本文节选于数据安全推进计划(DSI)与CCSA TC601联合发布的《数据安全风险评估实务:问题剖析与解决思路》,主要梳理了数据安全风险评估的准备阶段面临的典型问题,结合法律法规、部门规章以及标准提供的理论指引,深入分析问题成因,充分参考业内优质经验,形成问题解决思路,为相关数据处理者、服务机构纾难解惑。
一、如何确定评估触发条件
《网络安全法》提出网络运营者应开展网络安全认证、检测、风险评估等活动,并通过网络安全等级保护、信息安全风险评估等一系列标准对组织的网络、信息安全风险评估工作进行落地指导。相较于网络、信息安全风险评估,数据安全风险评估的工作要求、标准依据或正在征求意见,或尚未正式发布——这导致许多数据处理者的数据安全风险评估工作仍处于起步阶段,面临着评估触发条件不明确的“0号困境”。
部分组织将同地区、同行业的组织遭遇数据安全事件或受到监管部门处罚作为自身开展风险评估的触发条件:通过将这些公开的事件或处罚信息内化形成风险信息检查表单,对业务部门逐个开展数据安全风险排查专项工作。然而,此类专项排查工作投入高、收效低:不同的组织对数据安全风险的承受能力与管理需求存在较大的差异,公开的信息披露有限且存在一定的滞后性,导致组织难以有规划地开展数据安全风险评估工作,评估内容参考性较低,对组织的风险启示性不足。
解决思路:梳理适用情形
针对这一问题,组织或评估机构可以参考国家标准《数据安全风险评估方法(征求意见稿)》的“5.4 评估适用情形”。评估适用情形列出了数据处理者开展数据安全风险评估的一些具体适用情形。这些情形一是引述了国家法律法规中有关开展风险评估的要求与场景(例如:数据处理者在重要数据共享、交易、委托处理之前),在明确数据安全风险评估活动开展的必要性的同时,也提供了评估活动开展的法规依据;二是总结了组织常见的高风险数据处理活动(例如:基于不同业务目的的数据汇聚融合),为组织或评估机构提供了更为明确、直接的工作指引与建议;三是回应了如何持续开展评估的关切,已开展过风险评估的数据和数据处理活动一旦发生重大变更或变化,组织或评估机构应重新实施风险评估,将风险评估融入组织的数据安全运营机制。实务操作上,组织或评估机构可通过持续梳理数据安全风险评估的适用情形,从评估要求的来源、内容等角度入手,分析、判断自身适宜开展评估活动的触发条件、实施时机以及具体评估项的必要性,推动数据安全风险评估工作的常态化开展。
二、如何制定评估工作目标
数据处理者开展数据安全风险评估工作的主要目标可以被分为三层:一是落实监管要求,满足国家法律法规关于开展风险评估的要求;二是摸底数据现状,摸清自身数据和数据处理活动基本情况;三是提升安全能力,检查重要的数据处理活动中是否存在管理、技术风险隐患,推动完善数据安全保护措施。三层目标共同促进数据处理者履行法定义务、建立健全数据安全制度、排查解决漏洞隐患,使数据处于有效保护和合法利用、持续安全的状态。
然而,大量组织未能正确、全面地认识数据安全风险评估的价值与目标:多数组织将第一层目标作为开展风险评估或其他风险治理工作的唯一目标——这导致一旦缺少了国家法规或监管部门的强制性要求,这些组织开展数据安全风险评估工作的意愿与动力也会随之丧失。
此外,由于大量组织前期未能全面掌握业务、数据和数据处理活动的特点以及潜在的漏洞隐患,其制定的数据安全风险管理策略无法反映组织的风险管理需求与准则,这也导致组织即使开展了数据安全风险评估工作,也无法基于评估结果准确地衡量风险问题整改措施的投入产出比、实施优先级,甚至产生内部多方对风险评估结果难以达成共识、风险问题整改推进困难等问题,长远来看,不利于组织数据安全风险的防范与治理。
解决思路:建立风险准则
针对这一问题,组织可以参考数据安全推进计划发布的《数据安全治理实践指南3.0》(以下简称《实践指南3.0》),开展数据安全风险评估及治理专项,通过系统化的数据安全风险治理,建立组织的数据安全风险准则。
数据安全风险治理是以风险为中心的方法论,提炼了组织管理数据安全风险时需要重点关注的五大环节,即:风险准则建立、风险要素识别、风险评估分析、风险处置解决、风险治理改进。其中,风险准则建立是指通过分析组织数据安全风险需求,识别组织的关键业务、数据和数据处理活动,形成风险治理准则,帮助组织将注意力与资源集中在那些超出自身承受能力的数据安全风险,在明确了风险治理重点对象的同时,也为风险评估、整改等具体活动提供了判断与执行标准。
实务操作上,组织一是通过分析风险需求,具体任务包括收集、整理自身适用的数据安全、隐私保护法律法规,识别组织的关键业务、数据和数据处理活动,明确数据安全风险治理的范围与重点对象;二是创建数据安全风险治理愿景、使命,这一步需要与组织高层人员进行沟通、协商,在获得其批准与支持之后,形成基本的风险准则,明确组织的风险管理偏好;三是制定数据安全风险治理政策,这一步需要与内部相关方(例如:人力资源、法务、安全、营销、IT团队)进行商议,在充分了解相关方的业务与合规需求之后,制定风险管理政策,为后续风险评估以及其他风险治理相关的工作提供实施方针、标准。
此外,针对组织或内部相关方无法正确理解风险评估的价值与目标这一问题,组织还可以通过工作动员会、研讨会、培训讲座等方式,宣贯组织的风险治理政策,解读评估标准,讨论评估方案,加强业务部门对数据安全风险评估及其目标、价值的认知与理解,提升内部相关方对风险评估工作的参与程度,持续强化各方在数据安全风险评估以及治理工作的协同能力。
三、如何规划评估实施范围
组织数据安全风险的边界持续扩展:传统的安全防护通常采用边界防护策略保障静态数据的安全。然而,一方面,组织的业务活动必然伴随着数据的流动,而数据广泛存在于数据中心、云端、终端等位置,数据资源暴露面的扩大意味着其面临的威胁也成倍增加;另一方面,组织数据在多个业务、数据处理活动中与大量设备、人员产生交互,异常的行为隐匿于海量的数据访问行为中,不仅变得更加隐蔽、难以识别,也无形中扩大了数据安全风险可波及的范围。
因此,组织如何在日益复杂的业务及数据处理活动中,规划数据安全风险评估的范围,在既定的评估时间、范围内识别出组织最为关注的数据安全风险,是广大数据处理者、评估机构在筹备评估工作过程中需要重点思考的问题。
解决思路:识别重点对象
为了避免风险边界过大导致的评估“失焦”问题,提高数据安全风险评估的投入产出比,针对这一问题,组织可以参考《网络数据安全风险评估实施指引》,在规划评估范围时,首先明确评估工作中的重点评估对象。
实务操作上,组织可以参考数据分类分级的成果,将个人信息、重要数据、核心数据以及这些数据的处理活动作为重点评估对象,并抽样选取一般数据及其数据处理活动,一并纳入本次风险评估的范围,在确保识别出重点评估对象面临的风险的同时,也保障了评估的全面性。由于一般数据涵盖范围较广,数据处理者可结合组织自身安全需求,对一般数据进行细化分级,本报告将一般数据从低到高分为1级、2级、3级。
如果组织尚未开展数据分类分级工作,则可以参考信息系统等级保护的相关要求,根据业务、信息系统的重要程度,选取核心业务系统或内部的重要信息系统(例如:大数据平台、人力资源系统、供应链系统)的数据和数据处理活动作为重点评估对象,重点评估其承载的数据和数据处理活动面临的风险。这一解决思路目前已应用于许多组织的数据安全风险评估实践:组织选取某一重要的信息系统作为评估实施的“原点”,将其数据的来源、去向系统作为评估的范围边界,梳理该系统涉及的数据、数据处理活动并绘制数据流向图,识别数据流转过程中的操作人员、操作行为以及操作结果等信息,从而分析潜在的数据安全风险问题。
结语
随着数字化时代的到来,数据已成为企业的核心资产。保障数据安全,防范安全风险是企业创新与发展面临的重要课题。
为了更好地识别数据安全风险,开展数据安全风险评估,推动数据安全风险的处置、监控以及后续改进等工作,建立健全基于风险评估的数据安全风险治理框架建设:中国信息通信研究院云大所数据安全团队深耕数据安全风险领域的理论研究,携手业内积极开展了数据安全风险评估以及治理实践探索。
中国信息通信研究院云大所数据安全团队(简称:云大所数据安全团队)具备丰富的数据安全风险评估以及治理服务经验,先后服务国有六大行、商业银行以及国央企等大型客户,助力客户开展数据安全风险评估,排查客户面临的数据安全风险隐患问题,加强数据安全保障措施,统筹业务发展与数据安全,树立数据安全合规观念,切实防范数据安全风险。
2022年,云大所数据安全团队基于CCSA TC601组织近三十家业内头部企业,开展《数据安全风险治理成熟度评价模型》预研,2023年基于一线服务实践,再次携手业内数十家知名企业以及百余名专家,形成《电信互联网 数据风险治理成熟度评估模型》标准草案和《数据安全风险评估实务:问题剖析与解决思路》研究报告等优质研究成果。
众行者远。未来,云大所数据安全团队将持续探索数据安全风险评估、分析、监测等诸多领域,积极赋能企业客户强化数据安全风险防范与治理,欢迎业内共同致力于数据安全风险相关研究的专家、学者、同仁咨询数据安全风险评估以及治理服务,共话数据安全风险评估实务,携手护航企业数据安全。
联系方式:[email protected] 15645106927
往期回顾
#重磅!《数据安全风险治理成熟度评价模型》发布,征集首批预评估单位
原文始发于微信公众号(数据安全推进计划):揭秘数据安全风险评估③—如何准备风险评估工作?
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论