“三步走”全面解锁数据安全风险评估“新方式”
近年来,数据安全风险评估逐渐成为我国数字化进程重要一环。一方面,国家针对数据安全风险评估出台了系列标准和要求,《网络安全标准实践指南——网络数据安全风险评估实施指引》((信安秘字〔2023〕70号)《信息安全技术 数据安全评估机构能力要求》(征求意见稿)《信息安全技术 数据安全风险评估方法》(征求意见稿)等标准相继发布,标志着数据安全标准体系框架正逐步健全和完善。
另一方面,频发的数据安全事件也为各行业敲响警钟,数据安全风险的防范与治理刻不容缓。面对激增的数据安全风险评估需求,企业应如何系统全面的开展风险评估工作?
数据安全风险评估“三步走”
与传统信息安全风险评估相比,数据安全风险评估延续了自评和检查两种方式,包含了评估前现状调研、评估中识别安全隐患、评估后风险分析等内容。不同的是,数据安全风险评估更侧重于评估数据全生命周期的风险,并同步对数据资产进行全面分析。本文将以网御星云数据安全风险评估为例,从“三步走”策略入手,对数据安全风险评估工作的开展进行详细阐述。
数据安全风险评估总体分为数据安全风险评估准备工作、前期调研工作、中期安全隐患识别工作和后期综合风险分析与评价工作。
首先,准备工作包括确定评估目标、确定评估范围、组建评估团队、制定评估方案等,详细内容由网御星云与组织内部协商决定,在此不过多赘述。其次,前期调研工作包括数据资产识别、数据处理活动识别、安全措施识别等环节。然后,根据识别结果,参照数据安全相关法律标准,对数据全生命周期阶段、数据安全相关合同等内容进行评估,梳理存在的风险隐患和不合规条款,形成数据安全风险源清单。最后,结合数据安全风险危害程度、数据安全风险源类型进行综合风险评价,分析数据安全风险等级。
值得注意的是,针对数据安全风险的评估也应涵盖环境安全风险,可采用传统漏洞扫描、渗透测试等技术对评估范围内的系统进行安全风险评估。
第一步:评估前期—现状调研
风险评估前应对现状进行充分调研,调研工作包括数据资产识别、数据应用场景识别、已有安全措施识别等环节。
数据资产识别
在确定评估范围基础上,针对评估范围内的各类数据资源进行整理,确定被评估数据的类别、数据量级、数据资源所在位置、数据资产赋值等内容。数据资产赋值从安全合规性要求、数据保护要求出发,结合数据共享和公开属性,将数据分成5个等级进行赋值。
数据应用场景识别
针对评估范围内的数据资产,识别其涉及的各类业务应用场景,并进一步确认业务应用场景相关的数据处理活动及操作流程、业务相关的信息系统、数据处理参与主体、网络环境等。数据处理活动包括数据收集、数据传输、数据存储、数据使用和加工、数据提供、数据公开、数据销毁及数据出境。参与主体包括数据需求方、数据提供方、数据分析人员、运营者及安全管理者等参与主体角色及相关账号。运行环境包括内部网络、外部网络、专用网络等。
已有安全措施识别
安全措施分为技术安全措施和管理安全措施。技术安全措施识别包括部署数据库防火墙、部署数据脱敏设备等。管理安全措施识别包括数据安全管理组织、人员及制度情况。同时识别业务系统已开展的等级保护测评、商用密码应用安全性评估等情况。评估人员应判断已有技术和管理措施是否有效实施。
在此阶段将输出《数据资产调研报告》《数据资产分类分级清单》。
第二步:评估中期—数据安全隐患识别
数据安全隐患既包括因脆弱性被利用而导致的数据安全风险,也包括数据处理活动中因不合规操作造成的违法违规风险。
脆弱性识别
主要识别数据资产在数据应用场景中可能被威胁利用的弱点。而脆弱性分为技术脆弱性和管理脆弱性,评估人员应参考相关的数据安全标准,从技术和管理两方面对数据全生命周期各阶段进行评估。
不合规操作识别
识别各参与主体在数据处理活动中不符合标准规范的操作。评估人员应参考数据安全相关法律法规,从制度流程、与第三方签署合同等方面对评估范围内业务系统的数据应用场景进行操作流程识别。
在此阶段将输出《数据安全隐患识别清单》《数据安全能力成熟度差距分析报告》。
第三步:评估后期—综合风险分析与评价
综合风险分析与评价
结合评估前期和中期的工作情况,对客户业务场景的数据安全风险进行综合分析与评价。包括数据安全风险分析和数据安全风险评价。
数据安全风险分析
本阶段综合分析数据安全隐患发生的可能性及危害程度。评估数据安全隐患发生的可能性,主要考虑风险源发生的频率、安全措施有效性等因素。而评估数据安全隐患对资产的危害程度,根据危害程度对国家安全、经济运行、社会秩序、公共利益或个人、组织合法权益造成影响的程度而判断。风险危害程度从高到低可以分为很高、高、中、低、极低5个级别。可参考《信息安全技术 数据安全风险评估方法》(征求意见稿)。
数据安全风险评价
本阶段的主要任务是依据实际情况,综合安全隐患发生的可能性等级、安全隐患危害程度等级、安全风险源类型等因素,对数据安全进行风险评价,并最终确定风险等级。风险等级分为重大安全风险、高安全风险、中安全风险、低安全风险、轻微安全风险5个风险等级。可参考《信息安全技术 数据安全风险评估方法》(征求意见稿)。
在此阶段将输出《数据安全风险评估综合分析报告》。
