數據作為新型生產要素���,是價值創造的重要源泉。2023年12月���,國家數據局等17部門聯合印發《“數據要素×”三年行動計劃(2024—2026年)》提出到2026年底,數據要素應用廣度和深度大幅拓展�,數據產業年均增速超過20%��。與此同時,與數據產業并駕齊驅的數據安全問題也被提到了史無前例的高度���,如何加強數據安全保護����、完善數據安全治理已經成為社會各界關注的重點問題�����。
面對數據安全治理����,昂楷科技提出數據安全治理三步走的安全防護策略:第一步:分類分級定基礎���;第二步:風險評估明缺陷��;第三步:安全治理建體系�����。本文主要對數據安全風險評估進行分析,幫助各位了解何為數據安全風險評估以及產生的作用與價值����。
評估實施階段主要內容包括對數據以及數據處理活動進行識別����,對數據面臨的安全威脅��、存在的脆弱性進行識別,對數據安全防護措施進行確認��。實施流程具體如下:
數據識別主要分析識別數據分類(含子類)����、數據項名稱、數據屬性與要素(數據來源�����、數據規模�����、數據用途���、數據存儲位置���、數據共享情況���、數據是否出境等)�、數據分級等����,并形成數據目錄清單。
數據處理活動識別主要圍繞數據采集���、數據傳輸��、數據存儲�、數據處理�、數據交換�、數據銷毀等全生命周期�,結合組織業務流程���、系統功能實現等情況���,識別數據處理活動以及個人信息處理活動���,并進行記錄��。
數據安全威脅識別主要包括威脅的來源、主體����、種類��、動機�����、頻率、時機等。威脅來源包括環境���、意外、人為三類���,根據威脅來源不同,進一步劃分威脅的種類與威脅來源的主體���、動機,威脅頻率應根據經驗和有關的統計數據來進行判斷��。最終結合威脅的行為能力�、威脅發生時機,通過威脅發生的頻率給出威脅賦值���。
數據安全脆弱性識別主要可從技術和管理兩方面進行審視���。技術脆弱性包括數據處理活動過程中所涉及的技術性安全問題或隱患����。管理脆弱性包括組織數據處理活動過程中,組織管理體系中的責權劃分��、應急處置����、運行維護等管理制度的完備程度與可行程度。最終根據數據安全脆弱性危害程度給出數據安全脆弱性指數賦值�����。
安全措施可以分為預防性安全措施和保護性安全措施兩種�����。預防性安全措施可以降低威脅利用脆弱性的可能�,保護性安全措施可以降低數據安全事件發生后造成的影響��。安全措施識別應充分考慮數據對象安全等級所對應的安全需求���。
風險分析與評價主要圍繞數據�����、數據處理活動,對已識別的數據安全威脅��、脆弱性��、安全措施����,綜合運用數據安全風險分析與評價模型��,給出定性與定量相結合的風險分析與評價結果,并明確風險接受程度以及風險處置措施��。
作為數據安全治理“三步走”戰略中承上啟下的重要一環��,數據安全風險評估服務用于識別���、評估和管理組織或企業面臨的數據安全風險���,可以確定潛在威脅和弱點��,并提供基于風險的決策依據,以保護信息資產免受損害����,有著十分重要的意義:
■ 提供全面的風險認知:通過評估���,組織可以全面了解其信息資產所面臨的威脅和風險�,從而制定相應的防護措施;
■ 優化資源分配:評估結果可以幫助組織更好地分配資源�,將有限的安全預算用于最需要的領域��,提高整體安全性能;
■ 合規要求滿足:許多行業和法規對數據安全有明確的要求�,通過評估��,組織可以確保其符合相關合規標準。
昂楷科技已實施多家數據安全風險評估案例�����,涉及政務��、教育���、醫療衛生等多個行業。以某政數局項目為例�����,昂楷科技為其梳理了數據資產���,對數據臺賬進行摸底����;進一步分析確定該單位政務數據共享交換平臺數據安全體系建設存在的安全隱患,掌握目前面臨的風險狀況,為下一步開展數據安全治理體系建設提供依據����。
對該政數局進行數據安全風險評估��,推動了其數據安全管理體系的落實,形成數據安全管理運作和持續提升機制�����,確保了數據安全水平的持續提高���。
