随着《数据安全法》、《个人信息保护法》、《数据出境安全管理办法》等法律法规的落地实施,数据安全风险评估已成为企业满足监管合规要求的必要手段;与此同时,对于庞大复杂的数据安全治理工作而言,数据安全风险评估是实施数据安全建设的基础工作,做好风险评估对帮助企业发现安全漏洞、确定防护策略及预防风险行为方面都具有重大意义。
对于企业而言,面对日益加剧的数据安全威胁,可控的风险是确保数据安全的前提;此外,数据安全风险评估的结果也是形成数据安全治理策略的重要依据。《数据安全作战地图——数据安全风险评估》知识图谱,以国家和行业规范要求为依据,基于对合规要求的深度理解和丰富实践经验,将分散的风险评估定义、流程、方法、工具等碎片化信息整合成体系化的知识架构,并以此为基础绘制了规范的风险评估实践指南,帮助企业快速掌握实施要点。
01关注“数据”的风险评估
数据安全风险评估应当坚持预防为主、主动发现、积极防范。不同于信息安全风险评估,数据安全风险评估是以“数据”为中心,从数据资产出发,结合业务场景对开展数据处理活动的情况、面临的数据安全风险及其应对措施等进行识别和评估,更关注伴随业务流动的数据安全。
图:数据安全风险评估流程
企业在开展数据安全风险评估过程中往往会引入对是否落实数据安全、个人信息保护相关法律法规要求的检查,对业务合规要求较高,即:数据安全风险评估既包括合法合规性风险,也包括脆弱性、威胁、技术安全性等风险。参考《信息安全技术 信息安全风险评估实施指南》,并依据法律法规、行业标准规范等要求,企业进行数据安全风险评估具体流程包括:评估准备、信息调研、风险识别、综合分析及评估总结5个阶段。
02风险评估的原理和本质
风险并非独立存在,数据安全风险评估需要结合不同的业务应用场景及不同阶段的数据处理活动去动态识别风险。风险分析的原理是通过资产价值识别、合法合规性识别、已有安全措施识别、威胁识别和脆弱性识别及处理活动要素识别,得出企业所面临的合法合规性风险、数据安全事件发生的可能性以及数据安全事件发生对组织的影响度,从而得到数据安全风险值,最后赋予风险等级。
图:数据安全风险评估实施方法
风险评估的本质就是基于对企业业务活动的梳理,对其进行全面、客观、深入的识别评估,发现数据安全方面的缺陷和威胁,并降低风险。企业通过数据安全风险评估,最终得到风险评估结果;依据风险评价等级并结合企业生产经营的实际业务情况,帮助企业制定后续的数据安全风险管控策略。
03企业开展自评估的要点
数据安全风险不是静态的,因此企业需要定期开展数据安全风险评估工作,以确保掌握最新的数据安全风险状况。此外,依据法律法规要求,不论是解决涉及敏感信息的处理问题,还是数据出境场景下的合规差距分析,亦或是提升企业自身的数据风险管理能力,企业都需要开展风险自评估。
图:企业开展自评估指南
数据安全风险评估的基础是要优先做好数据分类分级工作,即依据相关法律法规及行业标准规范全面识别企业数据资产,按照标准完成数据的分类和分级,形成风险评估具体范围;其次需要对业务数据流动链路进行梳理和识别,从角色、系统、场景、环境等多要素关联分析数据流转情况,输出数据流转图;最后基于数据流转图,识别数据处理活动及其合规性、风险性。
数据安全风险评估是一项复杂的工作,要执行有效的数据安全风险评估需要尽可能全面得完成资产发现、漏洞检测、数据识别等;在这个过程中,企业可以合理使用辅助数据安全风险评估工具,以减轻风险评估实施工作量和成本。
9月8日,更高效、更全面、更精准,全新一代“知镜-数据安全检测工具箱”即将重磅发布,多个硬核产品功能等你一起解锁,敬请期待!
246
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
