数据处理安全评估：25项核心控制点

01 数据流与风险

数据处理活动是数据安全风险评估的核心，它是区别网络安全关键之一。以数据为中心，关注数据的流动过程，数据流转至的任何环节，都可能产生风险，任何可能接触到数据的角色都存在风险隐患。

关注数据的静止、传输、使用状态，每种状态下所需采取的防护措施不同。今天整体把数据处理活动做关注的细节进行深度解析，为大家打开一些思路。

02 数据处理活动与全生命周期区别

以前数据安全话题围绕数据安全生命周期展开（六个：采集、传输、存储、处理、交换、销毁），比较官方但不接地气，每个环节被切割。很多领域也可以通过生命周期模型去刻画，比如密钥管理生命周期、项目全生命周期等，很多安全产品也参照这个模型。

GB/T 37988数据安全能力成熟度模型，参照数据六个生命周期进行整体描述。如下图 

图1　数据安全能力成熟度模型架构图｜GB/T 37988

现在数据安全都强调数据处理活动，包括收集、存储、使用和加工、传输、提供、公开、删除等活动，强调数据的各个活动状态，活动之间的关联关系更紧密，颗粒度更加细腻，这些活动代表了不同数据场景，更加关注数据内部处理动作，如通常大数据平台的使用、加工，增加了一些数据公开、数据提供的概念，跟业务联系的更加紧密。

2023年5月发布《网络数据安全风险评估实施指引》（以下简称“风险评估”）中风险识别主要阶段，除了传统的数据安全管理、数据安全技术之外，新增加了数据处理活动和个人信息保护，更加体现数据和业务的关系，需要更多的工作角色参与到数据安全工作中去。

03 七项数据处理活动

风险评估指引中描述了七项关键数据处理活动过程，包括数据收集、数据存储、数据传输、数据加工和使用、数据提供、数据公开、数据删除。

图2　数据处理活动过程

（1）数据收集：数据从哪些收集的，外部收集还是内部产生。考虑数据收集渠道、收集方式、范围、目的、收集的频率。是否涉及外部数据源，配套的合同协议是否合规等。收集过程的设备及环境安全，所采集数据的质量控制。

（2）数据存储：除了结构化存储外，考虑数据存储加密情况，所使用的技术措施；数据存储的方式，如数据库、大数据环境等；备份数据、中间库、业务日志、数据分析和统计报表中的数据容易被忽略。像云上备份数据、快照数据、副本数据也容易被遗漏涉。此外敏感数据和重要数据所存储介质管控，是否有必要销毁。

（3）数据传输：了解三次加密概念，数据传输的通道加密、通道中传输数据内容加密、数据包中敏感数据的二次加密。传输过程中的链路安全，是否设置高可用冗余，传输过程是否涉及中途环节的解密造成数据泄漏。

（4）数据加工和使用：现在数据都以数据中心、数据湖的形式进行统一归集，在数据资源平台上进行统一加工处理。加工过程中不同级别数据访问控制非常关键。还有一个典型场景，即数据的导入导出场景的安全。数据使用更多强调内部同一系统内或者不同系统内之间的数据内部使用，需要防止内部数据的滥用问题。

（5）数据提供：和数据共享、数据服务内容相似，更倾向于“对外”。数据提供的合法正当性，涉及数据接收方的安全防护能力评估，是否满足数据保护要求。另外涉及数据转移、数据出境等都应遵守法律法规约束，如数据出境的三条路径。

（6）数据公开：数据公开是有法律义务，如政府单位职能要求公开的，像政府的招投标信息、各类统计数据等。从管控上看，数据公开是一个非常严谨的事项，公开依据、公开前评估、审批上线等，该环节中需要注意公开数据的聚合风险，包括因政策失效后，已公开数据删除处置等。

（7）数据删除和销毁：实际操作过程不太好把控，因为数据的状态不同，尤其现在大部分存储与云环境，作为云租户在使用。数据删除中需要做好删除留痕和删除确认动作等文档记录证明。涉及敏感数据和重要数据存储的介质，是否需要进行物理销毁。

04 数据处理活动中的25个关键控制点

数据处理活动中需要关注的关键控制点，评估指引中给出了更加细致的分类。在实际风险评估实践中，可以参照每个控制点进行询问、访谈，掌握数据处理的细节。

图3　数据收集活动的关键控制点（5项）

个人理解这些控制点非常重要，引导我们关注处理活动的关键点，每个控制点实际都可转化为安全风险，作为评估人员需要关注的内容。

以数据收集为例，从个人角度进行解析：

从对象上看：涉及数据源方、数据内容、数据收集工具（app、人、web等）、数据接收端、数据收集后的存储环境、合同/协议等。

从技术上看：数据收集的方式有哪些（数据库、api、ftp、其他接口），包括人工收集；数据质量校验技术、异常数据监控技术、数据源鉴别技术。

从合规上看：涉及协议、合同、授权等内容是否有要求。业务功能上，数据收集是否业务最小必要，是否超范围，比如App功能上的过度采集等。

从管理上看：是否制定数据采集的安全策略和操作规程，涉及第三方是否承担监督管理责任、是否开展定期安全审计工作等，这些必备的管理动作都需必须执行。

图4　数据存储活动的关键控制点（3项）

图5　数据传输活动的关键控制点（2项）

图6　数据加工与使用活动的关键控制点（5项）

图7　数据提供活动的关键控制点（6项）

图8　数据公开活动的关键控制点（2项）

图9　数据删除活动的关键控制点（2项）

05 三种框架分析数据处理过程中的风险

安全领域有多层防御的框架，即通过不同维度、不同层次进行理解和设计防护控制。数据安全领域也可以引用该思路，使用“叠加”的理念。尤其数据安全检查、安全评估的活动，更多是从合规层面，用不同的视角去看待数据处理过程中的风险。

以下是个人数据安全的思路借鉴和总结，供参考。

方法一：数据安全能力成熟度模型

GT/T 37988通过对组织机构各数据安全过程所需具备安全能力的量化，能够评估每项安全过程的实现能力。安全能力从组织建设、制度流程、技术工具及人员能力四个关键能力展开。

图10　数据安全成熟度的4个维度

1.组织建设：数据安全组织机构的架构建立、职责分配和沟通协作。

2.制度流程：组织机构数据安全领域的制度规范和流程执行。

3.技术工具：通过技术手段和产品工具固化安全要求或自动化实现安全工作。

4.人员能力：执行数据安全工作的人员的意识及专业能力。

当要理解一个信息系统的数据安全工组，可以参照GT/T 37988思想，从组织建设（配套的组织、人员）、制度流程（制度体系、安全策略、操作规程等）、技术工具（不同处理活动中所需不同的安全技术工具）、人员能力（不同处理活动涉及人员的不同，人员相关身份识别、账号授权、操作行为等控制），用这个框架内容去思考数据安全。

方法二：数据安全5A理论

郑云文编著《数据安全架构设计和实战》中提出5A的框架，即身份认证、授权、访问控制、资产保护、安全审计。数据安全的每个环节都可以参照上述5A思路开展工作。

图11　《数据架构设计和实战》：安全架构5A方法论

以“数据加工和使用”为例：数据分析人员、数据服务商、开发人员的身份认证、不同级别数据的授权、资源接入的访问控制、操作行为记录及事后的安全审计情况。

方法三：风险评估指引的方法

《风险评估指引》中也有明确的框架，指引我们开展风险评估工作。

1.安全管理维度：（1）制度体系叠加（整体制度体系、安全策略、操作规程，每个阶段的配套要求）（2）安全审计体系（3）监督落实体系；

2.安全技术维度：数据安全专有技术和通用的网络安全技术；

3.业务合规维度：协议、合同、授权、审批等环节考虑，从业务视角入手，了解业务形式、服务模式、服务群体，在什么背景下产生业务需求，业务可用性的要求是5*8还是7*24，业务中断会造成什么影响。

信息系统数据安全风险评估，本质上是协助客户识别系统中数据资产及数据流动过程，用数据处理活动细颗粒的视角审查这些过程中风险隐患点，再看这些可能风险隐患已采取哪些安全管理和安全技术措施，识别出主要风险进行整改。