数据要素是数字经济的核心生产要素,数据安全是事关国家安全和经济社会发展的重大问题。近年来,我国数据安全保障体系建设稳步推进,但随着数据规模不断扩大、数据价值不断提高、数据应用场景和参与主体日益多样化、数据安全的外延不断扩展,数据泄露、数据滥用、数据篡改、数据伪造和隐私保护等风险也与日俱增。如何有效防范数据安全风险与事件,是全球数字经济发展下的重点问题。
什么是数据风险评估
数据风险评估是我国《数据安全法》明确要求的内容,我们知道在传统的网络安全活动基础上,数据处理活动更加复杂多样,包括生产、采集、提供、交易、交换、存储、传输、加工、使用、共享、公开、销毁等活动。重要数据的处理者应对数据处理活动中数据的安全性及可能存在的风险开展安全检测、风险评估,检验保护数据安全措施的有效性,及时发现问题隐患并整改。
谁需要做数据风险评估
工业和信息化领域数据安全风险评估实施细则(试行)第二条【适用范围】有规定:
本细则适用于中华人民共和国境内工业和信息化领域重要数据和核心数据处理者开展的数据安全风险评估活动。
一般数据处理者可参照本细则开展数据安全风险评估。
数据风险评估的要素
相较于《信息安全风险评估方法》、《电信网和互联网数据安全风险评估实施方法》,2023年《网络数据安全风险评估实施指引》和《数据安全风险评估方法(征求意见稿)》提出了数据安全风险的“风险源”这一概念(即:风险源是可能导致危害数据的保密性、完整性、可用性和数据处理合理性等事件的威胁、脆弱性、问题、隐患等,也称“风险隐患”),并同样指出了数据安全风险评估需要通过信息调研,识别数据处理者、业务和信息系统、数据资产、数据处理活动、安全措施等相关基本要素,从数据安全管理、数据处理活动、数据安全技术、个人信息保护等方面识别风险隐患,最终形成风险源清单,分析、评价数据安全风险并给出整改建议。
数据安全风险评估重点内容
工业和信息化领域数据安全风险评估实施细则(试行)第五条有规定:
重要数据和核心数据处理者按照国家法律法规、行业监管部门有关规定以及评估标准,对数据处理活动的目的和方式、业务场景、安全保障措施、风险影响等要素,开展数据安全风险评估,重点评估以下内容:
(一)数据处理目的、方式、范围是否合法、正当、必要;
(二)数据安全管理制度、流程策略的制定和落实情况;
(三)数据安全组织架构、岗位配备和职责履行情况;
(四)数据安全技术防护能力建设及应用情况;
(五)数据处理活动相关人员是否熟悉数据安全相关政策法规、是否具备数据安全知识技能、是否接受数据安全相关教育培训等情况;
(六)发生数据遭到篡改、破坏、泄露、丢失或者被非法获取、非法利用等安全事件,对国家安全、公共利益的影响范围、程度等风险;
(七)涉及数据提供、委托处理、转移的,数据获取方或受托方的安全保障能力、责任义务约束和履行情况;
(八)涉及国家法律法规中规定需要申报的数据出境安全评估情形,履行数据出境安全评估要求情况。
数据安全风险评估期限工业和信息化领域数据安全风险评估实施细则(试行)第六条【评估期限】规定:
重要数据和核心数据处理者每年完成至少一次数据安全风险评估,并形成评估报告。数据安全风险评估结果有效期为一年,自评估报告首次出具之日起计算。
在有效期内出现以下情形之一的,重要数据和核心数据处理者对发生变化及其影响的部分,重新开展数据安全风险评估,并更新评估报告:
(一)拟新增跨主体提供、委托处理、转移重要数据或者核心数据的;
(二)重要数据、核心数据安全状态发生变化对数据安全造成不利影响的,包括但不限于数据处理目的、方式、适用范围和安全制度策略等发生重大调整的;
(三)发生涉及重要数据、核心数据的安全事件的;
(四)行业监管部门要求进行评估的其他情形。
数据安全风险评估流程
第一阶段——评估准备:是数据安全风险评估的初始预备阶段,在评估实施前应完成评估准备工作。形成调研表、数据安全风险评估方案等。
第二阶段——信息调研:主要用于识别数据处理者的基本情况,厘清其与业务和信息系统的关系,处理的数据和开展的数据处理活动情况,采取的数据安全防护措施。形成数据处理者基本情况、业务清 单、信息系统清单、数据资产清单、数据处理活动清单、安全措施情况等,具备条件的,可绘制数据流图。
第三阶段——风险识别:针对各个评估对象,从数据安全管理、数据处理活动、数据安全技术、个人信息保护等方面,通过多种评估手段识别可能存在的数据安全风险隐患。形成文档查阅记录文档、人员访谈记录文档、安全核查记录文档、技术检测报告等。
第四阶段——风险分析与评价:在风险识别基础上开展风险分析,并视情对风险进行评价,最后提出整改建议。形成数据安全风险源清单、数据安全风险列表、整改建议等。
第五阶段——评估总结:编制数据安全风险评估报告,开展风险处置。
随着《数据安全法》和《个人信息保护法》相继推出,以及各行业数据安全标准的不断完善,建立完整的数据安全治理体系已是迫在眉睫。其中,数据安全风险评估作为数据安全建设的基础和前提,在发现数据安全威胁和风险方面意义重大。
服务咨询可联系:
洪经理 : 15914261576 (微信同号)
邵经理 : 15766484737 (微信同号)
刘经理 :19924390186 (微信同号)
余经理 :15521679957 (微信同号)
符经理 :13434318005 (微信同号)
陈经理 :13751760419 (微信同号)
广东汇和信息安全技术有限公司成立于2022年11月,总部位于广州天河软件园,实验室占地400平方,拥有多名核心技术人员,公司拥有一支高素质的人才队伍,核心团队成员从事信息化测评工作十余年,团队实施测评项目经验达几千个,具备CMA、CCRC等各类测评相关职称证书及职业资格证书,拥有多款自主研发的软件测试工具。在2023年获得中国网络安全审查认证和市场监管大数据中心颁发的信息安全风险评估三级证书。自公司成立以来一直致力于计算机软件产品检测行业,为企业提供优质的计算机软件产品测评服务。汇和信安服务范围:网络安全等级保护测评、代码审计、渗透测试、漏洞扫描、密码测试、软件产品登记测试、软件确认测试、科技项目验收测试、入网安评测试、网络安全风险评估、测试服务外包、财政投资信息化项目验收测评、APP隐私合规评估、数据安全风险评估、CNAS、CMA资质申请全流程咨询服务、CMMI认证服务等,详情可联系020-38878753。