提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档
前言
2022年,我国数字经济规模达到50.2万亿,同比增长10.3%,已经连续11年显著高于同期GDP名义增速,数字经济占GDP比重达到41.5%,这一比重相当于第二产业占国民经济的比重[1]。随着数据要素在整个经济发展过程中的比重不断增加,数据的能效价值被不断凸显,同时各类数据安全风险随之高发,数据安全风险已经成为掣肘数字经济发展一大挑战。
通过数据安全风险评估工作,能够及时发现数据安全隐患,有效防范数据安全风险,因此,我们依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规要求,以《网络安全标准实践指南—网络数据安全风险评估实施指引》《信息安全技术 数据安全风险评估方法》(征求意见稿)为主要参考依据一起来探讨数据安全风险评估工作的实施。
一、概述
数据安全风险评估,主要围绕数据和数据处理活动,聚焦可能影响数据的保密性、完整性、可用性和数据处理合理性的安全风险,掌握数据安全总体状况,发现数据安全隐患,提出数据安全管理和技术防护措施建议,提升数据安全防攻击、防破坏、防窃取、防泄露、防滥用能力。首先通过信息调研识别数据处理者、业务和信息系统、数据资产、数据处理活动、安全措施等相关要素,然后从数据安全管理、数据处理活动、数据安全技术、个人信息保护等方面识别风险隐患,最后梳理风险源清单,分析数据安全风险、视情评价风险,并给出整改建议。
1.1风险要素间的关系
a) 数据是核心要素,具有数据价值等属性,数据价值将影响数据安全风险的危害程度。
b) 数据和数据处理活动是数据安全风险评估的评估对象。
c) 数据处理者运营业务,业务依赖数据实现。
d) 业务需要依托信息系统的支撑,可能涉及一个或多个信息系统。
e) 信息系统包含多个数据处理活动,信息系统是数据的载体。
f) 数据在流转过程中涉及一个或多个数据处理活动,数据处理活动应遵循数据安全法律法规要求。
g) 安全措施用于保护数据安全,能降低数据安全风险源发生的可能性。
h) 数据和数据处理活动作为评估对象,可能存在风险源,风险源可能引发数据安全风险,数据安全风险将对数据和数据处理活动有潜在影响。
1.2数据安全风险评估原理
1.3数据安全风险评估流程
a) 评估准备:是数据安全风险评估的初始预备阶段,在评估实施前应完成评估准备工作。形成调研表、数据安全风险评估方案等。
b) 信息调研:主要用于识别数据处理者的基本情况,厘清其与业务和信息系统的关系,处理的数据和开展的数据处理活动情况,采取的数据安全防护措施。形成数据处理者基本情况、业务清单、信息系统清单、数据资产清单、数据处理活动清单、安全措施情况等,具备条件的,可绘制数据流图。
c) 风险识别:针对各个评估对象,从数据安全管理、数据处理活动、数据安全技术、个人信息保护等方面,通过多种评估手段识别可能存在的数据安全风险隐患。形成文档查阅记录文档、人员访谈记录文档、安全核查记录文档、技术检测报告等。
d) 风险分析与评价:在风险识别基础上开展风险分析,并视情对风险进行评价,最后提出整改建议。形成数据安全风险源清单、数据安全风险列表、整改建议等。
e) 评估总结:编制数据安全风险评估报告,开展风险处置。
1.4数据安全风险评估内容框架
数据安全风险评估,在信息调研基础上,围绕数据安全管理、数据处理活动安全、数据安全技术、个人信息保护等方面开展评估。
1.5数据安全风险评估手段
二、数据安全风险评估实施
2.1准备阶段
2.1.1确定评估目标
2.1.2确定评估范围
数据安全风险评估聚焦数据和数据处理活动,评估范围可以是某个单独的业务、信息系统、部门涉及的数据和数据处理活动,可以是组织全部数据和数据处理活动。当选取组织全部数据和数据处理活动作为评估范围时,可根据需要采取**“全面摸排、重点评估”的原则,按步骤确定评估范围。
1、当组织已经做好了数据分类分级工作:
结合数据分类分级选择重点评估对象,将涉及个人信息、重要数据、核心数据的所有数据处理活动,以及抽样选择的其他典型一般数据的处理活动作为重点评估对象开展评估。
2、组织未做好数据分类分级工作
如果组织未开展数据分类分级工作,也可结合业务、信息系统的重要性和敏感性,选择核心业务或重要信息系统的数据和数据处理活动**作为重点评估对象开展评估。
当选取某个单独的业务、信息系统、部门涉及的数据和数据处理活动进行评估时,可参考上述方法确定评估范围。可以选择重点评估对象,也可以将涉及的全部数据和数据处理活动纳入评估范围。
2.1.3组建评估团队
1、检查评估:
主管监管部门开展检查评估时,可根据评估范围、涉及的行业特征、专业需求,选择具备相关专业能力的评估人员组成评估队伍。评估队伍应提前完成风险评估文档、检测工具等各项准备工作,并签署保密协议。评估队伍在检查评估中获取的信息,只能用于检查任务目的和实施数据安全保护。被评估方应建立专项工作团队,成员一般包括数据安全负责人和安全、法务、合规、运维、研发、业务、数据、风险等部门相关人员。专项工作团队应按照要求做好人员、设备、技术保障等工作,配合开展风险评估。
2、自评估:
数据处理者自行或委托第三方专业技术机构开展数据安全风险评估时,可组织业务、安全、法务、合规、运维、研发等相关部门参与实施,评估组长由数据安全负责人或授权代表担任,也可委托第三方专业技术机构实施。第三方机构在评估中获取的信息只能用于评估目的,未经授权不应泄露、出售或者非法向他人提供。
2.1.4开展前期准备
2.1.5制定评估方案
评估团队编制数据安全风险评估工作方案并获得评估管理方的支持、认可,方案内容包括但不限于:
a) 评估概述:包括评估目标、评估依据等内容;
b) 评估范围:包括评估对象选择方法、评估对象描述、评估范围等;
c) 评估内容和方法:包括评估内容、评估准则、评估方法等内容;
d) 评估人员:包括评估团队的组织结构、负责人、成员、职责分工等内容;
e) 实施计划:包括时间进度安排、人员安排等内容;
f) 工作要求:包括评估工作要求、被评估方保障条件等内容,工作要求如严格依照评估内容及标准规范,规范评估行为,按照尽量不影响被评估方正常工作的原则,制定评估工作应急保障和风险规避措施,明确告知被评估方评估可能产生的风险,严守工作纪律和保密要求等;
g) 测试方案:开展技术测试前应明确测试方案,包括采用的技术工具、测试内容、测试环境、应急措施等,测试方应向被测方明示测试可能涉及的安全风险,双方就测试方案达成共识,检查评估时应提前向有关部门报备;
2.2信息调研
2.2.1数据处理者调研
数据处理者的基本情况包括但不限于:
a) 单位名称、组织机构代码、办公地址、法定代表人信息、人员规模、经营范围、数据安全负责人及其职务、联系方式等基本信息。
b) 单位性质,例如党政机关、事业单位、企业、社会团体等。
c) 是否属于特定类型数据处理者,例如政务数据处理者、大型网络平台运营者、关键信息基础设施运营者等。
d) 所属行业领域。
e) 业务运营地区,开展数据处理活动所在国家和地区等。
f) 主要业务范围、业务规模等。
g) 数据处理相关服务取得行政许可的情况。
h) 被评估单位的资本组成和实际控制人情况。
i) 是否境外上市或计划赴境外上市及境外资本参与情况,或以协议控制(VIE)架构等方式实质性境外上市。
2.2.2数据资产调研
梳理结构化数据资产(如数据库表等)和非结构化数据资产(如图表文件等),摸清数据底数,输出数据资产清单。涉及范围包括但不限于生产环境、测试环境、备份存储环境、云存储环境、个人工作终端、数据采集设备终端等收集和产生的数据。调研内容包括但不限于:
a) 数据资产情况,包括数据资产类型、数据范围、数据规模、数据形态、数据存储分布、元数据等。
b) 数据分类分级情况,包括数据分类分级规则、数据类别、数据级别、重要数据和核心数据目录情况等。
c) 个人信息情况,包括个人信息种类、规模、敏感程度、数据来源、业务流转及与信息系统的对应关系等。
d) 重要数据情况,包括重要数据种类、规模、行业领域、敏感程度、数据来源、业务流转及与信息系统的对应关系等。
e) 核心数据情况,包括核心数据种类、规模、行业领域、敏感程度、数据来源、业务流转及与信息系统的对应关系等。
f) 其他一般数据情况。
2.2.3数据处理活动调研
针对评估对象和范围,梳理数据处理活动清单,验证或绘制数据流图。数据流图应描述数据流转各环节经过的相关方、信息系统,以及每个流动环节涉及的数据类型等。调研内容包括但不限于:
a) 数据收集情况,如数据收集渠道、收集方式、数据范围、收集目的、收集频率、外部数据源、合同协议、相关系统,以及在被评估方外部公共场所安装图像采集、个人身份识别设备的情况等。
b) 数据存储情况,如数据存储方式、数据中心、存储系统(如数据库、大数据平台、云存储、网盘、存储介质等)、外部存储机构、存储地点、存储期限、备份冗余策略等。
c) 数据传输情况,如数据传输途径和方式(如互联网、VPN、物理专线等在线通道情况,采用介质等离线传输情况)、传输协议、内部数据共享、数据接口等。
d) 数据使用和加工情况,如数据使用目的、方式、范围、场景、算法规则、相关系统和部门,数据清洗、转换、标注等加工情况,应用算法推荐技术提供互联网信息服务的情况,核心数据、重要数据或个人信息委托处理、共同处理的情况等。
2.2.4安全防护措施识别
调研已有安全措施情况,包括但不限于:
a) 已开展的等级保护测评、商用密码应用安全性评估、安全检测、风险评估、安全认证、合规审计情况,及发现问题的整改情况。
b) 数据安全管理组织、人员及制度情况。
c) 防火墙、入侵检测、入侵防御等网络安全设备及策略情况。
d) 身份鉴别与访问控制情况。
e) 网络安全漏洞管理及修复情况。
f) VPN 等远程管理软件的用户及管理情况。
g) 设备、系统及用户的账号口令管理情况。
h) 加密、脱敏、去标识化等安全技术应用情况。
i) 3 年内发生的网络和数据安全事件、攻击威胁情况。
1) 事件名称、数据类型和数量、发生原因、级别、处置措施、整改措施等,重大事件需提供事件调查评估报告。
2) 近 3 年发生的数据安全事件处置、记录、整改和上报情况。
3) 实际环境中通过检测工具、监测系统、日志审计等发现的威胁。
4) 近期公开发布的社会或特定行业威胁事件、威胁预警。
5) 其他可能面临的数据泄露、窃取、篡改、破坏/损毁、丢失、滥用、非法获取、非法利用、非法提供等安全威胁。
2.3风险识别
对各个评估对象,从数据安全管理、数据处理活动、数据安全技术、个人信息保护等方面,通过多种评估手段识别可能存在的数据安全风险隐患。已开展的检测评估工作报告,可在分析评估结果真实性、有效性的基础上视情采纳。
一般步骤:
a) 如果被评估方已开展过相关的测评工作,应先对已开展的测评工作结论进行分析。
b) 针对被评估对象的特点,选择适用的评估内容进行评估,评估内容选择方法如下:
1) 数据处理者均应识别数据处理活动、数据安全管理、数据安全技术等风险情况。
2) 个人信息处理者还应在 1)的基础上,识别个人信息保护风险情况。
c) 被评估对象涉及数据出境的,应按照国家相关法规、国家标准要求进行数据出境相关评估、认证、备案等工作,若存在未按要求开展相关工作的,直接判定存在安全风险,并结合第 9 章进行风险分析与评价。
d) 梳理各评估项的评估结果和发现的风险源,输出数据安全风险评估记录。
2.3.1已开展测评工作结论分析
被评估方应当按照国家法律法规、强制性国家标准等文件要求,通过有关检测评估。在开展风险评估时,应记录被评估方应开展的检测评估工作及实际开展情况,主要包括:
a) 数据处理活动涉及应开展检测评估工作名称、要求来源等基本情况。
b) 已开展检测评估工作有效性(指是否由有资质机构,按照正常程序开展)。
c) 检测评估内容和结果,及检测评估工作开展情况。
已开展检测评估工作情况应由被评估方提供证明材料,评估人员可在分析评估结果真实性、有效性的基础上视情采纳。
若评估对象未实施或通过国家法律法规、强制性国家标准等文件要求的检测评估工作,如网络安全等级保护测评、云计算服务安全评估、互联网信息服务算法推荐安全评估、数据出境安全评估等,则判定存在未按要求开展检测评估工作的安全风险。
2.3.2数据安全管理
2.3.3数据安全技术
2.3.4数据安全处理活动
2.3.5个人信息保护
参考GB/T39335 《信息安全技术 个人信息安全影响评估指南》执行
2.4风险分析与评价
2.4.1生成问题源清单
在风险识别基础上形成问题列表,开展风险分析,并视情对风险进行评价,最后提出整改建议。
2.4.2风险归类
根据数据安全风险源清单,分析数据安全风险源可能引发的安全风险,按照风险类型对风险源归类
2.4.3数据危害程度分析(定性分析)
风险危害程度分析,主要分析数据的价值、重要性、规模、种类,以及数据处理目的、方式、范围等要素,综合评估数据安全风险一旦发生,对国家安全、经济运行、社会秩序、公共利益或者个人、组织合法权益造成的危害程度。风险危害程度从低到高可分为很低、低、中、高、很高 5 个级别。风险危害程度分析遵循就高从严、整体分析原则,如果该风险涉及多个数据资产,应进行累加判断,将涉及数据的风险按照最高危害等级判断。风险危害程度评价,主要考虑数据价值、数据重要性、风险源严重程度三个因素。
数据价值主要从数据资产的经济效益、业务效益、投入成本计量等方面分析(可参考中国信通院数据价值化与数据要素市场发展报告2021–四要素定价模型)。
数据重要性主要从数据分级角度衡量,数据级别越高代表数据重要性越高,数据安全级别可参考《信息安全技术 网络数据分类分级要求》确定。个人信息规模和数据敏感程度可以作为数据重要性判断的衡量因素。
风险源严重程度,主要考虑风险源对数据处理者带来的危害程度。
2.4.4风险发生的可能性分析(定性分析)
风险发生可能性分析,主要考虑风险源发生频率、安全措施有效性和完备性、风险源关联性等因素。
风险源发生频率,可从被评估对象发生相关数据安全事件的次数及频率、同行业或业务模式相似的单位发生相关数据安全事件的次数及频率、相似数据安全事件发生次数及频率、轻微安全问题累计发生次数等方面,综合分析同类风险源发生可能性。一般风险源或安全事件发生频率越高,风险发生可能性越高。
安全措施有效性、完备性,主要通过识别数据安全措施应对风险源的有效性、全面性等。核心数据、重要数据及相关数据处理活动,需采取更严格的安全防护措施才能降低风险发生可能性。
风险源关联性,主要通过风险源清单关联分析,发现多个风险源组合后可能引发数据安全风险,则将其与其他风险源合并分析,综合判断风险发生可能性。
在综合分析风险源发生频率、安全措施有效性和完备性、风险源关联性的基础上,将数据安全风险发生的可能性从低到高分为低、中、高 3 个级别。等级越高代表措施完备性、有效性越低,风险越可能发生。
2.4.5数据危害程度分析(定量分析)
按照百分制给出数据安全风险危害程度量化分析方法,结合实际情况,根据得分区间给出风险危害程度得分值,得分越高代表风险危害程度越高。(定量分析)
2.4.6风险发生的可能性分析(定量分析)
按照百分制给出数据安全风险危害程度量化分析方法,结合实际情况,根据得分区间给出风险危害程度得分值,得分越高代表风险危害程度越高。
2.4.7数据安全风险评价
1、定性评价:
可基于实际情况,视情对数据安全风险进行评价。风险评价一般结合评估对象实际情况,基于危害程度和发生的可能性的分析结果,综合风险危害程度及风险发生可能性对安全风险进行综合评价。
数据安全风险评价结果包括:
a) 重大安全风险:一般指可能直接影响国家安全的数据安全风险。
b) 高安全风险:一般指可能直接影响经济运行、社会稳定、公共健康安全,以及较为广泛的公众权益,或对国家安全造成间接影响的数据安全风险。
c) 中安全风险:一般指可能直接对企业合法权益造成较为严重的影响,或直接对自然人的人格尊严受到严重侵害或者人身、财产安全受到严重危害,或对经济运行、社会稳定、公众利益造成较为严重间接影响的数据安全风险。
d) 低安全风险:一般指可能直接对企业合法权益造成一般影响,或直接对自然人的人格尊严受到侵害或者人身、财产安全受到危害,或对社会、公众权益有一定或较小影响的数据安全风险。
e) 轻微安全风险:一般指可能直接对企业合法权益造成一般或较小影响,或对自然人人格尊严、人身安全、财产安全不造成侵害或仅产生较轻微的危害,或对小范围的组织或公民个体权益造成影响的数据安全风险。
数据处理者可根据自身情况,将仅影响组织权益、个人权益等的风险自行定为或调整为“重大”“高” 等级别,及时进行风险处置。
结合 定性数据安全风险评价方法,本节提出数据安全风险量化评价方法,结合实际情况,根据得出的量化结果计算风险 值,得分越高代表风险等级越高。计算公式如下:
Ri = σi × Vi,
其中Ri为第i个数据的风险评价分值,σi为第i个数据危害程度赋值;Vi为第i个数据的风险发生可能性赋值。
2.4.8数据安全风险清单
针对各项数据安全风险完成风险评价后,整理各项风险评估结果,在 初步风险清单基础上形成数据安全风险清单(如表 4 所示),列出各项风险的风险等级、危害程度、发生可能性等。
2.5数据安全风险评估总结
根据评估情况,评估团队编制数据安全风险评估报告。评估报告应准确、清晰地描述评估活动的主要内容(并附必要的证据或记录),提出可操作性的整改措施对策建议。
评估人员结合实际情况,对发现的数据安全风险提出处置建议,酌情指导数据处理者整改。被评估方应制定数据安全风险处置方案,限期完成整改,无法及时完成整改的,应采取临时安全措施,防止数据安全事件发生。常见数据安全风险处置措施包括不限于以下选项:
a) 停止收集某些类型的数据。
b) 预处理阶段对某些类型数据进行销毁。
c) 缩小处理范围。
d) 缩短存储期限。
e) 采取额外的技术措施。
f) 加强对应数据处理活动岗位人员培训。
g) 匿名化、去标识化。
h) 完善管理制度。
i) 采用其他数据处理技术。
j) 补充签署协议(针对数据转移)。
k) 修订隐私条款。
评估人员根据数据处理者决定的风险处置措施,结合风险识别和评估方法,预判措施有效性和残余风险,形成记录。被评估方完成整改后,评估方可视情开展数据安全风险复评工作,复评时可重点分析风险处置后的残余风险,以及采取额外控制措施可能导致的次生风险等。
总结
以上内容就是本人对数据安全风险评估服务从原理到实施的全流程做的总结,希望可以在后续的工作学习中不断进行总结优化。
参考资料如下:
《中华人民共和国数据安全法》
《数据安全管理办法》(征求意见稿)
《信息安全技术 数据安全风险评估方法》(征求意见稿)
《网络安全标准实践指南—网络数据安全风险评估实施指引》
《信息安全技术 网络数据分类分级要求》(征求意见稿)
《GB∕T 39335-2020 信息安全技术 个人信息安全影响评估指南》
《GB/T 20984-2022 信息安全技术 信息安全风险评估方法》
扫一扫
3034
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
