网络数据安全风险评估试点成果丨(19)上海数据集团有限公司：《数据安全风险评估方法与指标》

一、引言

为贯彻落实《网络安全法》《数据安全法》《个人信息保护法》《上海市数据条例》等法律法规，推动建立我市网络数据安全风险评估机制，提升全市数据安全防护能力和水平，2023年8月至12月，市委网信办会同中国电子技术标准化研究院、上海市信息安全测评认证中心成立试点工作组，组织开展了网络数据安全风险评估试点工作，遴选出一批试点优秀单位和试点优秀案例。

今天分享上海数据集团有限公司试点优秀案例——《数据安全风险评估方法与指标》。

二、案例概述

本案例围绕数据安全风险评估方法与评估指标，阐述了上海数据集团有限公司（以下简称“数据集团”）在评估过程和分析过程中如何引入量化指标，对数据安全风险进行量化分析和评价。具体探索上，引入“适用度”“符合度”评估指标和“权重”分析指标，实现了“单次可量化、长期可跟踪、历史可比较”的实践落地。应用效果上，长远管理可进行历次评估分值的比较，跟踪风险的变化情况，以评价所采取的整改措施、治理计划的工作效果、资源效益。

三、案例展示

数据安全风险评估方法与指标

（节选）

在数据安全风险评估和分析的过程中，数据集团引入“适用度”“符合度”“权重”等评估指标，将评估过程与分析结果量化，形成与历史数据安全评估结果可比较的风险分值。在评估方法上，采用单次评估指标量化和总体评价分值量化，具体如下：

1、单次评估指标量化

会议流程

15:00-15:30

开幕致辞及介绍年会主题及目标

15:30-16:30

公司总经理发表年度总结报告

16:00-17:30

公司各部门经理分享部门年度工作成果及展望；

17:30-18:00

茶歇及自由交流时间；

18:00-19:00

晚宴及欢迎致辞；

风险评估启动前，数据集团梳理数据安全风险涉及的4大模块，即数据安全管理、数据处理活动、数据安全技术和个人信息保护，进行评估项拆解，实现风险识别的全要素覆盖，形成《网络数据安全风险评估矩阵表》。

《网络数据安全风险评估矩阵表》采取唯一性编号（如DSRA1-1），便于风险定位、跟踪；设置“评估大类、子类、小类、评估项”明确评估要求；明确“评估步骤”，给出人员访谈、文档查验等评估方式；设置“自评估”，判断适用、不适用，通过“不适用0；适用1”进行量化配置，实现结合业务特征的评估项裁剪；适用情形下，通过“不符合0；部分符合0~1；符合1”进行量化配置，实现符合程度变化跟踪；同时，通过“自举证”明确风险评估所涉及的举证文件和材料等，有利于提高风险评估的质量和效率。

表1 《网络数据安全风险评估矩阵表》模版

2、总体评价分值量化

会议流程

15:00-15:30

开幕致辞及介绍年会主题及目标

15:30-16:30

公司总经理发表年度总结报告

16:00-17:30

公司各部门经理分享部门年度工作成果及展望；

17:30-18:00

茶歇及自由交流时间；

18:00-19:00

晚宴及欢迎致辞；

风险评估评估完成后，数据集团针对各个评估项的评估结果，梳理存在的风险隐患，从风险类别、风险项、风险描述等维度形成数据安全问题清单。针对数据安全问题，结合风险危害程度、风险发生可能性、权重等因素得出风险评价分值和风险等级，形成《网络数据安全风险分析表》。

《网络数据安全风险分析表》采取唯一性编号（如DSRA-RG3.10），便于风险治理、跟踪；引入风险危害程度、风险发生可能性按照定性（如很低、中..）进行区间判定，定量（如[80,100]、[0%,30%)...）进行量化配置，实现风险程度变化跟踪；同时，通过“自举证”明确风险治理所涉及的过程文件和链接等，有利于提高风险治理和质量和效率。

表2 《网络数据安全风险分析表》模版

具体评价分值量化步骤如下：

1）合并问题项

以安全子类为维度对评估过程中发现的问题进行合并，分析问题类别，完善问题简述和问题描述。

2）风险分析与评价

a）风险危害程度分析

风险危害程度分析，主要考虑数据价值、风险源严重程度两个因素。在综合分析数据价值、风险源严重程度的基础上，将风险危害程度从低到高分为很低、低、中等、高、很高5个级别。结合实际，根据得分区间给出风险危害程度得分值，得分越高代表风险危害程度越高。

表3 数据安全风险危害程度等级参考

b）风险发生可能性评价

风险发生可能性评价，主要考虑风险源发生的可能性、安全措施有效性和完备性等因素。其中，风险源发生可能性，可从历史风险源事件发生频率等角度去衡量；安全措施有效性、完备性，主要衡量数据安全措施是否能有效、全面的防范全流程数据处理活动各阶段的数据安全风险。在综合分析风险源发生可能性、安全措施有效性和完备性的基础上，将数据安全风险发生的可能性从低到高分为低、中、高3个级别。结合实际，根据得分区间给出风险发生可能性得分值，得分越高代表风险发生可能性越高。

表4 数据安全风险发生可能性等级参考

c）安全风险等级评价

安全风险等级评价，直接根据数据安全风险危害程度、数据安全风险发生可能性给出的量化结果计算风险分值，得分越高代表风险等级越高。计算公式如下：

Ri = σi × Vi，其中Ri为第i个数据安全问题的风险评价分值，σi为第i个数据安全问题危害程度赋值；Vi为第i个数据安全问题的风险发生可能性赋值。

另外，可视情况将评估项的重要程度等级纳入考虑范围，一般评估项的重要等级与国家主管部门关注点、社会数据安全热点事件、集团系统特点相关，并在实施评估前，可依据以上因素动态调整。评估项重要程度等级如下表所示。

表5 评估项重要程度等级参考

叠加评估项权重后的量化结果计算风险公式如下：

Ri = σi × Vi × Wi，其中Ri为第i个数据安全问题的风险评价分值，σi为第i个数据安全问题危害程度赋值；Vi为第i个数据安全问题的风险发生可能性赋值；Wi为第i个安全问题对应评估项的权重赋值。

最后，采用“划线法”确定某个数据安全风险的具体等级。“划线法”是通过确定一个典型数据安全风险作为边界值。划定某个等级的数据安全风险分值，具体如下。

图1 “划线法”参考

综上，本案例作为网络数据安全风险评估试点的创新成果，数据集团依据国标、结合实际进行全面和系统的评估方法和指标研究，细化形成了数据安全风险评估的指标体系，并对风险评估、评估治理进行量化赋值，提供了定性定量结合开展风险分析与评价模式，总结出一套系统化、易实操的评估方法，对于企业开展数据安全评估提供了良好的参考范本。

来源：网信上海