为贯彻落实《数据安全法》关于数据安全风险评估的要求,全国信安标委秘书处在组织编制国家标准的同时,编制了《网络安全标准实践指南——网络数据安全风险评估实施指引》,用于指导开展网络数据安全风险评估工作。
为指导网络数据安全风险评估工作,发现数据安全隐患,防范数据安全风险,依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规,参照数据安全相关国家标准,制定本指南。本《实践指南》给出了网络数据安全风险评估的评估思路、工作流程和评估内容,依据本《实践指南》开展评估工作形成的优秀经验也可为国家标准制定提供参考。
1. 风险评估概述
网络数据安全风险评估坚持预防为主、主动发现、积极防范,对数据处理者数据安全保护和数据处理活动进行风险评估,旨在掌握数据安全总体状况,发现数据安全隐患,提出数据安全管理和技术防护措施建议,提升数据安全防攻击、防破坏、防窃取、防泄露、防滥用能力。
网络数据安全风险评估,主要围绕数据和数据处理活动,聚焦可能影响数据的保密性、完整性、可用性和数据处理合理性的安全风险。首先通过信息调研识别数据处理者、业务和信息系统、数据资产、数据处理活动、安全措施等相关要素,然后从数据安全管理、数据处理活动、数据安全技术、个人信息保护等方面识别风险隐患,最后梳理问题清单,分析数据安全风险、视情评价风险,并给出整改建议。
1.1 评估内容
网络数据安全风险评估,在信息调研基础上,围绕数据安全管理、数据处理活动安全、数据安全技术、个人信息保护等方面开展评估。评估内容框架如图 1 所示。
图 1 数据安全风险评估内容框架
1.2 评估流程
数据安全风险评估流程,主要包括评估准备、信息调研、风险识别、综合分析、评估总结五个阶段,评估实施流程如图 2 所示。
图 2 数据安全风险评估流程及主要产出物
数据处理者进行自评估时,可依据本指南进行风险自查,具体实施步骤如图 3 所示。
图 3 自评估实施流程
有关部门进行检查评估时,可参考本指南开展检查工作,具体实施步骤如图 4 所示。
图 4 检查评估实施流程
1.3 评估手段
开展数据安全风险评估时,综合采取下列手段进行评估:
a)人员访谈:对相关人员进行访谈,核查制度规章、防护措施、安全责任落实情况;
b)文档查验:查验安全管理制度、风险评估报告、等保测评报告等有关材料及制度落实情况的证明材料;
c)安全核查:核查网络环境、数据库和大数据平台等相关系统和设备安全策略、配置、防护措施情况;
d)技术测试:应用技术工具、渗透测试等手段查看数据资产情况、检测防护措施有效性。
2. 评估准备
2.1 明确评估目标
为落实《数据安全法》《个人信息保护法》等法律法规要求或安全监管需要,对数据处理者的数据安全管理、数据处理活动、数据安全技术和个人信息保护情况等进行安全评估,发现存在的安全问题和风险隐患,督促数据处理者健全安全制度、改进安全措施、堵塞安全漏洞,进一步提高数据安全和个人信息保护能力。
数据安全风险评估的目标,包括但不限于:
a)摸清数据种类、规模、分布等基本情况;
b)摸清数据处理活动的情况;
c)发现可能影响国家安全、公共利益或者个人、组织合法权益的数据安全问题和风险;
d)发现共享、交易、委托处理、向境外提供重要数据等处理活动的数据安全问题和风险;
e)促进完善数据安全保护措施,提升数据安全保护能力。
2.2 确定评估范围
根据工作需要和评估目标,确定数据安全风险评估的对象、范围和边界,明确评估涉及的数据资产、数据处理活动、业务和信息系统、人员和内外部组织等。数据安全风险评估聚焦数据和数据处理活动,评估范围可能涉及组织全部的数据和数据处理活动,也可能仅针对某个单独的业务、信息系统、部门涉及的数据和数据处理活动。
当针对组织全部数据和数据处理活动开展评估时,可根据需要采取“全面摸排、重点评估”的原则确定评估范围。一是全面摸排被评估方的数据安全整体情况,摸清其数据资产、数据处理活动、数据分类分级等情况;二是结合数据分类分级选择重点评估对象,将涉及个人信息、重要数据、核心数据的所有数据处理活动,以及抽样选择的其他典型一般数据的处理活动作为重点评估对象开展评估;三是如果组织未开展数据分类分级工作,也可结合业务、信息系统的重要性和敏感性,选择核心业务或重要信息系统的数据和数据处理活动作为重点评估对象开展评估。
2.3 组建评估团队
2.3.1 组建检查评估团队
根据评估范围、涉及的行业特征、专业需求,选择具备相关专业能力的评估人员组成评估队伍。评估队伍应提前完成风险评估文档、检测工具等各项准备工作,并签署保密协议。评估队伍在检查评估中获取的信息,只能用于检查任务目的和实施数据安全保护。
被评估方应建立专项工作团队,成员一般包括数据安全负责人和安全、法务、合规、运维、研发、业务、数据、风险等部门相关人员。专项工作团队应按照要求做好人员、设备、技术保障等工作,配合开展风险评估。
2.3.2 组建自评估团队
数据处理者自行开展数据安全风险评估时,可组织业务、安全、法务、合规、运维、研发等相关部门参与实施,评估组长由数据安全负责人或授权代表担任,也可委托第三方专业技术机构实施。第三方机构评估中获取的信息只能用于评估目的,未经授权不应泄露、出售或者非法向他人提供。
2.4 开展前期准备
2.4.1 制定工作计划
评估工作计划内容一般包括工作目的、工作要求、工作内容、工作流程、调研安排、评估总体进度安排等。开展检查评估时,主管监管部门指导评估队伍按照工作要求制定评估工作计划。
2.4.2 确定评估依据
评估依据包括但不限于:
a)《网络安全法》《数据安全法》《个人信息保护法》等法律,有关行政法规、司法解释;
b)网信部门及主(监)管部门相关数据安全规章、规范性文件;
c)地方数据安全政策规定和监管要求;
d)数据安全相关国家标准、行业标准等。
开展自评估时,本单位数据安全制度规范可作为评估依据之一。
2.4.3 确定评估内容
结合评估目标、范围、依据,针对被评估方的实际情况,确定被评估方每个评估对象适用的评估内容。
a)数据处理者应针对数据处理活动、数据安全管理、数据安全技术等方面进行风险评估;
b)涉及处理个人信息的,应在a)的基础上,对个人信息保护开展风险评估。
开展评估工作过程中,可根据任务要求、评估重点、监管需要、评估依据等,进一步完善评估内容。
2.4.4 建立评估文档
针对评估目标、范围、依据和内容,准备风险评估调研表、技术测试工具等。
在评估工作开展过程中,应对评估工作相关文件进行统一编号, 并规范管理。
2.5 制定评估方案
组织评估队伍编制风险评估工作方案,方案内容包括但不限于:
a)评估概述:包括评估目标、评估依据等内容;
b)评估范围:包括评估对象选择方法、评估对象描述、评估范围等;
c)评估内容和方法:包括评估内容、评估准则、评估方法等内容;
d)评估人员:包括评估队伍的组织结构、负责人、成员、职责分工等内容;
e)实施计划:包括时间进度安排、人员安排等内容;
f)工作要求:包括评估工作要求、被评估方保障条件等内容, 工作要求如严格依照评估内容及标准规范,规范评估行为,按照尽量不影响被评估方正常工作的原则,制定评估工作应急保障和风险规避措施,明确告知被评估方评估可能产生的风险,严守工作纪律和保密要求等;
g)测试方案:开展技术测试前应明确测试方案,包括采用的技术工具、测试内容、测试环境、应急措施等,测试方应向被测方明示测试可能涉及的安全风险,双方就测试方案达成共识,检查评估时应提前向有关部门报备;
评估队伍可邀请行业领域相关数据安全、网络安全专家对评估方案进行评议,重点审核方案内容、风险管控、保护措施、可操作性、技术可行性等,进一步修改完善评估方案后,组织实施风险评估工作。
本文摘编自全国信息安全标准化技术委员会秘书处发布的《网络安全标准实践指南——网络数据安全风险评估实施指引》,全文下载:
网络安全标准实践指南
附件:《网络安全标准实践指南—网络数据安全风险评估实施指引》.pdf
来源:全国信安标委
4 评论