正文

数据安全实践指南⑥—数据安全治理专项开展思路(中)

admin
admin V管理员 /0 评论 /181 阅读
0624
此篇文章发布距今已超过152天,您需要注意文章的内容或图片是否可用!

本文节选自数据安全推进计划(DSI)发布的,报告基于“规划-建设-运营-优化”的思路,详细阐述体系化、场景化的数据安全落地实践过程,重点围绕数据分类分级、数据安全风险评估、数据出境安全评估等热点话题展开讨论。

(二)数据安全风险评估及治理专项

数据安全风险形势持续严峻,传统业务的数字化转型推进以及数据价值化加速推进,数据安全风险的识别、评估与综合治理已成为广大数据处理者面临的最紧迫、也同样是最根本的问题。

1.数据安全风险评估

数据安全风险评估工作得到了国家、行业主管部门以及产业多方的高度重视与关注:业内相继发布了多项风险评估标准、实施指引,现已形成一套完整、清晰的实施流程。

(1)评估准备

组织内部在评估准备阶段首先需要明确数据安全风险评估的目标,与相关方建立基本共识。基于自身需求和已制定的评估目标,组织能够进一步确定数据安全风险评估的对象、范围和边界。通常来说,评估范围可以覆盖组织全部的数据和数据处理活动,也可以仅针对某个单独的业务、信息系统涉及的数据和数据处理活动。组织可以采取“全面摸排、重点评估”的原则,结合数据分类分级工作成果,识别出重点评估对象,例如个人敏感信息、重要数据、核心数据及其相关的数据处理活动。

针对已选定的评估对象和范围,组织需要选取并参照自身适用的评估依据,规划数据安全风险评估工作,确定风险评估依据。以金融行业为例,组织可以参考的评估依据包括但不限于国家法律法规、国家网信、工信及金融等监管、主管部门的数据安全规章以及相关标准。涉及到组织相对特殊的业务和数据处理活动的,组织还可以将内部的数据安全管理制度纳入评估依据的参考范围。

(2)评估实施

组织在实施数据安全风险评估的过程中,主要围绕数据处理者、业务、信息系统、数据处理活动、安全措施的基本情况进行信息调研,重点识别组织在数据安全管理、数据安全技术、个人信息保护、数据处理活动安全等方面是否存在潜在的风险问题。例如2023年金融领域《关于印发银行保险机构信息科技外包风险监管办法的通知》,提示了银行保险机构需要有效控制由于外包而引发的风险,加强重点外包安全管理,对敏感信息采取严格管控措施、风险持续监测。针对这一问题,组织可以从合作方管理机制、合作协议约束、外包人员访问权限、第三方接入与数据回收等常见风险点入手进行评估,识别、分析是否存在合作方安全能力水平低、合作安全责任不明确、外包访问权限过大等典型的风险问题,结合风险的影响程度与发生的可能性,定性或定量判断具体风险的等级,结合组织资源分配等实际情况,输出问题清单、整改建议、风险分析等评估结果。

(3)评估总结

在完成数据安全风险问题的识别、评估分析后,组织需要总结在评估实施过程中获取的信息以及发现的风险问题,提出风险处置建议,形成数据安全风险评估报告。至此,数据安全风险评估工作已基本完成,但组织的相关方还需要制定整改计划,限期完成整改,无法及时完成整改的,应采取临时安全措施,防止数据安全事件发生。风险整改结束后,组织可以开展数据安全风险复评工作,重点分析风险处置后的残余风险或者衍生风险。

2.数据安全风险治理

数据在流动中体现并创造价值,而流动必然伴随风险。业内相关研究多次提到数据安全风险的治理应与组织风险战略保持一致,不应是点对点的扑救与应对。这意味着组织不仅要在风险评估,更要在风险治理上紧密结合业务及数据处理活动,以实现风险可控的安全防护总体目标。然而,大量组织将注意力集中在对风险的评估与分析,整体上缺乏全局视角与调优参考,对风险评估的结果应用也不甚充分,未能形成一条可联动、可协同的治理链条。

针对这一问题,2022年中国信通院基于对互联网、金融、电信运营商等行业企业的实地调研,牵头编制BDC 136-2022《数据安全风险治理成熟度评价模型》,提出了数据安全风险治理的基本框架。数据安全风险治理以风险为核心,强调了面向风险的控制与治理,关注对风险的识别、评估、处置以及监控改进的全生命周期管理,从“以建设防范风险”走向“主动认知风险”。

数据安全风险治理体系在面对协同管控及复杂数据生态上具有优势:其在风险准则确立、风险要素识别、风险评估分析、风险处置解决、风险治理改进五个能力领域明确了治理工作要求与对应的能力水平,提出了“预防为主、主动发现、积极防范”的工作原则,充分考虑了组织内部的多方多维协同、技术与管理措施配合,在推动组织的数据安全风险评估与后续风险处置、监控、改进的有效串联上具有重大的价值。

【结语】

为帮助企业度量其自身数据安全能力水平,发现数据安全治理能力不足,指明企业数据安全治理能力提升路径,中国信息通信研究院云大所数据安全团队(简称:云大所数据安全团队)牵头制定了。截至2023年底,已完成23家企业的25次数据安全治理能力评估工作(简称:DSG评估),参评企业广泛分布于金融、电信运营商、互联网、汽车等领域。

在评估测试基础上,云大所数据安全团队结合国家法律法规,行业监管要求以及同业最佳实践,为多家大型银行、保险机构、知名企业提供了咨询提升服务,协助企业开展数据安全治理体系建设。

2024年云大所数据安全团队将持续围绕数据安全治理话题,开展框架研究、技术探索、评估评测等相关工作,欢迎业内共同致力于数据安全治理研究的专家、学者、同人咨询数据安全治理服务及数据安全风险评估服务,共话数据安全治理,携手护航企业数据的安全利用。

行标首批贯标单位火热征集中!诚邀有意向的单位踊跃参与。

联系人:刘雪花  18500238315(微信同号)

往期回顾

 #

 # 


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
周飒博客-ZhouSa.com