数据安全评估是指对重要数据、个人信息等数据资产的价值与权益、合规性、威胁、脆弱性、防护等进行分析和判断,以评估数据安全事件发生的概率和可能造成的损失,并采取相应的措施和建议。
目前数据安全法、个人信息保护法、网络数据安全管理条例(征求意见稿)、数据出境评估办法等文件均对数据安全评估提出了明确要求。数据安全法提到“重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告”。个人信息保护法提到“关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。”、“有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录,(一)处理敏感个人信息;(二)利用个人信息进行自动化决策;…”。网络数据安全管理条例(征求意见稿)提到“第三十二条 处理重要数据或者赴境外上市的数据处理者,应当自行或者委托数据安全服务机构每年开展一次数据安全评估,并在每年1月31日前将上一年度数据安全评估报告报设区的市级网信部门”。
数据安全评估对于企业有助于摸清数据资产情况、基础环境情况并对数据资产进行盘点。开展系统性、综合性、全面性的安全分析,发展数据资产的威胁性和脆弱性,从而更加准确识别安全风险。针对安全风险提出对应解决方案,并结合组织实际情况制定可执行的安全策略与安全目标,实现数据资产在安全的环境下进行有效利用;对于行业。通过安全评估,发现共性数据安全风险问题,帮助主管部门落实数据安全法要求,实现数据安全风险监测;提升行业数据安全保障水平,保障行业的发展战略、关键技术等重要数据不受到非法侵害,有助于推动数据交易、数据交换共享等应用场景的落地,强化数据资产要素化,促进数据流动,推动数字化转型升级;对于国家。以评促建,以评促改,以评促管,评建结合,重在建设通过数据安全评估,推动《数据安全法》的落实,压实数据安全保护主体责任,切实履行数据安全保护义务,助力维护国家安全,保障社会秩序和公众利益,有效推动数字经济安全健康发展。
1、数据安全风险评估;
2、数据出境风险评估;
3、个人信息保护安全影响评估;
当前这三种评估方式是重要的评估类型,也是网络安全合规的学习的一个主要方向。