• 1）信息安全风险评估只局限在当前信息系统，由于数据是流动的，会导致跨环节、跨场景的流动带来权属问题；
• 2）数据安全风险比如超范围收集、滥用、数据失控等，是由于数据处理活动不合理导致的安全风险；
• 3）企业的数据安全技术使用是否得当，数据安全人员组织架构和管理制度是否具备等，在做风险评估时没有标准依据；
• 4）评估过程依赖专业的从业人员，评估服务采用访谈、问卷、现有业务系统检查等方式，人工梳理主观性强且可能会产生遗漏。

• 1）数据安全风险：数据安全事件的发生可能性及其对国家安全、公共利益或者组织、个人合法权益造成的影响。
• 2）风险源：可能导致危害数据的保密性、完整性、可用性和数据处理合理性等事件的威胁、脆弱性、问题、隐患等。既包括安全威胁利用脆弱性可能导致数据安全事件的风险隐患，也包括数据处理活动不合理操作可能造成违法违规处理事件的风险隐患。

• 1）信息调研，包括数据处理者、业务和信息系统、数据资产、数据处理活动、安全防护措施。
• 2）风险评估，从四个角度进行评估，数据安全管理，数据处理活动安全，可以理解为合理性、正当性的内容，数据安全技术，是专门针对个人信息保护权益的评估点。
• 3）综合分析过程，包括梳理问题清单、分析数据安全风险、视情评价风险，并给出整改建议。
• 4）问题整改建议、风险分析评价等。

• 1）人员访谈：对相关人员进行访谈，核查制度规章、防护措施、安全责任落实情况；
• 2）文档查验：查验安全管理制度、风险评估报告、等保测评报告等有关材料及制度落实情况的证明材料；
• 3）安全核查：核查网络环境、数据库和大数据平台等相关系统和设备安全策略、配置、防护措施情况；
• 4）技术测试：应用技术工具、渗透测试等手段查看数据资产情况、检测防护措施有效性。

• 1）风险：典型数据安全风险类别囊括数据泄露风险、数据篡改风险、数据破坏风险、数据丢失风险等，风险种类和说明应录入工具，方便风险评估人员识别风险。
• 2）风险源：风险源一定是客观存在的，比如与法律法规或者技术标准存在差距的管理制度；又比如访问控制策略、系统漏洞、不合理的数据处理行为，需要通过工具帮助风险评估人员找到问题，并聚焦客观问题进行处理。

• 1）需要形成风险源到风险事件的映射，这些已经发生的、已经看到的、已经识别出的问题，在何种情况下会导致怎样的事件发生，这是多对多的关系，有可能出现多个问题指向一个事件，有可能一个问题引发多个事件的现象。
• 2）上述事件发生的可能性高或低，以及事件的危害程度，基于此对每个风险事件进行风险评价，而后针对发现的风险源或者分析出的风险提出风险控制的措施和建议。

• 1）内置常用调研问卷，并支持场景化自定义，数据安全风险评估工具支持问卷的问题手动配置，评估单位可根据具体场景自定义创建。

• 2）全面的评估知识库，内置评估指导为咨询顾问提供评估指引，评估分析场景可提供有效参考。

• 3）评估报告自动输出，评估工作完成后系统自动输出评估报告；可在线上预览编辑，也可导出至本地自行编辑，有效提高评估报告交付效率。

参 考

①《网络安全标准实践指南 —网络数据安全风险评估实施指引》，全国信息安全标准化技术委员会秘书处

往期推荐