案例背景

为履行《网络安全法》、《数据安全法》、《个人信息保护法》中数据安全相关要求，落实部委、行业及主管部门所要求的数据安全合规性检测，确保企业数据安全治理工作合法合规，某大型央企决定对其下属单位组织开展一次数据安全专项评估检测工作。

项目需求

作为世界500强企业，该央企拥有遍布全国的50余家下属单位，下属单位在业务、规模、管理、技术、意识上存在着差异，可能会在数据安全事件中遭受重大损失。央企总部希望通过这次专项检查，对各单位数据保护情况进行摸底，检查数据安全管控中存在的风险情况，促进各单位健全数据安全管理工作体系，完善各项技术措施和保护能力，持续常态化开展数据安全运营工作。

这次检查要求对所有下属单位进行通用数据安全管理检查、数据生命周期安全检查、数据安全技术能力检查等。辅以数据安全技术检测服务，检测内容包括数据资产识别、数据加密、数据脱敏、数据防泄漏以及安全审计等方面的数据安全专项评估检测服务。

解决方案

本次检查采用访谈、资料核查、技术能力核查以及数据安全泄漏风险检测的方式，针对这次检查任务重、时间短、目标对象分布广、数量多的特点，使用思维世纪自研的数据安全检查工具箱作为主要辅助手段。在数据安全评估管理工具的统一管理下，各下属单位的调研访谈数据以及检测工具的检测数据汇总到评估管理工具，由评估管理工具自动生成数据安全评估报告。

在此次检查中主要使用数据安全检查工具箱的3个检查工具：数据安全评估管理工具、数据资产识别扫描工具和数据安全风险检查工具，其使用方式及效果分别描述如下：

1.数据安全评估管理工具

将调研和信息收集内容制作评估矩阵并输入系统，采用规范化流程指定被检单位提供的工作人员自行提供数据与佐证材料，开展数据安全现状评测，并指定部门和人员进行审查，并最终输出评测报告。

通过数据安全评估管理工具，充分利用了被检公司提供的人力资源，很好地发挥出了线上协同工作的优势，将遍布50余家下属单位的数据安全检查所需的信息和佐证材料进行了高质高效的收集和处理。

2.数据安全风险检查工具

利用安装在网络侧的工具，分析采集到的流量数据，针对网站访问、系统接口测绘网络连接及流动关系，分析其流向关系、流量、访问次数、敏感内容等，发现数据安全风险。

对工具的检测结果进行远程收集和检查，并输入数据安全评估管理工具，最后统一生成单位的评估报告。

3.数据资产识别扫描工具

利用安装在网络侧的工具对规定范围内数据资产进行扫描识别、分类分级，生成清单并建立资产分布地图，发现数据资产管理漏洞。

对工具的检测结果进行远程收集和检查，并输入数据安全评估管理工具，最后统一生成单位的评估报告。

实施步骤

数据安全专项检查实施流程主要包括：下发检查通知、反馈检测系统及检查环境准备、检查工具部署调试、数据安全专项检查、出具检查报告、召开检查总结会等环节：

情况调研及材料反馈：收集各单位评估检测对接人信息表和被检系统信息表，并要求各单位了解本次检测的内容、步骤和要求。

材料收集：根据数据安全评估管理工具的要求，各单位自主填报相应的检查项数据以及佐证材料。

工具检测：由央企总部对工具安装包进行统一下发，各单位根据培训材料自行安装部署，并根据计划要求运行检测工具。检测结果由思维世纪检查执行小组进行收集，通过远程方式，登录检测工具进行报告导出。

进一步访谈或现场验证：在报告收集完后，需对报告的真实性、有效性进行访谈，结果留存。另外，即使是疫情期间，也抽查了两家企业进行现场访谈和结果验证。

生成检测结果：对工具检测结果以及生成的报告与被检单位进行确认，形成单位级评估检查报告。所有单位检测完毕后，由检测组长及相关专家形成专家组，对此次检测进行总结和报告汇总，形成整体数据安全专项检测整体报告。

召开本次检测总结会，对本次检测过程、结果进行总结。

项目成果

本次专项检查工作共对央企总部及50余家下属单位进行了检查；涉及12个检测项，20个项检测子项，32个检测内容，涵盖数据全生命周期安全管理及数据安全能力两个方面，共发现近百个高风险项。通过本次数据安全专项评估检测服务，帮助总部掌握了全企业数据安全建设和管理状况，发现了薄弱环节并进行了整改。

本次任务面临着任务复杂、工作量大、时间紧迫、人力紧张的巨大挑战，没有技术工具的协助是不可想象的，思维世纪的数据安全检查工具箱不辱使命，在此过程中发挥了巨大的作用，创建并使用账号达100多个，在不到20个工作日的时间里完成了50余家单位的检查，安装部署工具软件100+套次，解读分析工具结果数据报告150+份，与被检单位进行报告核验80+次，以不俗的成绩完成了任务，得到客户的高度认可。

本次检查形成了一套可在大型央企层面推广复制的数据安全监督检查方案，对后续全国范围内数据安全评估检测类工作的开展、形成常态化的监督检查机制，积累了经验、奠定了基础。