随着网络安全、数据安全领域的法律法规相继颁布,强调数据处理者应依法依规开展数据处理活动,建立健全数据安全管理制度,加强数据安全风险监测与防范,定期开展数据安全风险评估,数据安全风险的评估与治理已成为业内各方最为关切的话题。
然而,尽管大量的法规、标准提供了丰富的理论指引,数据安全风险评估工作实务中仍然存在诸多问题。这些问题分布在整个评估过程的各个阶段,成因错综复杂,严重影响了组织的数据安全风险评估工作落地,长期来看不利于组织数据安全风险治理能力的持续提升。
因此,我们通过系统梳理数据安全风险评估的各阶段面临的典型问题,深入分析问题成因,充分参考业内优质经验,形成问题解决思路,为相关数据处理者、服务机构纾难解惑。
(一) 评估准备
1. 如何确定评估触发条件
《网络安全法》提出网络运营者应开展网络安全认证、检测、风险评估等活动,并通过网络安全等级保护、信息安全风险评估等一系列标准对组织的网络、信息安全风险评估工作进行落地指导。相较于网络、信息安全风险评估,数据安全风险评估的工作要求、标准依据或正在征求意见,或尚未正式发布——这导致许多数据处理者的数据安全风险评估工作仍处于起步阶段,面临着评估触发条件不明确的“0号困境”。
部分组织将同地区、同行业的组织遭遇数据安全事件或受到监管部门处罚作为自身开展风险评估的触发条件:通过将这些公开的事件或处罚信息内化形成风险信息检查表单,对业务部门逐个开展数据安全风险排查专项工作。然而,此类专项排查工作投入高、收效低:不同的组织对数据安全风险的承受能力与管理需求存在较大的差异,公开的信息披露有限且存在一定的滞后性,导致组织难以有规划地开展数据安全风险评估工作,评估内容参考性较低,对组织的风险启示性不足。
解决思路:梳理适用情形
针对这一问题,组织或评估机构可以参考国家标准《数据安全风险评估方法(征求意见稿)》的“5.4 评估适用情形”。评估适用情形列出了数据处理者开展数据安全风险评估的一些具体适用情形,具体见表3。
表3 数据安全风险评估适用情形
| 适用情形 | 适用情形来源 |
| a) 重要数据处理者、关键信息基础设施运营者、处理100万人以上个人信息的个人信息处理者、大型互联网平台运营者、赴境外上市的数据处理者、党政机关、网络安全等级保护三级及以上运营者,应每年开展一次数据安全风险评估。 | 国家法规 |
| b) 数据处理者在重要数据共享、交易、委托处理或向境外提供前,应开展数据安全风险评估。 | 国家法规 |
| c) 数据处理者开展高风险数据处理活动前,宜开展数据安全风险评估,高风险数据处理活动包括但不限于: (1)重要数据和个人信息处理者合并、分立、解散、被宣告破产进行数据转移。 (2)承载重要数据处理活动的信息系统发生架构调整、下线等重大变更。 (3)数据处理者利用生物特征进行个人身份认证。 (4)基于不同业务目的的数据汇聚融合。 (5)委托处理、向他人提供未成年人、老年人数据。 (6)新技术应用可能带来数据安全风险的。 (7)法律法规或有关部门规定要评估的情形。 (8)其他可能直接危害国家安全、公共利益或者大量个人、组织合法权益的数据处理活动。 |
标准方建议 |
| d)重要系统上线前,可根据实际需要开展数据安全风险评估。 | 标准方建议 |
| e)对于已经评估过数据安全风险评估的数据处理活动,当数据范围、数据处理活动、环境、相关方等发生重大变更时,需重新开展数据安全风险评估。 | 标准方建议 |
| f)当被评估对象的政策环境、外部威胁环境、业务目标、安全目标等发生重大变化时,应重新开展风险评估。 | 标准方建议 |
来源:国家标准《数据安全风险评估方法(征求意见稿)》,数据安全推进计划整理
- 这些情形一是引述了国家法律法规中有关开展风险评估的要求与场景(例如:数据处理者在重要数据共享、交易、委托处理之前),在明确数据安全风险评估活动开展的必要性的同时,也提供了评估活动开展的法规依据;
- 二是总结了组织常见的高风险数据处理活动(例如:基于不同业务目的的数据汇聚融合),为组织或评估机构提供了更为明确、直接的工作指引与建议;
- 三是回应了如何持续开展评估的关切,已开展过风险评估的数据和数据处理活动一旦发生重大变更或变化,组织或评估机构应重新实施风险评估,将风险评估融入组织的数据安全运营机制。
实务操作上,组织或评估机构可通过持续梳理数据安全风险评估的适用情形,从评估要求的来源、内容等角度入手,分析、判断自身适宜开展评估活动的触发条件、实施时机以及具体评估项的必要性,推动数据安全风险评估工作的常态化开展。示例见表4。
表4 评估适用情形检查表(示例)
| 适用情形来源 | 适用情形内容 | 触发评估条件 | 评估时机 | 是否必要 | ||
| 国家法律法规 | 数据安全法 | 第三十条 重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。 | 特定对象 | 重要数据 | 定期开展 | 必要项 |
| 国家法律法规 | 网络数据安全管理条例(征求意见稿) | 第二十五条 数据处理者利用生物特征进行个人身份认证的,应当对必要性、安全性进行风险评估,不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的个人身份认证方式,以强制个人同意收集其个人生物特征信息。 | 特定对象 | 高风险数据处理活动 | 特定场景 | 必要项 |
| 行业主管部门要求 | 工业和信息化领域数据全风险评估实施细则(试行)(征求意见稿) | 第六条 [评估期限] 重要数据和核心数据处理者每年完成至少一次数据安全风险评估,并形成评估报告。数据安全风险评估结果有效期为一年,自评估报告首次出具之日起计算。 | 特定对象 | 重要数据和核心数据 | 定期开展(1年) | 必要项 |
| 国家标准 | 数据安全风险评估方法(征求意见稿) | 5.4评估适用情形 c) 数据处理者开展高风险数据处理活动前,宜开展数据安全风险评估,高风险数据处理活动包括但不限于:重要数据和个人信息处理者合并、分立、解散、被宣告破产进行数据转移。 |
特定对象 | 高风险数据处理活动 | 特定场景 | 建议项 |
| 国家标准 | 数据安全风险评估方法(征求意见稿) | 5.4评估适用情形 e) 对于已经评估过数据安全风险评估的数据处理活动,当数据范围、数据处理活动、环境、相关方等发生重大变更时,需重新开展数据安全风险评估。 |
重大变化 | / | 特定场景 | 建议项 |
来源:数据安全推进计划
2. 如何制定评估工作目标
数据处理者开展数据安全风险评估工作的主要目标可以被分为三层:
- 一是落实监管要求,满足国家法律法规关于开展风险评估的要求;
- 二是摸底数据现状,摸清自身数据和数据处理活动基本情况;
- 三是提升安全能力,检查重要的数据处理活动中是否存在管理、技术风险隐患,推动完善数据安全保护措施。
三层目标共同促进数据处理者履行法定义务、建立健全数据安全制度、排查解决漏洞隐患,使数据处于有效保护和合法利用、持续安全的状态。
然而,大量组织未能正确、全面地认识数据安全风险评估的价值与目标:多数组织将第一层目标作为开展风险评估或其他风险治理工作的唯一目标——这导致一旦缺少了国家法规或监管部门的强制性要求,这些组织开展数据安全风险评估工作的意愿与动力也会随之丧失。
此外,由于大量组织前期未能全面掌握业务、数据和数据处理活动的特点以及潜在的漏洞隐患,其制定的数据安全风险管理策略无法反映组织的风险管理需求与准则,这也导致组织即使开展了数据安全风险评估工作,也无法基于评估结果准确地衡量风险问题整改措施的投入产出比、实施优先级,甚至产生内部多方对风险评估结果难以达成共识、风险问题整改推进困难等问题,长远来看,不利于组织数据安全风险的防范与治理。
解决思路:建立风险准则
针对这一问题,组织可以参考数据安全推进计划发布的《数据安全治理实践指南3.0》(以下简称《实践指南3.0》),开展数据安全风险评估及治理专项,通过系统化的数据安全风险治理,建立组织的数据安全风险准则。
数据安全风险治理是以风险为中心的方法论,提炼了组织管理数据安全风险时需要重点关注的五大环节,即:风险准则建立、风险要素识别、风险评估分析、风险处置解决、风险治理改进。其中,风险准则建立是指通过分析组织数据安全风险需求,识别组织的关键业务、数据和数据处理活动,形成风险治理准则,帮助组织将注意力与资源集中在那些超出自身承受能力的数据安全风险,在明确了风险治理重点对象的同时,也为风险评估、整改等具体活动提供了判断与执行标准。
- 实务操作上,组织一是通过分析风险需求,具体任务包括收集、整理自身适用的数据安全、隐私保护法律法规,识别组织的关键业务、数据和数据处理活动,明确数据安全风险治理的范围与重点对象;
- 二是创建数据安全风险治理愿景、使命,这一步需要与组织高层人员进行沟通、协商,在获得其批准与支持之后,形成基本的风险准则,明确组织的风险管理偏好;
- 三是制定数据安全风险治理政策,这一步需要与内部相关方(例如:人力资源、法务、安全、营销、IT团队)进行商议,在充分了解相关方的业务与合规需求之后,制定风险管理政策,为后续风险评估以及其他风险治理相关的工作提供实施方针、标准。
此外,针对组织或内部相关方无法正确理解风险评估的价值与目标这一问题,组织还可以通过工作动员会、研讨会、培训讲座等方式,宣贯组织的风险治理政策,解读评估标准,讨论评估方案,加强业务部门对数据安全风险评估及其目标、价值的认知与理解,提升内部相关方对风险评估工作的参与程度,持续强化各方在数据安全风险评估以及治理工作的协同能力。
3.如何规划评估实施范围
组织数据安全风险的边界持续扩展:传统的安全防护通常采用边界防护策略保障静态数据的安全。然而,一方面,组织的业务活动必然伴随着数据的流动,而数据广泛存在于数据中心、云端、终端等位置,数据资源暴露面的扩大意味着其面临的威胁也成倍增加;另一方面,组织数据在多个业务、数据处理活动中与大量设备、人员产生交互,异常的行为隐匿于海量的数据访问行为中,不仅变得更加隐蔽、难以识别,也无形中扩大了数据安全风险可波及的范围。
因此,组织如何在日益复杂的业务及数据处理活动中,规划数据安全风险评估的范围,在既定的评估时间、范围内识别出组织最为关注的数据安全风险,是广大数据处理者、评估机构在筹备评估工作过程中需要重点思考的问题。
解决思路:识别重点对象
为了避免风险边界过大导致的评估“ 失焦” 问题,提高数据安全风险评估的投入产出比,组织可以参考《网络数据安全风险评估实施指引》,在规划评估范围时,首先明确评估工作中的重点评估对象。
实务操作上,组织可以参考数据分类分级的成果,将个人信息、重要数据、核心数据以及这些数据的处理活动作为重点评估对象,并抽样选取一般数据及其数据处理活动,一并纳入本次风险评估的范围,在确保识别出重点评估对象面临的风险的同时,也保障了评估的全面性,具体示例见表5。由于一般数据涵盖范围较广,数据处理者可结合组织自身安全需求,对一般数据进行细化分级,本报告将一般数据从低到高分为1级、2 级、3级。
表5 重点评估对象(示例)
| 数据级别 | 数据描述 | 是否风险评估对象 | ||
| 核心数据(L5) | 关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据 | 是 | ||
| 重要数据(L4) | 一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据 | 是 | ||
| 一般数据 | L3 | 一旦遭到篡改、破坏、泄露或者非法获取、非法利用, | 如:财务信息等内部机密信息、敏感个人信息 | 待定 |
| L2 | 可能对个人、组织合法权益造成危害, | 如:一般个人信息 | 待定 | |
| 但不会危害国家安全、公共利益的数据 | ||||
| L1 | ||||
| 如:组织已公开数据 | 否 | |||
来源:数据安全推进计划
如果组织尚未开展数据分类分级工作,则可以参考信息系统等级保护的相关要求,根据业务、信息系统的重要程度,选取核心业务系统或内部的重要信息系统(例如:大数据平台、人力资源系统、供应链系统)的数据和数据处理活动作为重点评估对象,重点评估其承载的数据和数据处理活动面临的风险。这一解决思路目前已应用于许多组织的数据安全风险评估
实践:组织选取某一重要的信息系统作为评估实施的“原点”,将其数据的来源、去向系统作为 评估的范围边界,梳理该系统涉及的数据、数据处理活动并绘制数据流向图,识别数据流转过程中的操作人员、操作行为以及操作结果等信息,从而分析潜在的数据安全风险问题。
(二) 评估实施
1. 如何获取有效评估信息
信息调研是数据安全风险评估工作中最为重要的环节,组织的评估执行人员通过文档审阅、配置核查、人员访谈等不同的方式,收集组织的数据和数据处理活动、数据安全管理、技术等方面的信息。
数据安全风险评估涉及到组织的业务及其数据应用场景,需要评估执行人员实地调研业务和数据情况,多轮访谈组织业务人员,掌握数据处理活动的背景——这意味着评估执行人员不仅需要熟练掌握数据安全风险评估要点,还要通过专业的协作迅速了解组织的业务、数据和数据处理活动的关键信息,从而更好地识别出潜在的威胁、脆弱性以及已有安全措施的不完善之处。
然而,许多组织在开展数据安全风险评估的过程中发现,由于组织前期开展的网络、信息安全评估通常由安全部门发起、主导,执行人员同样来自安全部门,主要负责网络结构、信息 资产、威胁检测工具安全情况的调研、核查,对业务、数据处理活动的了解不够深入。
因此,人员执行数据安全风险评估的信息调研时,产生了新的问题:一方面,评估执行人员对业务、数据情况理解欠佳,对于业务、数据及其处理活动的风险识别不全面,且不同人员可能对于同一风险问题的判断存在较大的差异;另一方面,受访人员未能充分理解风险评估的依据与要点,在访谈或调研过程中反馈大量的无关信息,直接导致了返工或者评估进度延期等问题。
解决思路:完善协作机制
针对这一问题,组织可以通过完善组织协作机制,从团队、工具、协商三方面入手,规避 上述在信息调研过程中的问题。
实务操作上,针对评估执行人员可能存在的业务掌握度低、自由裁量等问题,一方面,组织可以在组建评估团队时,选取业务人员加入评估执行团队,由业务人员负责整理本次风险评估涉及的业务和信息系统、数据信息,并适时向团队其他成员介绍这一部分信息,在执行团队内部实现优势互补;
另一方面,完善评估信息调研表等工具,在逐步固化、标准化数据安全风险评估依据中的评估项、查验方式以及访谈问题等内容的同时,完善对于不同角色的受访人员或者证明材料的信息判断标准,确保评估执行人员之间具备相对统一的评估尺度。
同时,针对受访人员可能无效响应的问题,组织可以在实施访谈工作前,邀请计划受访的人员参与本次风险评估的研讨会,由评估执行人员对风险评估方案、依据以及要点进行解读,双方对评估内容进行充分协商,输出、分发评估研讨会问答合集,以免在风险评估的实施过程中出现人员理解偏差的问题。
2. 如何应用风险评估工具
组织调研当前的数据资产情况、发现潜在威胁与脆弱性、检查安全防护措施状态都离不开评估工具。数据安全风险评估中,评估工具能够提供更为客观的信息,在降低人力成本的同时,也极大地提高了评估结果的可信度。
整个评估实施的过程中,评估执行人员需要调研覆盖组织数据安全管理、技术以及大量数据处理活动的各类信息,故需要通过应用组织内部已部署的安全产品或者使用其他技术检测工具,收集、整合以上多方甚至多维度的信息,从而回答风险评估工作的核心问题,即:组织的何种数据、分布何处、如何流转、谁在使用、如何防护。
然而,大量组织反馈,当前数据安全产品种类多且功能各异,在缺乏工具应用指导的背景下,组织开展数据安全风险评估时倾向于沿用传统的信息安全风险评估工具,因此仅能识别网络、信息安全方面的风险问题,很难识别出隐藏在具体业务场景和数据处理活动中的安全风险问题,严重影响了数据安全风险问题检出的全面性。因此,在当前数据安全产品工具发展迅速、种类多样,而风险评估实施的必备工具尚未明确的背景下,如何选取合适的评估检测工具同样是组织实施数据安全风险评估面临的重要问题。
解决思路:认识工具功能
针对这一问题,组织可以结合前期规划的评估范围、重点评估对象等信息和风险评估实施各个环节的目标,明确工具在各个阶段内应发挥的功能,从而选取适宜的数据安全产品工具。
实务操作上,组织首先可以参考数据安全推进计划2023年发布的《数据安全产品与服务观察报告》以及其他业内研究报告,初步掌握主流的数据安全产品工具及其功能。在数据安全风险评估的实践中,可应用的评估工具主要分为三类:
- 一是扫描类工具,主要负责提供针对数据、风险源(例如:脆弱性)等风险要素的扫描服务,为数据安全风险评估提供要素识别的功能,具体包括资产扫描类、数据识别类、漏洞检测类工具等。目前市面上许多数据分类分级、数据资产管理以及部分数据安全防护类工具(例如:API 数据防泄露)都具备这一部分的功能;
- 二是流量分析类工具,主要负责提供对数据处理活动的识别与监测能力,用于关联应用、数据库、人员的敏感数据操作,分析潜在的风险行为,具体包括应用层流量分析、全流量分析等数据风险监测类工具;
- 三是自动化评估类工具,主要负责自动化评估流程管理、评估对象的信息填报、证明文件的上传和查阅、评估结果的生成及报告的输出等,具体包括合规检测工具、在线评估系统等。
随着产品工具的平台化、一体化趋势日益明显,上述的三类工具在数据安全风险评估中提供的能力也已在一些平台型产品中得以集合。
3.如何开展风险评估分析
风险分析是组织基于前期的信息调研、风险识别的情况,对风险的影响程度、发生的可能性进行赋值、分析,最终通过风险矩阵输出风险值的过程。
风险分析的方法主要为定性分析、定量分析、综合分析(定性与定量相结合)。定性分析不要求各个风险要素被严格地量化,在风险要素的评价上主要依靠评估执行人员的个人经验、专业知识等,因此对于评估执行人员的专业能力要求较高。定量分析(包括半定量分析)则是对风险要素进行赋值,依据数值建立数学模型,量化风险分析的过程与结果,确保输出清晰的风险分析结论,但其存在将复杂问题过度简化或模糊化的缺陷,同样易造成风险分析结论的偏差。
目前业内的数据安全风险分析方法以定性分析为主,例如《网络数据安全风险评估实施指引》和《数据安全风险评估方法(征求意见稿)》提出,针对风险发生的影响程度可以结合数据价值、安全问题严重程度等因素进行分析,从不同的影响对象、危害程度高低分别提供了定性的描述,以便评估执行人员参考、对照分析,具体见表6。然而, 在实务操作上依然存在分析过程严重依赖执行人员经验、分析结论主观性过高等问题。
表6 数据安全风险危害程度(节选)
| 影响对象 | 危害程度 | 参考说明 |
| 国家安全 | 很高 | 直接危害国家安全重点领域,如政治安全。 |
| 经济运行 | 高 | 1.直接影响宏观经济运行状况和发展趋势,如社会总供给和总需求、国民经济总值和增长速度、国民经济主要比例关系、物价总水平、劳动就业总水平与失业率、货币发行总规模与增长速度、进出口贸易总规模与变动等。 2.直接影响一个或多个地级市、行业内多个企业或大规模用户,对行业发展态势、技术进步和产业生态等造成严重影响,或者直接影响行业领域核心竞争力、核心业务运行、关键产业链、核心供应链等。 |
| 公共利益 | 高 | 1.直接危害公共健康和安全,如严重影响疫情防控、传染病的预防监控和治疗等。 2.可能导致重大突发公共卫生事件(Ⅱ级),造成社会公众健康严重损 害的重大传染病疫情、群体性不明原因疾病、重大食物和职业中毒等严重影响公众健康的事件。 3.导致一个或多个地市大部分地区的社会公共资源供应较长期中断,较大范围社会成员(如100万人以上)无法使用公共设施、获取公开数据资源、接受公共服务。 |
| 组织权益 | 中 | 可能导致组织遭到监管部门严重处罚(包括取消经营资格、长期暂停相关业务等),或者影响重要/关键业务无法正常开展的情况,造成重大经济或技术损失,严重破坏机构声誉,企业面临破产。 |
| 个人权益 | 中 | 个人信息主体可能会遭受重大的、不可消除的、可能无法克服的影响,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危 害。如遭受无法承担的债务、失去工作能力、导致长期的心理或生理 疾病、导致死亡等。 |
来源:国家标准《数据安全风险评估方法(征求意见稿)》,数据安全推进计划整理
解决思路:建立分析模型
针对这一问题,组织可以建立数据安全风险分析模型,通过明确判断尺度、丰富评价维度、提升赋值精度三方面的措施,提高分析过程和结果的客观性。
一是制定风险分析过程的判断尺度。组织采用定性分析方法进行风险分析时,人员的主观判断将直接影响风险分析的结论。因此,明确评估执行人员的判断尺度,提供判断某项风险是否属于重大风险的“红线”、“基线”——这在一定程度上能够防止风险分析结 论与实际情况偏差过大。
以汽车行业的实践为例,汽车自身及其业务属性决定了其在风险分析的过程中聚焦可能直接影响行车安全、财产安全等方面的风险要素,因此在开展数据安全风险评估的过程中,组织将“是否为极端威胁行车、财产安全等方面的风险”与“是否为大多数人群所适用的风险”作为人员分析风险时的重要尺度。
二是完善风险分析过程的评价维度。组织开展风险分析时,通常使用风险矩阵图对风险发生的可能性和影响程度进行评价。然而,风险本身具有不确定性,组织评价风险发生的可能性时缺乏成熟的参考依据,赋值易流于形式,对风险分析结论缺乏参考价值。因此,组织可以丰富风险评价的维度,提升风险分析结论的实用性。
例如,目前组织面临的数据安全风险不仅包括了数据保密性、完整性、可用性遭到危害,还包括了数据被违法、违规处理带来的合规风险,基于这一问题,组织可以在风险矩阵中补充“可罚性”这一维度,即:从组织的合规管理角度出发,评价组织数据一旦被泄露、破坏、滥用可能引发的监管处罚、违约追责等问题的严重程度。
三是提升风险分析过程的赋值精度。组织采用定量分析方法开展风险分析时,最大的难点问题在于风险发生的可能性和危害程度的定级、赋值和计算。针对风险发生的危害程度,组织可以从数据的重要程度、数据资产价值、脆弱性严重程度等具体风险要素进行相对精准的赋值:《江苏省数据安全风险评估规范》从数据遭到泄露或损害时,可能对国家安全、经济运行、社会稳定、公共利益、个人权益造成的影响程度入手,提出了组织可以参考的一般、重要与核心数据赋值。具体赋值方法如表7。未来,组织在风险分析的过程中,也可以参考数据的流通价值,进一步提升数据这一风险要素的赋值精度。
表7 数据级别赋值(示例)
| 数据级别 | 数据级别赋值 | 数据重要程度定义 | |
| 数据等级 | 定性描述 | ||
| 核心数据 | 很高 | 5 | 该级别数据的安全属性被破坏后:1.会对国家安全造成特别严重危害或严重危害; 2.或对经济运行、社会稳定或公共利益造成特别严重危害。 |
| 重要数据 | 高 | 4 | 该级别数据的安全属性被破坏后: 1.会对国家安全造成一般危害; 2.或对经济运行造成严重危害或一般危害; 3.或对社会稳定、公共利益造成严重危害。 |
| 一般数据 | 中 | 3 | 该级别数据的安全属性被破坏后:1.会对社会稳定、公共利益造成一般危害; 2.或对组织权益、个人权益造成特别严重危害。 |
| 低 | 2 | 该级别数据的安全属性被破坏后,会对组织权益个人权益造成严重危害。 | |
| 很低 | 1 | 该级别数据的安全属性被破坏后,会对组织权益个人权益造成一般危害。 | |
来源:国家标准《数据安全风险评估方法(征求意见稿)》,数据安全推进计划整理
针对风险发生的可能性,实务操作上存在一定的困难:风险源(例如:威胁和脆弱性)的发生频率、安全措施有效性和完备性等因素难以预测、量化。组织可以“以系统为单位”,默认同一信息系统、数据库中的威胁与脆弱性赋值保持一致,避免风险分析过程引入错误的关联关系,提升定量分析的可落地性、可操作性。如果组织在近期开展过网络安全等级保护测评等评估评测,也可以参考其脆弱性识别结果进行赋值。
此外,针对数据安全风险危害程度与发生的可能性的量化分析与评价,《数据安全风险评估方法(征求意见稿)》在附录B中按照统计学中的均匀分布,给出了“很高”、“高”、“中”、“低”、“很低”级别可参考的得分取值范围,这也一定程度上为风险值的计算提供了参考。
(三) 评估总结
1. 如何充分应用评估结果
数据安全风险评估的结果能够直接影响组织的风险处置策略、措施,产生大量的人力、物力成本。因此,评估执行人员提供的分析结论可能会受到组织内部相关方的质疑与挑战,这也要求风险评估的结果具备较高的可信度与说服力。然而,风险本身具有不确定性、随机性,评估执行人员难以在当下的评估时点对未来是否会发生该风险进行证明,而相关方可能对风险的真实性、紧迫性缺乏认知,这也使许多组织在完成风险评估工作后陷入了新的困境与僵局。
解决思路:发布安全声明
针对这一问题,组织可以借鉴网络安全风险评估实践,通过将数据安全风险清单与安全声明相结合的方式,向相关方解释评估方给出的评估结论和建议相关方采取某项处置措施的原因,分析处置措施执行后可预期达到的效果——这能够有效提升数据安全风 险评估结论的可信度,为相关方判断是否采纳评估结论和处置建议提供了参考,明确评估执行方与风险处置方的责任,最终推动风险评估结果在组织内部的充分应用。安全声明模板见表9。
表9 安全声明(模板)
| 风险名称 | 风险等级 | 风险描述 | 风险处置建议 | 处置原因 | 安全声明 |
| 说明:评估方填写 | 说明:评估方填写 | 说明:评估方填写 | 说明:评估方填写 | 说明:评估方填写 | 说明:相关方填写 |
| 示例:数据泄露风险 | 示例:高 | 示例:未建立监控与审计机制,应用系统管理部门自行对其应用系统涉及数据访问、使用等情况进行监控,存在较高的数据违规使用、泄露风险。 | 示例:引入日志审计平台等产品或技术工具,将日志审计平台与承载敏感数据的各应用系统进行对接, 对各应用系统日志的统一的收集、管控与审计。 | 示例:风险等级高于预设的风险准则 | 示例:接受处置建议 |
来源:数据安全推进计划
安全声明的价值在于:一方面,评估执行人员向相关方分发评估结果的同时,需要通过安全声明一并发布各评估项的国家法规或标准来源,注明评估过程中所收集的证明材料情况,对不符合项进行特别批注,明确风险问题与处置建议,声明因忽略风险评估结论引发的安全问题由相关方自行承担;
另一方面,各相关方需要在获得评估结果后从风险处置的成本、优先级等方面,对风险问题与处置建议进行评估,并声明是否实施风险处置方案。如确认开展风险处置工作,相关方还需要进一步明确处置计划与具体责任人、处置时限,并由组织的监督层人员、评估执行人员跟踪评估处置措施的效果,定期向组织决策层、管理层人员汇报。
本文摘编自数据安全推进计划发布的《数据安全风险评估实务:问题剖析与解决思路》,全文下载:
数据安全风险评估实务:问题剖析与解决思路
更多标准、白皮书、报告等高质量纯净资料下载,在文末扫码关注官方微信公众号“idtzed”,进入公众号菜单“治库”,或按自动回复发送引号内关键词。
¥299 起成为数治网DTZed 正式会员,即可下载检索 1000+ 相关标准、白皮书、报告等。填写开通申请获取水准测评、冲刺刷题、案例巩固等更多星球会员权益。扫码添加老邪企业微信,加入数治要素x行业群:
-228x171.jpg)
