当前,数据已成为驱动企业创新发展的核心力量。然而,随着数字化进程加速,网络攻击面持续扩大、数据泄露事件频发,企业面临的安全威胁日益复杂。在此背景下,定期开展数据安全风险评估,已成为企业构建主动防御机制、实现风险全周期管控的核心抓手。为规范数据安全风险评估,提升安全防护能力,国家市场监督管理总局、国家标准化管理委员会发布《GBT 45577 - 2025 数据安全技术 数据安全风险评估方法》,将于2025年11月1日实施。该文件主要描述数据安全风险评估的基本概念、要素、分析原理,给出具体实施流程、评估内容、分析评价方法,为企业开展风险评估工作提供可操作指南。数据安全风险评估,主要围绕数据和数据处理活动,聚焦可能影响数据的保密性、完整性、可用性和数据处理活动合理性的安全风险,掌握数据安全总体状况,发现数据安全隐患,提出数据安全管理和技术防护措施建议,提升数据安全防攻击、防破坏、防窃取、防泄露、防滥用能力。数据安全风险评估流程,主要包括评估准备、信息调研、风险识别、风险分析与评价、评估总结五个阶段。数据安全风险评估,在信息调研基础上,围绕数据安全管理、数据处理活动安全、数据安全技术、个人信息保护等方面开展评估。安全管理制度:数据安全制度体系建设是否完善,制度执行是否到位。
安全组织机构:数据安全组织架构是否健全,职责分工是否明确。分类分级管理:审查数据资产梳理情况,数据分类分级制度是否落实,是否存在数据管理混乱的情况。人员安全管理:考察人员录用、保密协议签订、转岗离岗管理及数据安全培训情况。合作外包管理:合作方管理机制是否健全,合作协议是否明确数据安全责任,外包人员访问权限是否合理控制等。安全威胁和应急管理:安全威胁识别和应急响应机制是否完善,是否能够及时发现并有效应对安全事件。开发运维管理:审查应用开发审核流程、代码安全管理、测试数据脱敏处理等情况。云数据安全:云服务提供者、第三方厂商、云租户的安全责任划分情况,云安全产品服务的使用和配置情况,以及云上操作行为的安全审计情况。应围绕数据全生命周期开展评估:数据收集:数据收集是否合法正当,是否存在超范围收集或非法获取数据的行为等。
数据存储:评估数据存储的安全性,包括存储介质管理、加密措施、存储期限及存储地点选择等。数据传输:数据传输过程中的加密措施是否到位,是否存在传输链路不安全或中间人攻击的风险。数据使用和加工:数据使用和加工过程中是否遵守法律法规,是否存在滥用或违规操作,特别是涉及敏感数据或个人信息的情况。数据提供及公开:数据提供、委托处理、共同处理及数据公开过程中的安全措施是否到位。数据删除:数据删除和存储介质销毁流程是否规范,是否存在数据残留或介质未彻底销毁的风险。网络安全:评估网络拓扑结构、边界防护、访问控制等网络安全措施的有效性,防止外部攻击。
身份鉴别与访问控制:检查身份鉴别机制是否健全,访问控制是否严格,防止未授权访问。监测预警:审视安全监测预警机制是否建立,能否及时发现并响应安全事件,减少损失。数据脱敏与防泄漏:评估数据脱敏规则和方法是否合理,数据防泄露措施是否到位,防止敏感数据泄露。数据接口安全:检查数据接口的安全控制措施是否完善,防止接口被非法调用或数据泄露。数据备份恢复不可靠:评估数据备份恢复策略和操作规程是否健全,备份数据是否可用,确保在灾难发生时能够快速恢复数据。安全审计:检查安全审计机制是否建立,审计记录是否完整,能否有效追溯数据操作和访问行为。个人信息保护处理原则:是否遵循合法、诚信原则与正当、必要原则。
个人信息告知与同意:是否充分告知用户并获得同意,告知内容是否清晰易懂。个人信息处理:审视个人信息保存、共同处理、委托处理、转移等处理活动是否合法合规,是否存在超范围处理或滥用行为,特别是涉及敏感个人信息的情况。敏感个人信息处理:评估敏感个人信息的处理是否遵循特殊保护要求,如加密存储、访问控制等。个人信息主体权利:检查个人信息主体权利是否得到充分保障,如查阅、复制、更正、删除等权利是否能够得到有效行使。大型平台监管不严:针对大型网络平台,评估其个人信息保护合规制度体系是否健全,是否对平台内产品或服务提供者的个人信息处理活动进行有效监督。了解更多具体评估内容查看官方发文☞:https://std.samr.gov.cn/gb/search/gbDetailed?id=33D40F1161195D92E06397BE0A0A5B93开展数据安全风险评估时,可综合采取下列手段进行评估:
人员访谈:对相关人员进行访谈,核查制度规章、防护措施、安全责任落实情况。文档查验:查验安全管理制度、合同协议、应急演练报告、事件处置报告及数据安全风险评估报告、网络安全等级保护测评报告等有关材料及制度落实情况的证明材料。安全核查:核查网络环境、数据库和大数据平台等相关系统和设备安全策略、配置、防护措施情况。技术测试:应用技术工具、渗透测试等手段查看数据资产情况、检测防护措施有效性。安全才能安心,技胜推动业胜。安胜专注于网络空间安全、开源舆情服务和企业数智化转型三大核心领域,致力于为客户提供全面的综合解决方案。近年来,安胜持续聚焦数据安全,推出围绕数据全生命周期并涵盖管理策略与防护技术的安全服务体系,协助企业从技术上打通数据孤岛,解决数据开放共享链条上的安全顾虑。从监管者和使用者的角度出发,提供全方位的数据安全咨询、数据安全建设、数据安全运营为一体的数据安全服务解决方案。安胜提供包括数据分类分级(“数网”数据资产梳理与数据库扫描系统)、数据加密与脱敏(“数盾”数据库加密系统,“数芯”数据动态/静态脱敏系统)、数据访问审计与监控(“数审”数据库审计系统)、数据库防火墙与安全管控(“数御”数据库防火墙系统、“数坝”终端数据泄漏防护系统)、威胁检测与应急响应等相关产品。
同时,安胜积极推动智能化、流程化、行业化的数据安全场景落地,提供涵盖数据安全顶层规划、分类分级、风险评估、跨境评估等20多项的安全服务能力,保障全链路全场景的数据安全。安胜的数据安全风险自评估服务,依据国家及行业要求,结合企业数据安全现状,围绕数据和数据处理活动,聚焦可能影响数据的安全风险,评估数据安全全生命周期的各项指标,分析问题并提出数据安全管理和技术防护措施建议。在数据安全风险评估的实践中,安胜提供一体化数据安全风险评估工具箱,可满足企业特定业务需求和安全环境:主要提供围绕数据、安全漏洞等要素的扫描服务,为数据安全风险评估提供要素识别功能。具体包括:资产扫描类、漏洞检测类、数据识别类。主要负责自动化评估相关信息、评估结果的生成等。具体包括风险评估表、在线评估工具。
请关注安胜公众号
☟☟☟
回复“风险评估”即可获取详细内容
或直接联系客服
还没有评论,来说两句吧...