融河矩媒之前介绍过网络安全意识、个人可识别信息的重要性等网络安全相关内容,大家还有印象吗?这次咱们继续聊网络安全,一起来了解一下,公司在应用一个新的系统*之前,或是已有系统变更时,都将进行哪些网络安全评估吧!系统包括软件、硬件、基础设施等。
网络安全评估(Cybersecurity Assessment)
在融河矩媒,所有系统采购必须经过采购和安全部门的批准。一个新的系统开始使用前,都需要由网络安全人员完成严格的网络安全评估(CybersecurityAssessment)。
从网络安全的角度出发,我们需要保证公司数据的保密性、完整性和可用性。
网络安全评估流程
GDPR
General Data ProtectionRegulation,简称GDPR,《通用数据保护条例》,是欧盟近来数年来关于个人数据隐私保护比较重要的法律成果。
根据网络安全行业良佳实践,以及GDPR等国内外网络安全相关法律规定,我们的网络安全评估主要包括两部分,安全风险评估(SecurityRisk Assessment)和数据隐私评估(Data Privacy Assessment)。
安全风险评估
安全风险评估是对提供新系统的供应商(vendor)的评估,评估内容包括对方自身安全管理和技术实施能力。在这期间,合作伙伴需要回答一组问题。
评估流程(部分)
这些问题使网络安全团队能够对供应商候选者有全面的了解,安全评估完成后,网络安全团队将告知需求方评估结果,并建议风险控制措施。
数据隐私评估
数据隐私评估需要新系统的需求方(Re)先进行PIA(Privacy ImpactAssessment)评估,同样也是回答一组问题,完成当初风险评估后,网络安全团队将告知评估结果。
接下来,将根据当初评估,隐私保护小组将决定是否进一步进行DPIA(Data Privacy ImpactAssessment)评估。
评估流程(部分)
Cybersecurity Assessment
什么时候需要进行安全评估呢?
申请应用一个新的系统,或者是已有的系统出现新的变化时,此时就需要进行系统网络安全评估。
我想安装新系统,如何申请安全评估呢?
当新需求被提出时,首先我们会看一下已有的软件是否能满足这个需求,确实需要安装新的软件时,需求方需要在ServiceNow网上填写申请。
安全评估结果不理想怎么办呢?
在安全评估完成后,网络安全团队会告知需求方安全和隐私风险,如果风险在可控范围内,项目将继续,如果风险很高,将由安全团队和需求方双方共同商议采取哪种风险处置方法,例如降低风险、拒绝风险、接受风险、转移风险等。
安全评估需要多长时间呢?
网络安全评估需要的时间由系统的复杂程度,以及相关人员的回应时间决定,如果是简单的系统,同时各方回应及时,安全评估流程将很快完成哟!