数据安全风险的评估

数据安全：是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。

数据安全风险评估：指运用科学的方法和手段，系统地分析数据资产所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，并提出有针对性的抵御威胁的防护对策和安全措施，防范和化解数据安全风险，将风险控制在可接受的水平，为最大限度地保障数据的安全提供科学依据。

数据安全风险评估在原有信息安全风险评估理论基础上，更多关注于数据资产本身的安全性，呈现出围绕数据资产、强调数据应用场景的特点。

数据安全风险评估能够帮助企业、组织发现自身数据安全问题和短板，明确数据安全保护需求，为建设数据安全管理和技术手段指明方向，给出解决方案。

1、数据资产识别

识别数据资产，建立数据资产清单，掌握数据重要程度，是风险评估的基础，也是数据分类分级管理的基础。

2、应用场景分析

数据应用场景与数据生命周期息息相关，包括数据收集/产生、传输、存储、调取、加工分析、外发等数据行为。每个数据类型都对应着多个数据应用场景，每个应用场景背后都有潜在的安全风险和合规风险。

3、数据安全管控

根据数据安全风险评估结果，针对每一个数据安全风险，结合被影响的数据资产重要程度，选择恰当的数据安全控制措施，实现数据分级分类管理与保护。

4、评估要素

1、评估准备：

a）确定风险评估的目标；

b）确定风险评估的对象和范围；

c）组建适当的评估管理与实施团队；

d）对系统进行前期调研；

e）确定评估依据和方法；

f）制定风险评估实施方案；

g）获得最高管理者对风险评估工作的支持

2、数据资产识别

3、数据应用场景识别

数据应用场景识别包括梳理业务场景与数据使用流程、识别数据行为及数据生命周期、参与主体。

4、数据威胁识别

5、脆弱性识别

6、已有安全措施识别

7、风险分析

8、风险处置