近日,全国信息安全标准化技术委员会官网发布《网络安全标准实践指南——网络数据安全风险评估实施指引》(下称《指南》)。
网络数据安全风险评估思路、内容及流程
1、风险评估思路
《指南》中指出,网络数据安全风险评估思路要坚持预防为主、主动发现、积极防范,对数据处理者数据安全保护和数据处理活动进行风险评估,旨在掌握数据安全总体状况,发现数据安全隐患,提出数据安全管理和技术防护措施建议,提升数据安全防攻击、防破坏、防窃取、防泄露、防滥用能力。
2、风险评估内容
网络数据安全风险评估主要围绕数据安全管理、数据处理活动安全、数据安全技术、个人信息保护等方面开展。评估内容框架如下图所示。
3、风险评估流程
《指南》还明确,网络数据安全风险评估具体的工作流程主要包括评估准备、信息调研、风险识别、综合分析、评估总结五个阶段。
首先通过信息调研识别数据处理者、业务和信息系统、数据资产、数据处理活动、安全措施等相关要素,然后从数据安全管理、数据处理活动、数据安全技术、个人信息保护等方面识别风险隐患,最后梳理问题清单,分析数据安全风险,并给出整改建议。
网络数据安全风险评估的方式
1、自评估
数据处理者进行自评估时,可依据本指南进行风险自查,具体实施步骤如下图所示。