CDSP即数据安全认证专家,针对云数据安全、ICT数据安全和新兴热点业务的数据安全展开阐述,并结合各类新兴技术的不同场景,给出数据安全架构、安全设计、隐私保护的一般原则和业界最佳实践。使学员具备安全设计、审计、评估、保护数据与隐私所需的关键知识、技能和能力,可以将相关知识和技能落实到日常工作中,帮助企业满足相关法律法规和监管要求。
审查标的由“供应链安全”审查扩大到了“供应链安全”审查和“数据安全”审查,并落实了最新出台但尚未生效的《中华人民共和国数据安全法》中的相关制度。
个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失。
网络运营者的则应根据网络安全等级保护制度的要求,履行安全保护义务,保障网络免受干扰、破坏或入侵,防止数据泄漏或被窃取或篡改。
开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。
重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。
对审计数据控制,云服务商和云服务客户的数据访问权限以及云端加密数据的密匙管理都有明确要求。
主要有数据源服务器未及时更新漏洞,进行数据库系统加固,缺少访问控制和数据层安全防护,如运维人员刷库和外部SQL注入等。
主要有数据明文存储导致数据泄露,缺少统一访问控制及相关身份认证,缺少审计及异常操作告警。
系统并发访问链接高,数据库中含有大量敏感数据,同时缺乏审计记录、并且存在批量数据导出行为缺乏主动拦截。
存储成本的进一步降低,很多企业采取了“保留全部数据”的策略。缺乏有效监管审计容易造成数据存储介质丢失。