信安标委发布关于网络数据安全风险评估指南

早前，全国信息安全标准化技术委员会官网发布《网络安全标准实践指南——网络数据安全风险评估实施指引》。指南中提出如下观点：数据安全事件的发生可能性及其对国家安全、公共利益或者组织、个人合法权益造成的影响，数据处理遵守法律、行政法规要求，尊重社会公德和伦理道德，符合网络安全和数据安全常识道理。

评估思路：网络数据安全风险评估坚持预防为主、主动发现、积极防范，对数据处理者数据安全保护和数据处理活动进行风险评估，旨在掌握数据安全总体状况，发现数据安全隐患，提出数据安全管理和技术防护措施建议，提升数据安全防攻击、防破坏、防窃取、防泄露、防滥用能力。网络数据安全风险评估，主要围绕数据和数据处理活动，聚焦可能影响数据的保密性、完整性、可用性和数据处理合理性的安全风险。首先通过信息调研识别数据处理者、业务和信息系统、数据资产、数据处理活动、安全措施等相关要素，然后从数据安全管理、数据处理活动、数据安全技术、个人信息保护等方面识别风险隐患，最后梳理问题清单，分析数据安全风险、视情评价风险，并给出整改建议。

评估手段：

人员访谈：对相关人员进行访谈，核查制度规章、防护措施、安全责任落实情况；

文档查验：查验安全管理制度、风险评估报告、等保测评报告等有关材料及制度落实情况的证明材料；

安全核查：核查网络环境、数据库和大数据平台等相关系统和设备安全策略、配置、防护措施情况；

技术测试：应用技术工具、渗透测试等手段查看数据资产情况、检测防护措施有效性。

在攻击与窃取手段不断进化的今天，数据安全面临的风险日增、形势严峻。因此数据安全深度评估可广泛适用于包括但不限于提供公共通信、广播电视传输等服务的基础信息网络，能源、金融、交通、教育、科研等领域和国家机关的重要信息系统，对数据安全的评估与保护成为不可避免的重要组成。

（来源：全国信息安全标准化技术委员会）