近日,全国信息安全标准化技术委员会秘书处发布《网络安全标准实践指南—网络数据安全风险评估实施指引》(点击下载指南,以下简称“《实践指南》”)。现就《实践指南》有关内容解读如下:
点击图片查看高清大图
一、《实践指南》出台的目的以及适用范围是什么?
为指导网络数据安全风险评估工作,发现数据安全隐患,防范数据安全风险,依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规,参照数据安全相关国家标准,制定本指南。
《实践指南》适用于指导数据处理者、第三方机构开展风险评估,也可为有关主管监管部门组织开展数据安全检查评估提供参考。
二、《实践指南》中的自评估和检查评估分别指什么?
自评估:由数据处理者自身发起,组成机构内部评估小组或委托第三方评估机构,依据有关政策法规与标准,对评估对象的数据安全风险进行评估的活动。
检查评估:由数据处理者的上级主管部门、业务主管部门或国家有关主管(监管)部门发起的,依据有关政策法规与标准,对评估对象的数据安全风险进行的评估活动。
三、《实践指南》给出的评估思路是什么?
网络数据安全风险评估坚持预防为主、主动发现、积极防范,对数据处理者数据安全保护和数据处理活动进行风险评估,旨在掌握数据安全总体状况,发现数据安全隐患,提出数据安全管理和技术防护措施建议,提升数据安全防攻击、防破坏、防窃取、防泄露、防滥用能力。
网络数据安全风险评估,主要围绕数据和数据处理活动,聚焦可能影响数据的保密性、完整性、可用性和数据处理合理性的安全风险。首先通过信息调研识别数据处理者、业务和信息系统、数据资产、数据处理活动、安全措施等相关要素,然后从数据安全管理、数据处理活动、数据安全技术、个人信息保护等方面识别风险隐患,最后梳理问题清单,分析数据安全风险、视情评价风险,并给出整改建议。
四、如何按照《实践指南》确定评估范围?
数据安全风险评估聚焦数据和数据处理活动,评估范围可能涉及组织全部的数据和数据处理活动,也可能仅针对某个单独的业务、信息系统、部门涉及的数据和数据处理活动。
当针对组织全部数据和数据处理活动开展评估时,可根据需要采取“全面摸排、重点评估”的原则确定评估范围。
- 一是全面摸排被评估方的数据安全整体情况,摸清其数据资产、数据处理活动、数据分类分级等情况;
- 二是结合数据分类分级选择重点评估对象,将涉及个人信息、重要数据、核心数据的所有数据处理活动,以及抽样选择的其他典型一般数据的处理活动作为重点评估对象开展评估;
- 三是如果组织未开展数据分类分级工作,也可结合业务、信息系统的重要性和敏感性,选择核心业务或重要信息系统的数据和数据处理活动作为重点评估对象开展评估。
五、如何按照《实践指南》组建评估团队?
组建自评估团队:数据处理者自行开展数据安全风险评估时,可组织业务、安全、 法务、合规、运维、研发等相关部门参与实施,评估组长由数据安全负责人或授权代表担任,也可委托第三方专业技术机构实施。第三方机构评估中获取的信息只能用于评估目的,未经授权不应泄露、出售或者非法向他人提供。
组建检查评估团队:根据评估范围、涉及的行业特征、专业需求,选择具备相关专业能力的评估人员组成评估队伍。评估队伍应提前完成风险评估文档、 检测工具等各项准备工作,并签署保密协议。评估队伍在检查评估中获取的信息,只能用于检查任务目的和实施数据安全保护。
被评估方应建立专项工作团队,成员一般包括数据安全负责人和安全、法务、合规、运维、研发、业务、数据、风险等部门相关人员。 专项工作团队应按照要求做好人员、设备、技术保障等工作,配合开展风险评估。
六、《实践指南》中给出了哪些评估手段?
开展数据安全风险评估时,综合采取下列手段进行评估:
- 人员访谈:对相关人员进行访谈,核查制度规章、防护措施、安全责任落实情况;
- 文档查验:查验安全管理制度、风险评估报告、等保测评报告等有关材料及制度落实情况的证明材料;
- 安全核查:核查网络环境、数据库和大数据平台等相关系统和设备安全策略、配置、防护措施情况;
- 技术测试:应用技术工具、渗透测试等手段查看数据资产情况、检测防护措施有效性。
七、根据《实践指南》,主要从哪些方面进行风险识别?
针对各个评估对象,从数据安全管理、数据处理活动、数据安全技术、个人信息保护等方面,通过多种评估手段识别可能存在的数据安全风险隐患。
数据安全管理主要在安全管理制度、安全组织机构、分类分级管理、人员安全管理、合作外包管理、安全威胁和应急管理、开发运维管理、云数据安全进行评估。
数据处理活动主要在数据收集、数据存储、数据传输、数据使用和加工、数据提供、数据公开、数据删除等方面进行评估。
数据安全技术主要在网络安全防护、身份鉴别与访问控制、监测预警、数据脱敏、数据防泄漏、数据接口安全、数据备份恢复、安全审计进行评估。
个人信息保护主要在个人信息处理基本原则、个人信息告知、个人信息同意、个人信息处理、敏感个人信息处理、个人信息主体权利、个人信息安全义务、个人信息投诉举报、大型网络平台个人信息保护进行评估。
八、各单位如何按照《实践指南》开展数据安全自评估?
- Step1 评估准备:从提高数据安全治理能力、落实法规和主管监管部门要求、高风险数据处理活动、安全态势等方面,确定评估目标;根据评估目标确定评估对象、范围和边界,明确涉及的数据资产、数据处理活动、业务等;组建自评估团队或委托第三方机构,组织业务、安全、法务、合规、运维、研发等相关部门参与;开展前期准备,制定工作计划、确定评估依据、确定评估内容、建立评估文档;制定评估方案,并获得本单位负责人支持、认可。
- Step2 评估实施:对数据处理者、业务和信息系统、数据资产、数据处理活动、安全防护措施进行信息调研;从数据安全管理、数据处理活动、数据安全技术、个人信息保护等方面识别安全风险。
- Step3 分析总结:在风险识别基础上梳理问题清单,开展风险分析,并视情对风险进行评价,最后提出整改建议。根据评估情况,评估队伍编制网络数据安全风险评估报告,评估报告应准确、清晰地描述评估活动的主要内容(并附必要的证据或记录),提出可操作性的整改措施对策建议。
九、网络数据安全风险评估报告包含哪些内容?
根据评估情况,评估队伍编制网络数据安全风险评估报告。评估报告应准确、清晰地描述评估活动的主要内容(并附必要的证据或记录),提出可操作性的整改措施对策建议。
风险评估报告的内容包括:
- 评估概述,包括评估目的及依据,评估对象和范围,评估结论等;
- 评估工作情况,包括评估人员、评估时间安排、评估工具和环境情况等;
- 信息调研情况,包括数据处理者、业务和信息系统、数据资产、数据处理活动、安全措施等情况,形成的数据资产清单、数据处理活动清单、数据流图等文件可视情放在报告正文或附件中。
- 数据安全风险识别,包括数据安全管理、数据处理活动、数据安全技术、个人信息保护等方面识别的风险隐患和问题情况;
- 风险综合分析,对数据安全问题可能带来的安全风险进行综合分析,视情从风险对国家安全、公共利益、行业、组织或者个人的合法权益造成的影响程度、风险发生可能性等角度对风险进行评价;
- 整改建议,针对发现的数据安全问题或风险,提出整改措施或风险处置建议;
- 数据安全问题清单,列出完整的数据安全问题清单,并附上关键记录和证据,若证据无法在附录中完整列出,应列出证据关键信息和序号,在提交评估报告时作为附件提交;
- 涉及重要数据、个人信息、核心数据的,应当详细列出处理的数据种类、数量(不包括数据内容本身),开展数据处理活动的情况,面临的数据安全风险及其应对措施等;
- 委托第三方机构开展评估或检查评估的,评估报告应由评估组长、审核人签字,并加盖评估机构公章。
十、网络数据安全风险评估后,该怎么进行风险设置?
被评估方应制定整改计划,限期完成整改,无法及时完成整改的,应采取临时安全措施,防止数据安全事件发生。被评估方完成整改后,评估方可视情开展数据安全风险复评工作,复评时可重点分析风险处置后的残余风险,以及采取额外控制措施可能导致的次生风险等。
-228x171.jpg)
