中文标准名称:信息安全技术 数据安全风险评估方法。
英文标准名称:information security technology — risk assessment method for data security
标准状态:征求意见稿。
完成日期:2023 年 8 月20 日。
标准性质:推荐性行业标准。
标准解析:合规社。
本标准给出了数据安全风险评估的基本概念、要素关系、分析原理、实施流程、评估内容、分析与评价方法等,明确了数据安全风险评估各阶段的实施要点和工作方法。适用于指导数据处理者、第三方评估机构开展数据安全风险评估,也可供有关主管监管部门实施数据安全检查评估时参考安全属性。
什么是数据安全风险评估
对数据和数据处理活动安全进行信息调研、风险识别、风险分析和风险评价的整个过程。
数据安全风险评估,主要围绕数据和数据处理活动,聚焦可能影响数据的保密性、完整性、可用性和数据处理合理性的安全风险,掌握数据安全总体状况,发现数据安全隐患,提出数据安全管理和技术 防护措施建议,提升数据安全防攻击、防破坏、防窃取、防泄露、防滥用能力。首先通过信息调研识别数据处理者、业务和信息系统、数据资产、数据处理活动、安全措施等相关要素,然后从数据安全管理、 数据处理活动、数据安全技术、个人信息保护等方面识别风险隐患,最后梳理风险源清单,分析数据安全风险、视情评价风险,并给出整改建议。
数据安全风险要素关系
数据安全风险评估涉及数据、数据处理活动、业务、信息系统、安全措施、风险源等基本要素,要素间关系如图1所示。数据和数据处理活动是数据安全风险评估的评估对象。
数据安全风险评估的主要内容
信息调研:对可能影响数据安全风险的要素的情况调研,包括数据处理者、业务和信息系统、数据资产、数据处理活动、数据安全防护措施。掌握数据处理者、业务和信息系统基本情况,梳理涉及的数据资产和数据处理活动,了解采取的数据安全防护措施情况,掌握被评估对象或同行业相关数据安全事件历史发生情况。
风险识别:基于信息调研情况,从数据安全管理、数据处理活动安全、数据安全技术、个人信息保护等方面进行数据安全风险识别,识别评估对象现有安全措施完备性并对其有效性进行验证,识别可能存在的风险源。
风险分析与评价:通过分析风险类型、风险危害程度和可能性,评价风险等级。
1) 数据安全风险分析,包括数据安全风险归类、风险危害程度分析、风险 发生可能性分析。
2)风险归类分析,结合风险源可能引发的风险类型,对风险源进行归类。
3)风险危害程度分析,从数据价值、数据重要性、风险源危害程度等方面,综合评价风险可能对***公共利益或者个人、组织合法权益造成的危害程度。
4) 风险发生可能性,从风险源发生频率、安全措施有效性和完备性、风险源关联性等方面, 综合评价风险发生的可能性。
5) 风险评价过程,一般根据风险危害程度和风险发生可能性评价数据安全风险,得到数据安 全风险级别,梳理形成数据安全风险清单。
六种适用情形
情形一:重要数据处理者、关键信息基础设施运营者、处理 100 万人以上个人信息的个人信息处理者、大型互联网平台运营者、赴境外上市的数据处理者、党政机关、网络安全等级保护**及以上运营者,应每年开展一次数据安全风险评估。
情形二:数据处理者在重要数据共享、交易、委托处理或向境外提供前,应开展数据安全风险评估。
情形三:数据处理者开展高风险数据处理活动前,宜开展数据安全风险评估,高风险数据处理活动包括 但不限于:
1) 重要数据和个人信息处理者合并、分立、解散、被宣告破产进行数据转移。
2) 承载重要数据处理活动的信息系统发生架构调整、下线等重大变更。
3) 数据处理者利用生物特征进行个人身份认证。
4) 基于不同业务目的的数据汇聚融合。
5) 委托处理、向他人提供未成年人、老年人数据。
6) 新技术应用可能带来数据安全风险的。
7) 法律法规或有关部门规定要评估的情形。
8) 其他可能直接危害***公共利益或者大量个人、组织合法权益的数据处理活动。
情形四:对于已经评估过数据安全风险评估的数据处理活动,当数据范围、数据处理活动、环境、相关方等发生重大变更时,需重新开展数据安全风险评估。
情形五:重要系统上线前,可根据实际需要开展数据安全风险评估。
情形六:当被评估对象的政策环境、外部威胁环境、业务目标、安全目标等发生重大变化时,应重新开 展风险评估。
数据安全风险评估实施流程
第一阶段——评估准备:是数据安全风险评估的初始预备阶段,在评估实施前应完成评估准备工作。形成调研表、数据安全风险评估方案等。
确定评估目标:a)摸清数据种类、规模、分布等基本情况;b)摸清数据处理活动的情况;c)发现可能影响***公共利益或者个人、组织合法权益的数据安全问题和风险;d)发现共享、交易、委托处理、向境外提供重要数据等处理活动的数据安全问题和风险;e)促进完善数据安全保护措施,提升数据安全保护能力。
确定评估范围:根据工作需要和评估目标,确定数据安全风险评估的对象、范围和边界,明确评估涉及的数据资产、 数据处理活动、业务和信息系统、人员和内外部组织等。数据安全风险评估聚焦数据和数据处理活动,评估范围可以是某个单独的业务、信息系统、部门涉及的数据和数据处理活动,可以是组织全部数据和 数据处理活动。
组建评估团队:数据处理者自行或委托第三方专业技术机构开展数据安全风险评估时,可组织业务、安全、法务、合规、运维、研发等相关部门参与实施,评估组长由数据安全负责人或授权代表担任,也可委托第三方专业技术机构实施。第三方机构在评估中获取的信息只能用于评估目的,未经授权不应泄露、**或者非法向他人提供。
开展前期准备:开展数据安全风险评估前期准备时,应根据评估目标、评估范围和调研情况,制定工作计划、确定评估依据、确定评估内容、建立评估文档。
制定评估方案:评估团队编制数据安全风险评估工作方案并获得评估管理方的支持、认可,方案内容包括但不限于:评估概述、评估内容和方法、评估人员、实施计划、工作要求、测试方案。
第二阶段——信息调研:主要用于识别数据处理者的基本情况,厘清其与业务和信息系统的关系,处理的数据和开展的数据处理活动情况,采取的数据安全防护措施。形成数据处理者基本情况、业务清 单、信息系统清单、数据资产清单、数据处理活动清单、安全措施情况等,具备条件的,可绘制数据流图。
数据处理者调研:数据处理者的基本情况,包括单位基本情况、单位性质、是否属于特定类型数据处理者、所属行业、业务运营地区、主要业务范围等。
业务和信息系统调研:包括网络和信息系统基本情况、业务基本信息、业务涉及个人信息及重要数据数据处理情况等。
数据资产调研:梳理结构化数据资产(如数据库表等)和非结构化数据资产(如图表文件等),摸清数据底数,输 出数据资产清单。涉及范围包括但不限于生产环境、测试环境、备份存储环境、云存储环境、个人工作 终端、数据采集设备终端等收集和产生的数据。
数据处理活动调研:针对评估对象和范围,梳理数据处理活动清单,验证或绘制数据流图。数据流图应描述数据流转各 环节经过的相关方、信息系统,以及每个流动环节涉及的数据类型等。
安全防护措施识别:调研已有安全措施情况,包括已开展的等级保护测评、商用密码应用安全性评估、安全检测、风险评估、安全认证、合规审计情况,及发现问题的整改情况、数据安全管理组织、人员及制度情况等。
第三阶段——风险识别:针对各个评估对象,从数据安全管理、数据处理活动、数据安全技术、个人信息保护等方面,通过多种评估手段识别可能存在的数据安全风险隐患。形成文档查阅记录文档、人员访谈记录文档、安全核查记录文档、技术检测报告等。
数据安全管理:应从数据安全管理制度、安全组织机构、分类分级管理、合作外包管理、安全威胁和应急管理、开发运维管理、云数据安全等方面识别数据安全管理风险。
数据处理活动安全:数据收集安全风险识别、数据存储安全风险识别、 数据传输安全风险识别、数据使用和加工安全风险识别、数据提供安全风险识别、数据公开安全风险识别、数据删除安全风险识别、其他数据处理活动安全风险识别。
数据安全技术:应从网络安全防护、身份鉴别与访问控制、检测预警、数据脱敏、数据防泄漏、数据接口安全、数 据备份与恢复、安全审计等方面识别数据安全技术风险。
个人信息保护:如被评估范围涉及个人信息处理,还应从个人信息处理基本原则、个人信息告知同意、个人信息处理、敏感个人信息处理、个人信息主体权利、个人信息安全义务、个人信息投诉举报、大型网络平台个人信息保护等方面识别个人信息保护风险。
第四阶段——风险分析与评价:在风险识别基础上开展风险分析,并视情对风险进行评价,最后提出整改建议。形成数据安全风险源清单、数据安全风险列表、整改建议等。
典型数据安全风险类别示例
数据安全风险危害程度等级参考
风险发生可能性等级参考
数据安全风险评价矩阵
数据安全风险清单
第五阶段——评估总结:编制数据安全风险评估报告,开展风险处置。
数据安全风险评估报告封面。
数据安全风险评估报告基本信息表。
数据安全风险评估报告主要内容。
数据安全风险评估报告声明模板。
数据安全风险评估内容框架
数据安全风险评估,在信息调研基础上,围绕数据安全管理、数据处理活动安全、数据安全技术、 个人信息保护等方面开展评估。
数据安全风险评估手段
人员访谈:对相关人员进行访谈,核查制度规章、防护措施、安全责任落实情况。
文档查验:查验安全管理制度、风险评估报告、等保测评报告等有关材料及制度落实情况的证 明材料。
安全核查:核查网络环境、数据库和大数据平台等相关系统和设备安全策略、配置、防护措施 情况。
技术测试:应用技术工具、渗透测试等手段查看数据资产情况、检测防护措施有效性。
摘自:全国信安标委秘书处《信息安全技术 数据安全风险评估方法》(征求意见稿)
浅析云数据安全的必要性
随着企业和个人用户越来越多地将数据存储和处理移到云上,云数据安全变得至关重要。云计算的发展为我们提供了卓越的灵活性和可扩展性,但也伴随着潜在的风险。在这个信息高度互联的时代,保护敏感数据是一项迫切的任务。本文将 云数据安全的重要性。一 云数据安全的重要性。 数据价值 数据是现代企业的生命线。它包含客...
什么是数据安全风险评估?
什么是数据安全风险评估呢?今天永恒无限就为大家介绍下数据安全风险评估!随着信息技术的飞速发展,数据已经成为企业最重要的资产之一。然而,数据安全风险也随之而来。为了确保数据的安全性,企业需要开展数据安全风险评估。那么,什么是数据安全风险评估呢?数据安全风险评估是通过对企业信息系统中存在的数据安全风险进...
数据安全官 CCRC DSO 中国网络安全审查技术与认证中心重磅推出
随着数字化转型成为国家十四五的重点规划,数据要素市场化建设上升到国家战略高度,数据已成为数字经济发展的重要生产要素。近年来,我国数据安全政策布局不断提速,数据安全相关法律法规密集出台,对数据资产进行全生命周期的安全管控已成为未来可持续发展的必然要求。做好数据安全管理,不仅关乎个人的资产安全,更关乎企...