别从个人权益影响和安全保护措施进行分析，并进行风险建模计算，得出个人信息风险级别，并给出风险处建议。

个人信息安全影响评估（PIA） icon

PIA评估项目实施流程 icon

PIA服务成果

PIA服务价值

识别风险

在开展个人信息处理前，组织可通过影响评估，识别可能导致个人信息主体权益遭受损害的风险，并据此采用适当的个人信息安全控制措施。

控制风险

对于正在开展个人信息处理、组织可通过影响评估，综合考核内外部因素的变化情形，持续修正已采取的个人信息安全控制措施，确保对个人合法权益不利影响的风险处于总体可控的状态。

有效证明

在个人信息安全影响评估，及其形成的记录文档，可帮助组织在政府、相关机构或商业伙伴的调查、执法、合规性审计中，证明其遵守了个人信息保护与数据安全等方面的法律、法规和标准的要求。

合规抗辩

在发生个人信息安全事件时，个人信息安全影响评估及其形成的记录文档，可用于证明组织已经主动评估风险并采取一定的安全保护措施，有助于减轻、甚至免除组织相关责任和名誉损失。

提升风险意识

组织可通过个人信息安全影响评估，加强对员工个人信息安全教育，参与评估之中，员工能熟悉各种个人信息安全风险，增强处置风险的能力。

增强信任

对合作伙伴，组织通过评估的实际行动表名期严肃对待个人信息安全保护，并引导其能够采取适当的安全控制措施，以达到同等或类似的安全保护水平。

易触发PIA典型场景 icon

利用个人信息进行自动化决策

互联网行业（算法推荐）。
车联网。

出行导航、外卖。

金融信用评估。

向境外提供个人信息

跨国企业。

跨港澳企业。

出海企业。

跨境电商、物流。

处理敏感信息

金融行业（金融信息）。
医疗行业（生物健康信息）。
游戏行业（实名制）。
互联网行业（支付、出行导航、购物、教育）。

委托处理个人信息、向其他人提供

公开个人信息

集成第三方SDK。
第三方云数据存储。
第三方系统运维。

集团关联公司数据传输。

外部合作伙伴数据交互。

实践方面：多行业数据安全治理实践案例 icon

人员方面：多数据安全专业认证的服务团队 icon

数据安全治理专业化团队由PMP（项目管理专业资格认证）、CISP（注册信息安全专业人员）、CISP-DSG（数据安全治理专业人员）、DPO（数据保护官）、ISO（信息安全官）、CDPSE（数据隐私解决方案工程师）、CISA（国际注册信息系统审计师）、DSO（CCRC-数据安全官认证）、CDSP（数据安全专业人员认证）、CZTP（零信任专家认证）等人员组成团队成员掌握国际先进的数据安全治理方法论，曾参与制定数据安全相关标准规范。

产品架构

采用基于AI的安全技术工具--数据资产安全管理平台，内置数据识别AI模型和行业数据分级分类规则模型，通过技术工具的应用，加速了项目实施进度，降低了人力成本，减少了错误，保证数据安全治理服务的交付质量。风险评估线上化技术工具--数据安全风险评估系统，集数据资产梳理、敏感数据识别、弱点评估、合规评估、脱敏加密评估等模块，可实现风险评估快速交付。