想要获取更多信息,请关注微信公众号:道普信息
随着各类数据呈现爆炸式的增长,大数据、云计算等技术不断涌现,“数字化”的理念已经渗透到各个领域,各行业企业机构目前正在从 “信息化” 转型到 “数字化” 中,数据价值化加速推进,数据安全已成为数字经济时代最紧迫和最基础的安全问题。同时,数据安全问题给个人隐私、社会稳定、国家安全也带来了巨大的挑战。如何精准识别基于数据自身的风险,成为数据安全治理与防护的前提条件。
1、什么是数据安全风险评估?
2、数据面临哪些安全风险?
3、为什么需要做数据安全风险评估?
4、数据安全风险评估参考标准有哪些?
5、数据安全风险评估流程有哪些?
1、什么是数据安全风险评估?
基于数据分类分级的风险评估模型,通过对策略与规程、数据与系统资产、组织与人员管理、服务规划与管理、数据供应链管理、合规性管理以及数据全生命周期安全管理7大层面,从组织建设、制度流程、技术工具、人员能力4个维度,对数据的采集、传输、存储、处理、交换、销毁全生命周期进行风险识别和评估,发现数据存在的安全风险。并针对发现的数据安全风险给出风险处置计划。
2、数据面临哪些安全风险?
- 数据合规安全风险:大部分企业的数据安全合规体系建设还处于起步状态,对违规所带来的风险缺乏相应的评估机制,可能存在潜在的数据泄露、数据丢失、数据篡改、数据滥用等安全风险。
- 关键信息基础设施数据安全风险:目前关键信息基础设施运营者重要数据的全生命周期保护严重不足,未建立起有效的防护体系机制。
- 数据出境安全风险:数据出境的风险重点来源于数据出境的合规类风险。
- 数据方向性风险:数据建设方向不明确,缺乏规划和治理。
- 数据项目风险:数据项目可行性、进度、质量、安全保密、合规等方面的风险。
3、为什么需要做数据安全风险评估?
在大数据时代,数据泄漏、数据滥用、数据篡改等各类安全风险的存在,让企业在建设执行数据安全风险评估方面变得紧迫和必要;同时,在国家监管层面对数据安全风险评估也提出了要求。
《中华人民共和国数据安全法》
第二十二条 国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制。
第三十条 重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。
《中华人民共和国个人信息保护法》
第九条 个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。
《中华人民共和国网络安全法》
第十八条 国家鼓励开发网络数据安全保护和利用技术,促进公共数据资源开放,推动技术创新和经济社会发展。
《关键信息基础设施安全保护条例》
第十五条 专门安全管理机构具体负责本单位的关键信息基础设施安全保护工作,履行下列职责:
(六)履行个人信息和数据安全保护责任,建立健全个人信息和数据安全保护制度。
《网络数据安全管理条例(征求意见稿)》
第二十八条 重要数据的处理者,应当明确数据安全负责人,成立数据安全管理机构。数据安全管理机构在数据安全负责人的领导下,履行以下职责:
(四)定期组织开展数据安全宣传教育培训、风险评估、应急演练等活动。
第五十五条 主管部门应当定期组织开展本行业、本领域的数据安全风险评估,对数据处理者履行数据安全保护义务情况进行监督检查,指导督促数据处理者及时对存在的风险隐患进行整改。
4、数据安全风险评估参考标准有哪些?
GBT 36073-2022《数据管理能力成熟度评估模型》
TISC-0011-2022《数据安全治理能力评估方法》
YD/T 3865-2021《工业互联网数据安全保护要求》
GB/T 20984-2007《信息安全技术 信息安全风险评估规范》
GB/T 35273-2020《信息安全技术 个人信息安全规范》
GB/T 39335-2020《信息安全技术 个人信息安全影响评估指南》
GB/T 37988-2019《信息安全技术 数据安全能力成熟度模型》
GB/T 37973-2019《信息安全技术 大数据安全管理指南》
5、数据安全风险评估流程有哪些?
参照信息安全风险评估方法,以数据资产为评估对象,数据处理活动中所面临的风险为评估内容,提供一套可落地可指导实践的数据安全风险评估方法。核心内容包括:评估准备、风险识别、风险分析和风险评价。
评估准备
当前企业与组织实施风险评估工作,更多是从国家法律法规及行业监管、业务需求评估等相关要求出发,从战略层面考量风险评估结果对企业相关的影响。数据安全风险评估准备的内容,主要包括:评估对象、评估范围、评估边界、评估团队组建、评估依据、评估准则、制定评估方案并获得管理层支持。
风险识别
主要包括资产价值识别、数据处理活动要素识别、合法合规性识别、威胁识别、脆弱性识别以及已有安全措施识别。
风险分析
通过采取适当的方法与工具,可得出企业所面临的合法合规性风险、数据安全事件发生的可能性以及数据安全事件发生对组织的影响度,从而得到数据安全风险值。
风险评价
企业在执行完数据安全风险分析后,通过风险值计算方法,会得到风险值的分布状况,对风险等级进行划分,一般会划分为:高、中、低三个等级。依据风险评价中风险值的等级,明确风险评估结果内容。
END
想要获取更多信息,请关注微信公众号:道普信息
问 数据安全风险评估指南,如何搞定数据安全风险评估,只要弄明白这几个问题?