数据安全评估是指对重要数据、个人信息等数据资产的价值与权益、合规性、威胁、脆弱性、防护等进行分析和判断,以评估数据安全事件发生的概率和可能造成的损失,并采取相应的措施和建议。

数据安全评估的重要性和背景

1.国家法律法规下的合规需要

目前数据安全法、个人信息保护法、网络数据安全管理条例(征求意见稿)、数据出境评估办法等文件均对数据安全评估提出了明确要求。数据安全法提到“重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告”。个人信息保护法提到“关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。”、“有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录,(一)处理敏感个人信息;(二)利用个人信息进行自动化决策;.......”。网络数据安全管理条例(征求意见稿)提到“第三十二条 处理重要数据或者赴境外上市的数据处理者,应当自行或者委托数据安全服务机构每年开展一次数据安全评估,并在每年1月31日前将上一年度数据安全评估报告报设区的市级网信部门”。

2.日益严重且多样化的数据安全风险分析需要

2022年由IBM和Ponemon研究所联合发布的一份全球性的研究报告,分析了550家遭受数据泄露事件的组织的各种成本和影响因素。根据报告,2022年全球数据泄露规模和平均成本均创下历史新高,数据泄露事件的平均成本高达435万美元,比2021年增长了2.6%,自2020年以来增长了12.7%。在数据安全风险多样性方面,数据采集侧:2020年滴滴违规采集和使用个人信息,被罚款80亿。数据存储侧:2021年GetHealth子公网数据库位置密码保护没导致6100多万条健康数据泄露。数据传输侧:2022年Accellion文件传输系统遭到黑客攻击,导致多家企业数据泄露。数据使用与加工侧:2023年日产汽车北美公司的第三方服务提供商在使用客户数据开发软件时,发生了数据泄露事件,约18000名客户受到影响。数据销毁侧:2018年,链家删库事件,导致链家大部分业务瘫痪。

3.未来全球化“数字双循环”情况下的提前规划需要

RCEP、CPTPP、DEPA、中欧贸易投资协定都是一些涉及数字贸易的区域性或双边的自由贸易协定,它们对于数据共享、数据流动、数字经济合作的要求各有不同,但都体现了推动数字贸易发展和规则制定的意愿和方向。

(1)RCEP其中包括了对跨境信息传输和数据本地化等议题的重要共识,为各成员国加强电子商务领域合作提供制度保障。RCEP有利于推动区域经济一体化升级和数字贸易全球规则的制定;对于推动数字产品嵌入全球价值链,实现数字贸易的全产业链发展具有重要意义;

(2)CPTPP对数据开放的程度更高,致力于减少数字贸易发展阻碍,包括禁止强制性数据本地化要求、禁止限制跨境数据流动、禁止对电子商务征收关税等。

(3) DEPA旨在促进数字经济创新和增长,为数字技术应用提供更多机会,并为参与国提供更多选择。DEPA涵盖了数据流动、数据本地化、人工智能、电子身份认证、电子支付等多个方面,并设立了一个数字经济合作委员会来监督和推进协定的实施。

(4)中欧贸易投资协定主要包括保障跨境数据流动的自由,禁止强制数据本地化,但同时允许各方为了保护公共利益而采取必要的限制措施。确保电子签名、电子合同和电子身份认证的法律效力,促进电子商务的便利化。保护消费者权益和个人数据隐私,防止不正当竞争和网络诈骗。

数据安全宏观体系分析

数据安全评估对于企业有助于摸清数据资产情况、基础环境情况并对数据资产进行盘点。开展系统性、综合性、全面性的安全分析,发展数据资产的威胁性和脆弱性,从而更加准确识别安全风险。针对安全风险提出对应解决方案,并结合组织实际情况制定可执行的安全策略与安全目标,实现数据资产在安全的环境下进行有效利用;对于行业。通过安全评估,发现共性数据安全风险问题,帮助主管部门落实数据安全法要求,实现数据安全风险监测;提升行业数据安全保障水平,保障行业的发展战略、关键技术等重要数据不受到非法侵害,有助于推动数据交易、数据交换共享等应用场景的落地,强化数据资产要素化,促进数据流动,推动数字化转型升级;对于国家。以评促建,以评促改,以评促管,评建结合,重在建设通过数据安全评估,推动《数据安全法》的落实,压实数据安全保护主体责任,切实履行数据安全保护义务,助力维护国家安全,保障社会秩序和公众利益,有效推动数字经济安全健康发展。

根据目前我国法律法规,数据安全评估整体可分为数据安全风险评估、个人信息保护安全影响评估与数据出境风险评估三种类型。

1.数据安全风险评估

数据安全风险评估在数据安全法、工业和信息化领域数据安全管理办法(试行)、网络数据安全管理条例(征求意见稿)等文件均有体现。具体流程如下图。

2.数据出境风险评估

数据出境风险评估在数据安全法、个人信息保护法、网络数据安全管理条例(征求意见)、个人信息跨境处理活动安全认证规范、数据出境安全评估申报指南(第一版)等文件中均有体现。具体流程如下图。

3.个人信息保护安全影响评估

个人信息保护安全影响评估在数据安全法、个人信息保护法、个人信息出境标准合同办法、个人信息安全规范等文件均有体现。具体流程如下图。

数据安全评估体系建设

1.数据安全广度评估

数据安全评估流程首先是利用调研表,通过人员访谈、文档翻阅、系统查看、检测工具检测等方式了解、识别被评估单位数据安全防护情况。

随后利用依据法律法规及规范、技术标准、政策要求形成的度量指标(度量指标分为组织建设度量指标、制度流程度量指标、技术工具度量指标、人员能力度量指标)与识别安全现状结果进行对标分析,形成安全评估报告,在对标分析过程中要保持客观性、独立性,真实性、完整性,一致性、谨慎性,条理清楚及判断准备。在编制安全评估报告过程中要具有科学性、系统性,延伸线、兼容性及具有综合实用性。

数据安全广度评估,应包含组织建设、制度流程、技术能力、人员能力、个人信息保护、数据跨境保护等维度。并按照以下法律、法规及行业政策规范要求,编制评估矩阵及评估要点。

技术能力矩阵-示例表

2.数据安全精准评估

数据安全深度评估,是针对数据资产生命周期不同阶段的实施要点和工作形式总结,评估内容包括:资产识别、威胁识别、脆弱性识别、风险分析与数据安全评估报告。数据安全风险评估方法在参照原有信息安全风险评估方法基础上,更关注数据资产,以及在相关数据处理活动中所面临的风险情况。

资产识别通过分析信息系统的业务流程和功能,从业务数据的完整性、可用性和机密性的保护要求出发,识别出对CIA三性有一定影响的信息流及其承载体。

威胁识别。产生安全威胁的主要因素可以分为人为因素和环境因素。人为因素又可区分为有意和无意两种,环境因素包括自然界的不可抗的因素和其他物理因素。威胁作用形式可以是对信息系统直接或间接的攻击,例如非授权的泄露、篡改、删除等,在机密性、完整性和可用性等方面造成损害,也可能是偶发的或蓄意的事件。一般来说,威胁总是要利用网络、系统、应用或数据的弱点可能成功地对目标造成伤害。安全事件及其后果是分析威胁的重要依据。

脆弱性识别。脆弱性识别主要从技术和管理两个方面进行开展。依据脆弱性识别表,通过工具识别扫描、配置核查、策略文档分析、安全审计、网络架构分析当前组织业务流程、管理体系、安全能力建设、数据生命周期等方面脆弱性情况,并根据脆弱性严重程度的不同,进行等级确定。

通过对目标对象的资产识别、威胁识别与脆弱性识别后,采用适当的方法与工具确定威胁利用脆弱性导致安全事件的可能性。

综合安全事件所作用的资产价值及脆弱性的严重程度,判断安全事件造成的损失对组织的影响,即安全风险。

数据安全评估体系建设相关推荐

  1. 商业银行数据资产管理体系建设实践报告

    数字经济作为一个新的产业正在源源不断地为我国经济高质量发展注入新动力.按照中国信息通信研究院的定义,数字经济是以数字化的知识和信息为关键生产要素,以数字技术创新为核心驱动力,以现代信息网络为重要载体, ...

  2. 浅谈《网络数据安全标准体系建设指南》(征求意见稿)的意见(附全文)

    附件: <网络数据安全标准体系建设指南>(征求意见稿).docx http://www.miit.gov.cn/n1146295/n7281310/c7858148/part/785816 ...

  3. 9.数据中台 --- 数据服务体系建设

    第9章 数据服务体系建设数据服务体系就是把数据变为一种服务能力,通过数据服务让数据参与到业务之中,激活整个数据中台,这也是数据中台的价值所在.9.1 补全数据应用的后"一公里"数据 ...

  4. 企业级-数据治理体系建设

    好的数据治理体系可以盘活整条数据链路,最大化保障企业数据的 采集.存储.计算 和 使用 过程的可控和可追溯. 如何构建企业数据治理体系?企业数据治理过程需要注意哪些问题?总体而言,不能一口一个胖子,路 ...

  5. 谈谈大数据时代企业如何进行数据治理体系建设

    随着云计算.物联网.移动互联网等新一代信息技术的快速发展,人类产生的数据量呈指数级增长.据资料显示,2012年,全球数据量达到2.8ZB,预计到2020年,全球数据量将达到40ZB.大数据蕴含着巨大的 ...

  6. 大数据平台数据治理体系建设和管理方案

    1. 范围 1 2. 规范性引用文件 1 3. 术语.定义和缩略语 5 4. 总体说明 8 4.1. 概述 8 4.2. 目标 9 4.3. 原则 9 5. 数据治理体系 10 5.1. 总体框架 1 ...

  7. 详解数据仓库数据指标数据治理体系建设方法论

    一.数据仓库 数据仓库概念 英文名称为Data Warehouse,可简写为DW或DWH.数据仓库的目的是构建面向分析的集成化数据环境,为企业提供决策支持(Decision Support).它出于分 ...

  8. 数据安全技术体系建设的思考

    <数据安全法>.<个人信息保护法>等相关的法律法规落地也有近1年的时间了,各个行业的敏感程度不尽相同,像是互联网.运营商.金融等行业在数据安全建设方面走的还是比较快,像是政府这 ...

  9. 企业数据安全管理体系建设“六步走”!

    更多专业文档请访问 www.itilzj.com 来源:谈数据 导读:当前,全球数字化转型正在以爆发性速度快速发展,数据作为数字化的核心已经成为新时代的核心生产要素之一.9月1日<数据安全法&g ...

最新文章

  1. python秩和检验(Kruskal-Wallis H Test)
  2. 西北AI现在什么水平?有人3年即实现盈利,如今估值7亿!西工大系CEO:现实没那么高大上...
  3. LeetCode之Reverse Integer
  4. 可视化工具Navicat for MySQL-操作三
  5. echarts折线图y轴根据数值自动_R语言基础绘图教程——第3章:折线图和带状图...
  6. Codeforces976D Degree Set 【构造】
  7. 【转】“正由另一进程使用,因此该进程无法访问该文件”的问题解决方法
  8. python个人项目进度管理系统源码_Python项目练习:40行代码画出动态贝氏曲线(附源码)...
  9. paip.SQL特殊字符转义字符处理
  10. 简单方法去除WPS广告
  11. 随机效应估算与固定效应估算_固定效应还是随机效应——Hausman检验.PPT
  12. Java初学者日志_05
  13. css 比较好看的字体
  14. 爬虫-豆瓣top250,东方财富网动态数据
  15. 【STM32 x ESP8266】连接阿里云 MQTT 服务器(报文连接)
  16. 聊天软件黑盒测试,duckchat
  17. 详解OSI七层模型和TCP/IP模型
  18. 操作系统的基本概念|操作系统
  19. [渝粤教育] 昆明理工大学 单片机原理及接口技术(宋庆和) 参考 资料
  20. python-列表处理log日志、字典处理log日志学习总结

热门文章

  1. 柯朗微积分与数学分析习题选解(1.1 节 a)
  2. 函数-function(函数的一般形式、命名、定义调用声明、函数的传递方式)
  3. udp客户端与服务器端模型_客户端-服务器模型
  4. 苹果主题商店_盒子电视模拟器电视直播+影视点播!苹果安卓手机影视点播!...
  5. android ftp 链接不上去,安卓手机无法连接电脑上的ftp(vsftpd)服务器
  6. 《python编程:从入门到实践》文件和异常——百万圆周率,pi_million_digits.txt
  7. 【leetcode】108. 将有序数组转换为二叉搜索树
  8. 大连理工大学GlobalProtect使用方法
  9. 达芬奇密码 第五十五章 第五十六章
  10. 老男孩python全栈开发视频教程_老男孩Python全栈开发(92天全)视频教程 自学笔记18...