数字安全 | 数据安全运营体系架构

管理制度和技术体系需要落地，离不开数据安全运营体系。数据安全运营体系主要包括两部分，一是定期或特定数据处理场景（数据跨境、数据交易等）触发的数据安全风险评估；二是常态化持续运营工作，依据识别、防护、监测、响应模型形成的一系列治理活动。数据安全运营要考虑“数据资产、安全策略、安全事件、安全风险”等关键因素，明确哪里做的好、好到什么程度，又有哪些做的不足、哪里需要改进和优化等等，不断地丰富和提升完整性和成熟度。

数据安全风险评估

数据安全风险评估的目的旨在掌握数据安全总体状况，发现存在的数据安全风险和违法违规问题，为进一步健全数据安全管理制度和技术措施，提高数据安全治理能力奠定基础。

从评估要素看，数据安全风险评估涉及数据、数据处理活动、业务、安全措施、数据安全风险等基本要素，开展数据安全风险评估应充分考虑要素间关系。

从评估对象看，数据安全风险评估主要围绕数据处理者的数据和数据处理活动，对可能影响数据保密性、完整性、可用性和数据处理活动合理性的安全风险进行分析和评价。数据安全风险分析主要涉及数据、数据处理活动、风险源、安全措施等基本要素。

从评估内容看，数据安全风险评估既包括涉及数据处理者、业务和信息系统的基本情况调研，也包括处理的数据、开展的数据处理活动情况识别，还包括数据处理活动、数据安全管理、数据安全技术、个人信息保护、重要数据处理等方面的评估内容。

从评估方法看，数据安全风险评估主要包括人员访谈、文档审核、系统核查、技术测试。其中：

人员访谈是指评估人员采取调查问卷、现场沟通等形式对被评估方的数据、数据处理活动和数据安全实施情况等进行了解、分析和取证。

文档审核是指评估人员通过对数据安全相关管理制度体系的完整性、健全性进行评估，包括管理办法，安全规范、流程机制及配套的表单/日志/报告等进行审核、查验、分析，全面梳理被评估方的数据安全实施情况。

系统核查是指评估人员通过旁站查看被评估方数据安全相关网络、系统、设备的配置、功能或界面，验证数据处理系统和数据安全技术工具实施情况。

技术测试是指评估人员通过手动测试或自动化工具进行技术测试，验证被评估方的数据安全措施有效性，发现可能存在的数据安全风险。

从实施流程看，数据安全风险评估主要包括评估准备、数据和数据处理活动识别、风险源识别、风险分析、评估总结五个阶段。风险沟通和评估过程文档管理需要贯穿于整个风险评估过程。其中：

评估准备工作主要包括确定评估目标、明确评估范围、组建评估团队、展开评估前期调研。

数据和数据活动识别工作主要包括数据发现、分类分级和数据处理活动的识别。

风险源识别工作主要是指从数据处理活动风险、数据安全管理维度进行风险识别。

风险分析工作主要是指对识别的各项风险进行归类，并从风险危害程度、发生可能性多个角度进行风险评价与定级。

评估总结工作主要是指对评估结果进行分析总结，编制数据安全风险评估报告，并针对风险缺陷给出整改建议。

数据安全风险评估工作是持续性的活动，当被评估对象的政策环境、外部威胁环境、业务目标、安全目标等发生变化时，需要重新开展风险评估。

在涉及到个人信息处理活动的应用场景时，组织还应开展个人信息保护影响评估，检验个人信息处理的合法合规程度，判断对个人信息主体合法权益造成损害的各种风险，评估用于保护个人信息主体的各项防护措施的有效性。

个人信息保护影响评估的规模往往取决于受到影响的个人信息主体范围，数量和受影响的程度。通常，组织在实施该类个人信息安全影响评估时，个人信息的类型、敏感程度、数量，涉及个人信息主体的范围和数量，以及能访问个人信息的人员范围等，都会成为影响评估规模的重要因素。

可参考《个人信息保护法》第五十五条有下列情形之一的，个人信息处理者应当事前进行个人信息保护影响评估，并对处理情况进行记录：

（一）处理敏感个人信息；

（二）利用个人信息进行自动化决策；

（三）委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息；

（四）向境外提供个人信息；

（五）其他对个人权益有重大影响的个人信息处理活动。

第五十六条个人信息保护影响评估应当包括下列内容：

（一）个人信息的处理目的、处理方式等是否合法、正当、必要；

（二）对个人权益的影响及安全风险；

（三）所采取的保护措施是否合法、有效并与风险程度相适应。

个人信息保护影响评估报告和处理情况记录应当至少保存三年，可参考标准有GB/T 39335-2020《信息安全技术个人信息安全影响评估指南》，GB/T 35273-2020《信息安全技术个人信息安全规范》，GB/T 41391-2022《移动互联网应用程序（APP）收集个人信息基本要求》，GB/T 39725-2020《信息安全技术健康医疗数据安全指南》，JR/T 0171-2020《个人金融信息保护技术规范》。

常态化持续运营

规范和策略管理：组织应调研相关的国内外数据安全相关监管要求、业界数据安全治理相关方法论和架构体系，作为数据安全治理优化工作的方法论和框架体系依据，形成数据分类分级策略、风险监测策略和数据保护策略。

发现/管理数据资产：运用数据安全管理平台的自动发现工具，结合手工调研梳理，对数据资产进行持续维护，发现敏感数据库和敏感数据的位置和分布，统计重要数据，并对数据资产的归属部门、责任人、使用方等信息进行备案登记，形成数据资产列表。并对数据库资产进行安全评估，识别数据库资产的脆弱点。

敏感数据管理：基于数据分类分级策略模板，借助敏感数据发现技术和数据自动分类分级工具，对新发现的数据资产进行分类分级识别与打标，快速建立数据分类分级清单，并进行人工核实确认。

应用信息备案：收集分析数据资产访问流量，提取访问行为特征和对象，识别应用账号和运维账号，建立应用信息备案清单，并由人工进行备案信息核实完善。

数据安全合规管理：梳理评估各级别数据资产在整个数据生命周期流动中的安全风险，借助数据安全管理平台的安全策略管理工具，针对风险设定各安全防护节点的防护策略，对数据安全进行合规管控。特别强调的是涉及国家关键信息基础设施的单位，依据国家法律、行政法规和有关规定，要求其运营者应当使用商用密码落实数据保护，并需自行或者委托商用密码检测机构开展商用密码应用安全性评估。

风险监测和事件处置：构建面向用户、终端、应用、数据的全链路数据安全风险监测能力，实现围绕数据全生命周期的统一流转监测与审计，并基于形成的数据流转视图，持续分析、研判数据流转风险，针对产生的安全事件告警，落实应急响应与事件处置与溯源取证。

运营稽核与优化：建立面向安全策略、安全风险、安全事件的KPI指标分析，对数据安全运营情况进行整体稽核，根据稽核考核结果进行持续完善和优化。

扫码进星球下载公众号文件