数据要素是数字经济的核心生产要素,数据安全是事关国家安全和经济社会发展的重大问题。近年来,我国数据安全保障体系建设稳步推进,但随着数据规模不断扩大、数据价值不断提高、数据应用场景和参与主体日益多样化、数据安全的外延不断扩展,数据泄露、数据滥用、数据篡改、数据伪造和隐私保护等风险也与日俱增。如何有效防范数据安全风险与事件,是全球数字经济发展下的重点问题。
数据安全风险评估受到高度重视
数据安全相关政策的发布,为各行业企业开展数据安全评估提供了方法指引 ,推动了数据安全评估工作的落地实施 。
国家层面
《数据安全法》(2021年9月1日实施)
第二十二条 国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制。国家数据安全工作协调机制统筹协调有关部门加强数据安全风险信息的获取、分析、研判、预警工作。
第三十条 重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。
重点领域
交通:
《汽车数据安全管理若干规定(试行)》(网信办、国家发展和改革委员会、工信部、公安部、交通运输部2021年8月16日发布)
第十条 汽车数据处理者开展重要数据处理活动,应当按照规定开展风险评估,并向省、自治区、直辖市网信部门和有关部门报送风险评估报告。
风险评估报告应当包括处理的重要数据的种类、数量、范围、保存地点与期限、使用方式,开展数据处理活动情况以及是否向第三方提供,面临的数据安全风险及其应对措施等。
工业和信息化:
《工业和信息化领域数据安全管理办法(试行)》(工信部 2022年12月8日发布)
第三十一条 工业和信息化部制定行业数据安全评估管理制度,开展评估机构管理工作。制定行业数据安全评估规范,指导评估机构开展数据安全风险评估、出境安全评估等工作。……工业和信息化领域重要数据和核心数据处理者应当自行或委托第三方评估机构,每年对其数据处理活动至少开展一次风险评估,及时整改风险问题,并向本地区行业监管部门报送风险评估报告。
医疗:
《医疗卫生机构网络安全管理办法》(国家卫健委、国家中医药局、国家疾控局 2022年8月8日发布)
第二十一条 ......每年对本单位的数据进行数据安全风险评估,及时掌握数据安全状态。.......
金融:
《银行保险机构数据安全管理办法(征求意见稿)》(国家金融监督管理总局 2024年3月22日发布)
第五条 (数据安全管理体系)
银行保险机构应当建立与本机构业务发展目标相适应的数据安全治理体系,建立健全数据安全管理制度,构建覆盖数据全生命周期和应用场景的安全保护机制,开展数据安全风险评估、监测与处置,保障数据开发利用活动安全稳健开展。…..
第六十四条 (数据安全风险管理机制)
银行保险机构应当将数据安全风险纳入本机构全面风险管理体系,明确数据安全风险监测、风险评估、应急响应及报告、事件处置的组织架构和管理流程,有效防范和处置数据安全风险。
第六十六条 (风险评估与审计)
银行保险机构应当每年开展一次数据安全风险评估。…..
数据安全风险评估与等保测评、密评的区别
开展网络安全等级保护测评、商用密码应用安全性评估与数据安全风险评估都是网络安全运营者义不容辞的职责与义务,这三项工作并非按照重要性排序,而是在安全防护的深度与广度上各有侧重。
法律要求不同
网络安全等级保护测评是满足《中华人民共和国网络安全法》第二十一条“国家实行网络安全等级保护制度”的要求;
商用密码应用安全性评估是满足《中华人民共和国密码法》第二十七条“法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估”的要求;
数据安全风险评估是满足《中华人民共和国数据安全法》第三十条“重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等”的要求。
开展对象不同
网络安全等级保护测评和商用密码应用安全性评估针对已定级的等级保护对象开展,等级保护对象的范围包括“应用、服务、信息技术资产或其他信息处理组件”,根据国家标准分别对等级保护对象的安全防护现状、密码技术应用情况开展测评。
数据安全风险评估围绕数据和数据处理活动开展,可以是单位的全部数据,也可以选取重点等级保护对象开展。数据处理活动包括已经开展的数据处理活动,如数据采集、数据存储、数据使用等,也可以针对即将开展的数据处理活动进行评估,综合评价即将开展的数据处理活动是否满足合规要求和安全防护要求,如数据共享、数据交易、数据出境等。
安全风险不同
网络安全等级保护测评,对等级保护对象开展测评,围绕等级保护对象可能遭受的安全风险开展,遭受的风险包括恶意攻击、软硬件故障和管理不到位等安全风险。
商用密码应用安全性评估,对等级保护对象开展测评,主要围绕密码算法、密码协议、密码产品、密钥管理等弃用、错用、误用等风险。
数据安全风险评估,对数据流动过程和数据处理过程的风险进行评估,数据遭受的风险包括数据泄露、数据破坏、数据丢失等数据安全风险,还关注数据处理活动的合规性,对违法违规获取数据、违法违规出售数据、违法违规购买数据、违法违规出境数据等数据合规性风险进行评估。
为了确保网络运营者的网络与数据安全得到有效保障,在开展网络安全等级保护测评、商用密码应用安全性评估时,还应积极开展数据安全风险评估。
通过数据安全评估服务,掌握数据安全总体状况,发现数据安全隐患,提出数据安全管理和技术防护措施建议,提升数据安全能力以及满足监管合规的要求。
数据安全风险评估各阶段工作
(1)评估准备:是数据安全风险评估的初始预备阶段,在评估实施前应完成评估准备工作。形成调研表,数据安全风险评估方案等。
(2)信息调研:主要用于识别数据处理者的基本情况,厘清其与业务和信息系统的关系,处理的数据和开展的数据处理活动情况,采取的数据安全防护措施等,形成相关表单。
(3)风险识别:针对各个评估对象,从数据安全管理、数据处理活动、数据安全技术、个人信息保护等方面,通过多种评估手段识别可能存在的数据安全风险隐患,形成相关表单。
(4)综合分析:在风险识别基础上开展风险分析,并视情对风险进行评价,最后提出整改建议,形成数据安全风险源清单、数据安全风险列表、整改建议等。
(5)评估总结:编制数据安全风险评估报告,开展风险处置。
开展数据安全风险评估是数据安全保护的重要环节,是主管部门落实监管职能的重要抓手,也是各方履行法定义务的必要程序。工程中心数据安全团队在数据安全治理方面具备深厚的理论研究积累和丰富的实践经验,先后服务多个重点领域大型用户,帮助用户加强数据安全保障,实现业务发展与数据安全的平衡。未来,我们将继续深化数据安全风险评估与治理的研究与实践,护航数据安全。欢迎咨询合作,共谋数据安全新篇章。
如有侵权请联系:admin#unsafe.sh