1. 首页
  2. 治库

电信领域数据安全风险评估规范重点梳理(附指引回顾)

以标准和流程确保数据处理活动中的数据安全,防止数据泄露、篡改、破坏或非法获取和利用,从而保护国家安全、公共利益以及个人和企业的合法权益。

电信领域数据安全风险评估规范重点梳理(附指引回顾)
出处:数治网综合

正如《一次数据安全风险评估的全面复盘 让你不再有盲点》提到的,数据安全风险评估应该遵循“坚持预防为主、主动发现、积极防范”的原则,掌握数据安全总体状况,发现数据安全隐患,并提出相应的管理和技术防护措施建议。此前《工信领域数据安全风险评估实施细则6月1日施行》,为引导工业和信息化领域数据处理者规范开展数据安全风险评估工作,提升数据安全管理水平,维护国家安全和发展利益,《工业和信息化领域数据安全风险评估实施细则(试行)》印发。

《网络安全标准实践指南》发布 跟着指引落地风险评估(附下载),给出了网络数据安全风险评估的评估思路、工作流程和评估内容,依据本《实践指南》开展评估工作形成的优秀经验也可为国家标准制定提供参考。《数治长文 | 数据安全风险评估实务问题剖析与解决》一篇则以评估实施流程为主线,系统性梳理了组织在评估准备、评估实施、评估总结三大阶段面临的具体实务问题,并提出问题解决思路。

随着数字化进程的加速,电信领域的数据安全成为社会关注的焦点。《电信领域数据安全风险评估规范》(YD/T 3956—2024)是由中华人民共和国工业和信息化部发布的电信领域数据安全风险评估的规范性文件。该标准旨在规范电信领域数据安全风险评估的原则、流程、方法及工具,适用于电信领域重要数据和核心数据处理者在中华人民共和国境内开展数据处理活动的数据安全风险评估。

该规范的主要目的是为电信领域的数据安全风险评估提供一套标准和流程,以确保数据处理活动中的数据安全,防止数据泄露、篡改、破坏或非法获取和利用,从而保护国家安全、公共利益以及个人和企业的合法权益。

标准概述

1. 标准发布背景

发布机构:中华人民共和国工业和信息化部
代替标准:YD/T 3956-2021
主要技术变化:调整适用范围、增加数据处理活动分析过程、增加资料性附录A

2. 适用范围

适用对象:电信领域重要数据和核心数据处理者在中国境内开展数据处理活动的数据安全风险评估
参照标准:电信领域一般数据处理者也可参照本文件

术语和定义
  • 数据:任何以电子或其他方式对信息的记录
  • 风险评估:风险识别、风险分析和风险评价的全过程
  • 合规性评估:评估数据处理活动是否符合法律法规、政策文件、标准规范等相关要求的过程
  • 电信数据处理者:取得电信业务经营许可证,且在电信数据处理活动中自主决定处理目的、处理方式的电信业务经营者
  • 电信领域重要数据:一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的电信数据
  • 电信领域核心数据:关系国家安全、国民经济命脉、重要民生、重大公共利益的电信数据
  • 电信领域一般数据:其他未纳入重要数据、核心数据目录的电信数据
  • 数据载体:数据处理活动中使用的系统、平台、设备、媒介等
  • 评估报告:评估机构根据评估规范的要求,在履行必要的评估程序后,对被评估对象出具的书面工作报告
评估原则

评估原则包括规范性原则、客观公正原则、可复现原则、可控性原则、完备性原则、最小影响原则、保密性原则。

  1. 规范性原则:遵循电信领域行业相关要求开展数据安全评估工作
  2. 客观公正原则:评估人员在评估活动中应充分收集证据,对评估对象实施的安全措施的有效性和可靠性做出客观公正的判断
  3. 可复现原则:在相同的环境下,对同一评估对象,不同的评估人员依照同样的要求,使用同样的方法,对每个评估实施过程的重复执行都应得到同样的评估结果
  4. 可控性原则:在评估过程中,应保障参与评估的人员、使用的技术和工具、评估过程都是可控的
  5. 完备性原则:严格按照被评估对象所涉及的评估范围进行全面的评估
  6. 最小影响原则:从相关管理层面和工具技术层面,将评估工作对数据和承载数据的应用、系统、网络正常运行的可能影响降低到最低限度
  7. 保密性原则:在实施评估过程中,应保护数据处理者的商业秘密不被泄露
评估内容

评估内容包括合规性评估和安全风险分析两部分。合规性评估包括正当必要性评估、基础性安全评估、数据全生命周期安全评估。安全风险分析包括风险源识别、安全影响分析、综合风险研判。

1. 合规性评估

组成部分:正当必要性评估、基础性安全评估、数据全生命周期安全评估
重点分析:数据处理的目的、方式、范围以及保障能力等是否符合法律、行政法规要求

2. 安全风险分析

组成部分:风险源识别、安全影响分析、综合风险研判
综合分析:通过综合分析数据处理活动面临的威胁、所采取的保障措施情况以及发生数据泄露、损毁、丢失等安全事件后产生的影响范围、程度等因素,综合研判数据处理活动安全风险等级

风险评估流程

这些流程旨在确保风险评估工作的规范性、客观性和有效性,同时最小化对数据处理者正常运营的影响,并保护商业秘密不被泄露。详细流程包括数据处理活动分析、合规性评估、安全风险分析等。

1. 评估整体流程

步骤:组建评估团队、确定评估范围、制定评估方案、实施风险评估、形成评估报告

图示:电信网和互联网数据安全风险评估流程

2. 组建评估团队

要求:综合考虑组织规模、业务种类、数据数量、种类、涉及系统的复杂程度等因素,组建至少包括组织管理、业务运营、技术保障、安全合规等人员组成的评估团队

3. 确定评估范围

调研:通过发放调查表格、电话沟通等远程方式,或现场调研、会议等线下方式指导数据处理者完整、准确填写,实现对数据处理者全部数据处理活动的充分调研

4. 制定评估方案

内容:评估范围、评估依据、评估团队基本信息、工作计划、使用的评估工具情况、保障条件等

5. 实施风险评估

步骤:数据处理活动分析、合规性评估及安全风险分析

6. 形成评估报告

内容:数据处理者基本情况、评估团队基本情况、数据处理活动分析、合规性评估、安全风险分析、评估结论及应对措施等

风险评估方法

包括人员访谈、资料查验、人工核验、工具测试。

  • 人员访谈:评估人员通过与被评估数据处理者相关人员进行交流、讨论、询问等活动,对数据的处理、保障措施设计和实施情况进行了解、分析和取证
  • 资料查验:评估人员查阅数据安全相关文件资料,如数据安全管理制度、安全策略和机制、合同协议、安全配置和设计文档、系统运行记录等相关文件
  • 人工核验:数据处理者相关人员展示、演示,评估人员核查、验证承载数据的应用、系统、网络
  • 工具测试:评估人员通过使用适当的数据安全评估评测工具或通过技术手段实际测试数据载体
实施风险评估

数据处理活动分析、合规性评估、安全风险分析的具体实施步骤和要求。

1. 数据处理活动分析

内容:识别数据处理者所有数据处理活动及各处理活动所对应的数据类型、名称、数量,处理数据的目的、方式、频率、涉及的获取方及信息系统情况等

2. 合规性评估

概述:包括正当必要性评估、基础性安全评估和数据全生命周期安全评估
正当必要性评估:评估数据处理目的是否合理、正当
基础性安全评估:包括组织保障、数据分类分级、权限管理、日志留存、风险监测预警、应急处置、安全评估、教育培训等内容
数据全生命周期安全评估:包括数据收集、数据存储、数据使用加工、数据传输、数据提供、数据出境、数据公开、数据销毁等内容

3. 安全风险分析

概述:包括风险源识别、安全影响分析以及综合风险研判
风险源识别:根据数据处理活动面临的威胁、系统的脆弱性、采取的安全措施等因素,研判数据安全事件发生的可能性级别
安全影响分析:综合分析数据处理活动存在安全风险时,数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能对国家安全、公共利益产生何种影响及影响程度
综合风险研判:综合分析数据安全事件发生的可能性级别以及安全影响级别两方面因素,研判数据处理活动安全风险等级

4. 评估结果与风险控制

内容:根据风险评估情况编制形成电信领域数据安全风险评估报告,并对风险评估结果负责,保障评估结果真实、准确

评估工具

评估工具的安全要求、使用要求、常用数据安全风险评估工具。

  • 评估工具的安全要求:评估团队应使用来源可靠、安全稳定的评估工具,要求相关人员严格遵守操作流程,防止引入新的风险
  • 评估工具的使用要求:评估团队应保障评估人员可熟练使用相关数据安全检测评估工具,并在现场评估过程中安全、规范、合理的使用评估工具
  • 常用数据安全风险评估工具:包括数据资产扫描工具、数据流量分析工具、系统脆弱性扫描工具、系统主机安全检查工具、数据安全检测评估工具等

在电信领域数据分类参考部分,规范提供了一个数据分类的参考框架,包括网络规划建设、网络与数据安全保障、行业发展等多个类别,每个类别下又细分了具体的子类别。总的来说,该标准为电信领域数据安全风险评估提供了详细的指导和规范,确保数据处理活动在合法合规的基础上,有效识别和控制数据安全风险。

通过风险评估,企业和组织可以更好地了解和控制数据安全风险,减少潜在的经济损失,提高数据管理的经济效益。长期来看,通过持续的风险评估和管理,提高数据安全管理水平有助于企业和组织提高运营效率,增强市场竞争力,从而带来更大的经济效益。标准有助于提高公众对数据安全重要性的认识,促进社会对数据安全的重视。

热点问题关注

标准中详细列出了合规性评估和安全风险分析的各个环节,强调了数据处理活动必须符合相关法律法规的要求,并通过科学的方法识别和评估安全风险,确保数据处理活动的合规性和安全性。附录A提供了电信领域数据分类参考,明确了不同类型数据的保护要求,强调了数据分类分级管理的重要性,有助于更精细地保护关键数据,减少安全风险。

1:在风险评估流程中,如何确定评估范围?

确定评估范围是电信领域数据安全风险评估的第一步。评估团队应首先制定数据安全风险评估调研表并提供给数据处理者,通过发放调查表格、电话沟通等远程方式,或现场调研、会议等线下方式指导数据处理者完整、准确填写,实现对数据处理者全部数据处理活动的充分调研。调研了解的信息内容包括数据的种类、数量,处理数据的目的、方式、范围以及业务场景,支撑数据处理活动的信息系统描述,数据安全保障措施情况,数据处理实施情况等。评估范围应覆盖数据处理者全部重要数据和核心数据,以及一定比例的一般数据。

2:合规性评估包括哪些具体内容?

合规性评估包括正当必要性评估、基础性安全评估和数据全生命周期安全评估三部分。正当必要性评估重点分析数据处理目的是否合理、正当,所涉及的数据数量、类型、频率是否为实现该目的下的最小范围。基础性安全评估包括组织保障、数据分类分级、权限管理、日志留存、风险监测预警、应急处置、安全评估、教育培训等内容。数据全生命周期安全评估则涵盖数据收集、数据存储、数据使用加工、数据传输、数据提供、数据出境、数据公开、数据销毁等内容,评估数据在各个阶段的处理是否符合安全要求。

3:如何进行安全风险分析?

安全风险分析包括风险源识别、安全影响分析以及综合风险研判三部分。风险源识别通过分析数据处理活动面临的威胁、系统的脆弱性、采取的安全措施等因素,研判数据安全事件发生的可能性级别。安全影响分析综合分析数据处理活动存在安全风险时,数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能对国家安全、公共利益产生何种影响及影响程度。综合风险研判则综合分析数据安全事件发生的可能性级别以及安全影响级别两方面因素,研判数据处理活动安全风险等级,安全风险等级可分为极高、高、中、低四个等级。

附全文和思维导图

为帮助大家更好地全面了解评估规范,数治网小编特别生成思维导图,获取全文和高清大图请在数治网微信公众号对话框内发送“241217”:

数治Pro在手,10000+ 资料导出图集、思维导图帮你高效学法规、用标准、助招投,近期热点详解:

  1. 工业和信息化领域数据安全事件应急预案试行(附思维导图)
    建立健全数据安全事件应急组织体系和工作机制,确保及时有效地控制、减轻和消除数据安全事件造成的危害和损失,保护个人、组织的合法权益,维护国家安全和公共利益。
  2. 《工业和信息化领域数据安全合规指引》公开征求意见(附思维导图)
    聚焦数据处理者在履行数据安全保护义务过程中的难点问题,明确数据安全合规依据,提供实务指引,指导数据处理者开展数据安全合规管理,提升数据安全保护能力。
  3. 财政部印发有关会计信息化与软件两项规范(附思维导图)
    为规范数字经济环境下的会计工作与会计软件基本功能和服务,推动会计信息化健康发展,提高会计软件和相关服务质量,财政部在原有工作规范基础上修订印发。
  4. 大型互联网平台网络安全评估现有指南可依(附解答)
    《实践指南》提出了对大型互联网平台进一步评估发现和防范可能影响社会稳定、公共利益的网络安全风险,针对全文由生成式 AI 做出核心解答和思维导图。

来源:《电信领域数据安全风险评估规范》(YD/T 3956—2024),工信部。本篇针对全文由生成式 AI 做出的核心摘要和解答,仅作为参考,请以原文为准。图片:Christina Wocintechchat Com,Unsplash

打赏微海报分享

标签:全生命周期分类分级数据安全数据泄露数据管理核心数据重要数据风险评估

发条评论

你的电邮不会被公开。有*标记为必填。