数据风险评估
数据安全风险评估,主要围绕数据和数据处理活动,聚焦可能影响数据的保密性、完整性、可用性和数据处理合理性的安全风险,掌握数据安全总体状况,发现数据安全隐患,提出数据安全管理和技术防护措施建议,提升数据安全防攻击、防破坏、防窃取、防泄露、防滥用能力。首先通过信息调研识别数据处理者、业务和信息系统、数据资产、数据处理活动、安全措施等相关要素,然后从数据安全管理、数据处理活动、数据安全技术、个人信息保护等方面识别风险隐患,最后梳理风险源清单,分析数据安 全风险、视情评价风险,并给出整改建议。
数据风险评估要素
数据、数据处理活动、业务、信息系统、安全措施、风险源等基本要素
开展数据安全风险评估应充分考虑要素间关系。各要素关系说明如下:
- a)数据是核心要素,具有数据价值等属性,数据价值将影响数据安全风险的危害程度。
- b)数据和数据处理活动是数据安全风险评估的评估对象。
- c)数据处理者运营业务,业务依赖数据实现。
- d)业务需要依托信息系统的支撑,可能涉及一个或多个信息系统。
- e)信息系统包含多个数据处理活动,信息系统是数据的载体。
- f)数据在流转过程中涉及一个或多个数据处理活动,数据处理活动应遵循数据安全法律法规要求。
- g)安全措施用于保护数据安全,能降低数据安全风险源发生的可能性。
- h)数据和数据处理活动作为评估对象,可能存在风险源,风险源可能引发数据安全风险,数据安全风险将对数据和数据处理活动有潜在影响。
数据安全风险评估,主要围绕数据处理者的数据和数据处理活动,对可能影响数据保密性、完整性、可用性和数据处理合理性的安全风险进行分析和评价。
数据安全风险评估内容
主要包括信息调研、风险识别、风险分析与评价等,数据安全风险评估的主要内容包括:
a)信息调研:对可能影响数据安全风险的要素的情况调研,包括数据处理者、业务和信息系统、数据资产、数据处理活动、数据安全防护措施。掌握数据处理者、业务和信息系统基本情况,梳理涉及的数据资产和数据处理活动,了解采取的数据安全防护措施情况,掌握被评估对象或 同行业相关数据安全事件历史发生情况。
b)风险识别:基于信息调研情况,从数据安全管理、数据处理活动安全、数据安全技术、个人信息保护等方面进行数据安全风险识别,识别评估对象现有安全措施完备性并对其有效性进行验 证,识别可能存在的风险源。
c) 风险分析与评价:通过分析风险类型、风险危害程度和可能性,评价风险等级。
- 数据安全风险分析,包括数据安全风险归类、风险危害程度分析、风险发生可能性分析。
- 风险归类分析,结合风险源可能引发的风险类型,对风险源进行归类。
- 风险危害程度分析,从数据价值、数据重要性、风险源危害程度等方面,综合评价风险可能对国家安全、公共利益或者个人、组织合法权益造成的危害程度。
- 风险发生可能性,从风险源发生频率、安全措施有效性和完备性、风险源关联性等方面,综合评价风险发生的可能性。
- 风险评价过程,一般根据风险危害程度和风险发生可能性评价数据安全风险,得到数据安 全风险级别,梳理形成数据安全风险清单。
在数据安全分析和评价中,数据安全风险危害程度分析、风险发生可能性分析、数据安全风险评价等步骤可选,如不执行上述步骤,可结合风险源清单和风险归类分析结果得到数据安全风险清单。
数据安全风险评估内容框架
数据安全风险评估流程
主要包括评估准备、信息调研、风险识别、综合分析、评估总结五个阶段:
a)评估准备:是数据安全风险评估的初始预备阶段,在评估实施前应完成评估准备工作。形成调研表、数据安全风险评估方案等。
b)信息调研:主要用于识别数据处理者的基本情况,厘清其与业务和信息系统的关系,处理的数据和开展的数据处理活动情况,采取的数据安全防护措施。形成数据处理者基本情况、业务清单、信息系统清单、数据资产清单、数据处理活动清单、安全措施情况等,具备条件的,可绘 制数据流图。
c)风险识别:针对各个评估对象,从数据安全管理、数据处理活动、数据安全技术、个人信息保护等方面,通过多种评估手段识别可能存在的数据安全风险隐患。形成文档查阅记录文档、人员访谈记录文档、安全核查记录文档、技术检测报告等。
d)风险分析与评价:在风险识别基础上开展风险分析,并视情对风险进行评价,最后提出整改建议。形成数据安全风险源清单、数据安全风险列表、整改建议等。
e) 评估总结:编制数据安全风险评估报告,开展风险处置。
注:以上内容主要来自全国信标委《信息安全技术 数据安全风险评估方法》,仅用于学习交流。更多详细的内容可阅读标准原文。
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
