《信息安全技术-数据安全风险评估方法(征求意见稿)》
2023年8月21《信息安全技术 数据安全风险评估方法(征求意见稿)》发布,这在数据安全圈内引起极大关注。从2021年9月1日,《中华人民共和国数据安全法》正式实施,数据安全被提升到了国家安全级别。数据安全法的出现,不仅有效的保护了国家,社会和个人的数据安全,也显示了国家在数据安全方面的力度和决心。
在数安法第30条,提出重要数据处理者能定期开展数据安全风险评估,并向有关部门报送风险评估报告的要求。与此相关,同数据安全风险评估的方法,指南也陆续出台。2023年5月26,信安标委TC260推出标准《网络安全标准实践指南--网络数据安全风险评估实施指引》,给苦于落地实践数据安全风险评估的组织机构点亮了一盏明灯,数据安全风险评估的落地实践也开始慢慢变得清晰起来。《信息安全技术 数据安全风险评估方法(征求意见稿)》发布,让大家原本五花八门的数据安全风险评估方法开始收敛,方法更趋于务实和易于落地。
为了更好的理解国推标,本文将会带大家一起来熟悉《信息安全技术 数据安全风险评估方法(征求意见稿)》一文的核心思想和重要内容。我们先来了解一下数据安全风险评估的相关概念。
一、数据安全风险及数据安全风险评估概念
随着全球数据量的急速增长,数据安全风险也不断增加。在数安法实施近两年以来,根据数据法盟分析,被公开处以行政处罚的典型案例共32起,对企业处罚金额最高达80.26亿元,对个人处罚最严重为刑拘。根据该分析,32件案例中,数据保护义务的问题多达28起,大多数为未落实数据安全保护义务造成。
由此可见企业在处理数据时,可能会面临未知的数据安全风险,这些风险可能会来自数据安全管理合规性上,也可能来自数据安全保护技术不到位,可能对数据处理各环节中潜在问题没有发现,还可能是对法律法规的理解不到位上。为了避免发生重大数据安全事件,产生不良负面影响和后果,企业或组织可以定期开展数据安全风险评估。数据安全风险评估可以发现、定位到企业或组织内外部数据管理、技术等上存在的脆弱性及潜在的风险。
数据安全风险评估是以“主动发现,积极防范”为策略,对数据和数据处理活动存在的安全问题进行风险评估,以发现数据安全隐患,了解企业内部数据资产,业务流程中数据处理,数据全生命周期等的整体状况,存在的问题。并对存在的数据安全风险问题进行整改建议,以期能不断提升企业或组织的数据安全能力和水平。
二、国标征求意见稿的解析
1. 全文结构
《信息安全技术 数据安全风险评估方法(征求意见稿)》全文一共有十章,前五章介绍了数据安全风险评估的原理,流程,评估内容,评估手段;后五章节介绍具体流程中每一个步骤的详细方法指引,实践操作的要点等。如下图所示:
2.数据安全风险分析原理
数据安全风险评估,主要围绕数据处理者的数据、数据处理活动和安全措施,对可能影响数据保密性、完整性、 可用性和数据处理合理性的安全风险进行分析,识别风险隐患,梳理风险源清单,进而分析数据安全风险。数据安全风险评估原理如下图所示:
依据文中所提,在数据安全分析和评价中,数据安全风险危害程度分析、风险发生可能性分析、数据安全风险评价等步骤可选,如不执行上述步骤,可结合风险源清单和风险归类分析结果得到数据安全风险清单。
3.风险分析流程
数据安全风险评估流程,主要包括评估准备、信息调研、风险识别、综合分析、评估总结五个阶段:
在上图的实施流程中,非常清晰的指明了五个阶段及各个阶段中需要落地的具体工作内容、输出物。此流程思路条理,内容具体详细,在实践操作时容易做到有章可循。具体每个阶段又在第六章到第十章中一步一步给出具体指导。
4.评估内容框架
数据安全风险评估的内容主要围绕数据安全管理、数据处理活动安全、数据安全技术、 个人信息保护等方面开展评估。如下图所示:
上图是数据安全风险评估内容,具体的检查项可以和《网络安全标准实践指南--网络数据安全风险评估实施指引》对照起来评估。
5.数据安全评估手段
依据该标准,对数据安全进行评估时,可以采取如下评估手段:
a) 人员访谈:对相关人员进行访谈,核查制度规章、防护措施、安全责任落实情况。
b) 文档查验:查验安全管理制度、风险评估报告、等保测评报告等有关材料及制度落实情况的证明材料。
c) 安全核查:核查网络环境、数据库和大数据平台等相关系统和设备安全策略、配置、防护措施情况。
d) 技术测试:应用技术工具、渗透测试等手段查看数据资产情况、检测防护措施有效性。
6. 征求意见稿的特点
从之前的网络安全风险评估和数据安全风险评估对比,数据安全风险评估原理更简洁,易于落地。没有继承网络安全风险评估的脆弱性,威胁等要素,而是从风险源清单分析出风险危害程度和风险发生可能性,最终得出数据安全风险评估。而且根据征求意见稿,数据安全风险危害程度分析、风险发生可能性分析、数据安全风险评价等步骤可选。这对于原本比较复杂的数据安全风险评估来说,是一种方法的突破。
征求意见稿在数据安全风险评价上,提出了定性和定量评估风险两种方法,并分别给出评估矩阵和计算方法,容易满足实际中数据安全风险评估不同项目或客户的要求。定量分析上算法也简洁明了,整体上都偏于易落地实现。
三、开展数据安全风险评估意义
1.满足法律法规的合规要求
可以说,提到数据安全就必然会和合规联系到一块,除了前面提到的在数据安全法中提到了数据安全风险评估的要求,《个人信息保护法》、《网络数据安全管理条例》、《网络安全审查办法》,《数据出境安全评估办法》,《个人信息安全影响评估指南》等等众多法律法规,行政条文及行业要求从多维度对数据安全提出了要求。如何保障组织或企业在保证不影响业务情况下,合法,合规,合理处理数据,也是组织或企业首先要解决的问题。数据安全风险评估很好的融合了数据安全相关合规要求,在对相应合规控制点进行评估时就可以全景的了解数据安全是否有碰触合规红线。
2.数据资产梳理
对于组织或企业来说,自己内部有哪些数据,哪些是敏感数据,重要数据,分别存在什么位置,有哪些信息系统,业务上会用到哪些数据,结构化数据和非结构化数据量分别有多少,可能没有非常清晰的台账或清单。风险评估的基础就是进行数据资产,信息系统,业务情况进行调研和识别。这个过程就会理清数据资产,信息系统,业务流转情况。形成相应的清单,对于组织或企业整体了解数据,系统,业务情况有很大帮助。
3.数据安全保护查缺补漏
《中华人民共和国数据安全法》中明确规定数据处理者有保护数据安全的义务,但数据泄露,篡改,滥用,丢失的风险依然高居不下,重要数据,核心数据是否已经采取应有的保护措施,采取对应的管控手段。保护措施是否完善无误?数据安全风险评估可以帮忙组织或企业更好的知晓数据安全保护情况。
4.数据安全风险评估是数据安全治理的基础
在数字化转型中,数据要成为生产要素,实现数据交换共享,数据安全治理,数据治理都是势在必行的,而数据安全风险评估可以为此打好基础,保障数据的合法,合规,安全。
来源:卓识网安
原文链接:https://mp.weixin.qq.com/s/F5TFeVqnHiI2JMzdO_5J3w
