本文节选于数据安全推进计划(DSI)与CCSA TC601联合发布的《数据安全风险评估实务:问题剖析与解决思路》,主要阐述了如何充分应用数据安全风险评估结果以及未来关于风险评估工作的几点建议,为相关数据处理者、服务机构指明发展方向。
一、如何充分应用评估结果
数据安全风险评估的结果能够直接影响组织的风险处置策略、措施,产生大量的人力、物力成本。因此,评估执行人员提供的分析结论可能会受到组织内部相关方的质疑与挑战,这也要求风险评估的结果具备较高的可信度与说服力。然而,风险本身具有不确定性、随机性,评估执行人员难以在当下的评估时点对未来是否会发生该风险进行证明,而相关方可能对风险的真实性、紧迫性缺乏认知,这也使许多组织在完成风险评估工作后陷入了新的困境与僵局。
解决思路:发布安全声明
针对这一问题,组织可以借鉴网络安全风险评估实践,通过将数据安全风险清单与安全声明相结合的方式,向相关方解释评估方给出的评估结论和建议相关方采取某项处置措施的原因,分析处置措施执行后可预期达到的效果——这能够有效提升数据安全风险评估结论的可信度,为相关方判断是否采纳评估结论和处置建议提供了参考,明确评估执行方与风险处置方的责任,最终推动风险评估结果在组织内部的充分应用。
安全声明的价值在于:一方面,评估执行人员向相关方分发评估结果的同时,需要通过安全声明一并发布各评估项的国家法规或标准来源,注明评估过程中所收集的证明材料情况,对不符合项进行特别批注,明确风险问题与处置建议,声明因忽略风险评估结论引发的安全问题由相关方自行承担;另一方面,各相关方需要在获得评估结果后从风险处置的成本、优先级等方面,对风险问题与处置建议进行评估,并声明是否实施风险处置方案。如确认开展风险处置工作,相关方还需要进一步明确处置计划与具体责任人、处置时限,并由组织的监督层人员、评估执行人员跟踪评估处置措施的效果,定期向组织决策层、管理层人员汇报。
二、数据安全风险评估工作建议
组织环境与业务需求、新型攻击威胁持续变化,数据安全风险的边界不断扩大,数据安全风险的评估与治理将成为组织不断探索的重要课题。本报告建议:
1. 建立数据安全风险评估机制
随着国家法律法规和监管部门、行业主管部门要求的不断细化,数据安全风险评估工作也将持续在各行业推进、落地。数据安全风险评估以法律法规遵从性为准则,围绕数据和数据处理活动,重点关注数据安全的管理、技术以及个人信息保护等方面问题,是组织权衡数据价值释放与数据安全保障的“标尺”。因此,组织应建立常态化的数据安全风险评估机制,明确实施数据安全风险评估的场景,将评估的实施频次、实施要求、评价标准等内容固化到内部的管理要求中。
2. 构建数据安全风险治理框架
数据安全风险评估的结果不仅是组织前期数据安全建设水平的验证,也是未来数据安全建设的输入:数据安全风险评估的结果作为组织开展数据安全风险处置、治理改进的依据,也将持续用于完善数据安全风险治理的准则,以推动对更多未知风险的识别、评估。
为了更好地串联数据安全风险识别、评估、处置、监控以及后续改进等工作,推动基于风险评估的数据安全风险治理框架建设:2022年,中国信息通信研究院云大所数据安全团队在CCSA TC601携手近三十家企业,牵头开展了《数据安全风险治理成熟度评价模型》预研。2023年,中国信息通信研究院云大所数据安全团队基于行业服务实践,对内容进行优化,目前形成《电信互联网 数据风险治理成熟度评估模型》标准草案。《电信互联网 数据风险治理成熟度评估模型》首次将组织的数据安全风险治理按照风险治理的阶段分为五大能力域15个能力项,并划分了五级能力等级,提出组织应以风险为核心,构建覆盖风险准则建立、风险要素识别、风险评估分析、风险处置解决、风险治理改进的全面治理框架,从要素识别的全面性、评估分析的准确性、处置解决的有效性等方面持续优化风险治理能力,致力于推动企业事前明确数据安全风险关键要素,事中建立全面的风险治理体系,事后健全风险治理的监控与管理改进,具体见图1。
图1数据风险治理基本框架
3. 完善数据安全风险治理体系
组织识别、评估数据安全风险,依据风险准则制定不同的风险处置策略,并通过持续监控、评价风险的状态,判断是否追加新的处置措施。由此可见,数据安全风险将持续驱动组织完善自身的数据安全治理体系,组织的数据安全建设工作也将从单一的“合规驱动”走向“合规+风险”的双轮驱动。
数据安全风险治理的各个环节与风险准则息息相关,因此,组织应将风险准则的确立作为风险治理的开始——这意味着组织应基于自身发展的需要,充分考虑组织的发展目标以及当前所处的环境、利益相关方诉求等方面,将数据安全风险治理的体系建设渗透进数据安全的组织建设、制度流程、技术工具、人员能力等各个方面,明确数据安全风险治理的准则,并以准则引导组织内部的风险识别、评估与处置机制完善,使数据安全风险治理战略与组织的整体发展与风险管理战略始终保持一致。
结 语
随着数字化时代的到来,数据已成为企业的核心资产。保障数据安全,防范安全风险是企业创新与发展面临的重要课题。
为了更好地识别数据安全风险,开展数据安全风险评估,推动数据安全风险的处置、监控以及后续改进等工作,建立健全基于风险评估的数据安全风险治理框架建设:中国信息通信研究院云大所数据安全团队深耕数据安全风险领域的理论研究,携手业内积极开展了数据安全风险评估以及治理实践探索。
中国信息通信研究院云大所数据安全团队(简称:云大所数据安全团队)具备丰富的数据安全风险评估以及治理服务经验,先后服务国有六大行、商业银行以及国央企等大型客户,助力客户开展数据安全风险评估,排查客户面临的数据安全风险隐患问题,加强数据安全保障措施,统筹业务发展与数据安全,树立数据安全合规观念,切实防范数据安全风险。
2022年,云大所数据安全团队基于CCSA TC601组织近三十家业内头部企业,开展《数据安全风险治理成熟度评价模型》预研,2023年基于一线服务实践,再次携手业内数十家知名企业以及百余名专家,形成《电信互联网 数据风险治理成熟度评估模型》标准草案和《数据安全风险评估实务:问题剖析与解决思路》研究报告等优质研究成果。
众行者远。未来,云大所数据安全团队将持续探索数据安全风险评估、分析、监测等诸多领域,积极赋能企业客户强化数据安全风险防范与治理,欢迎业内共同致力于数据安全风险相关研究的专家、学者、同仁咨询数据安全风险评估以及治理服务,共话数据安全风险评估实务,携手护航企业数据安全。
联系方式:[email protected] 15645106927
中国信通院聚焦数据安全供需双侧热点及重难点问题,从标准编制、报告撰写、评估测试、咨询服务、人员培训等多维度开展工作,提供数据安全服务。
联系人:李老师 13581661287
往期回顾
#重磅!《数据安全风险治理成熟度评价模型》发布,征集首批预评估单位
原文始发于微信公众号(数据安全推进计划):揭秘数据安全风险评估⑤—关于风险评估的几点建议
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论