数据作为新型生产要素,是价值创造的重要源泉。2023年12月,国家数据局等17部门联合印发《“数据要素×”三年行动计划(2024—2026年)》提出到2026年底,数据要素应用广度和深度大幅拓展,数据产业年均增速超过20%。与此同时,与数据产业并驾齐驱的数据安全问题也被提到了史无前例的高度,如何加强数据安全保护、完善数据安全治理已经成为社会各界关注的重点问题。
面对数据安全治理,5848vip威尼斯电子游戏提出数据安全治理三步走的安全防护策略:第一步:分类分级定基础;第二步:风险评估明缺陷;第三步:安全治理建体系。本文主要对数据安全风险评估进行分析,帮助各位了解何为数据安全风险评估以及产生的作用与价值。
评估实施阶段主要内容包括对数据以及数据处理活动进行识别,对数据面临的安全威胁、存在的脆弱性进行识别,对数据安全防护措施进行确认。实施流程具体如下:
数据识别主要分析识别数据分类(含子类)、数据项名称、数据属性与要素(数据来源、数据规模、数据用途、数据存储位置、数据共享情况、数据是否出境等)、数据分级等,并形成数据目录清单。 数据处理活动识别主要围绕数据采集、数据传输、数据存储、数据处理、数据交换、数据销毁等全生命周期,结合组织业务流程、系统功能实现等情况,识别数据处理活动以及个人信息处理活动,并进行记录。 数据安全威胁识别主要包括威胁的来源、主体、种类、动机、频率、时机等。威胁来源包括环境、意外、人为三类,根据威胁来源不同,进一步划分威胁的种类与威胁来源的主体、动机,威胁频率应根据经验和有关的统计数据来进行判断。最终结合威胁的行为能力、威胁发生时机,通过威胁发生的频率给出威胁赋值。 数据安全脆弱性识别主要可从技术和管理两方面进行审视。技术脆弱性包括数据处理活动过程中所涉及的技术性安全问题或隐患。管理脆弱性包括组织数据处理活动过程中,组织管理体系中的责权划分、应急处置、运行维护等管理制度的完备程度与可行程度。最终根据数据安全脆弱性危害程度给出数据安全脆弱性指数赋值。 安全措施可以分为预防性安全措施和保护性安全措施两种。预防性安全措施可以降低威胁利用脆弱性的可能,保护性安全措施可以降低数据安全事件发生后造成的影响。安全措施识别应充分考虑数据对象安全等级所对应的安全需求。 风险分析与评价主要围绕数据、数据处理活动,对已识别的数据安全威胁、脆弱性、安全措施,综合运用数据安全风险分析与评价模型,给出定性与定量相结合的风险分析与评价结果,并明确风险接受程度以及风险处置措施。
作为数据安全治理“三步走”战略中承上启下的重要一环,数据安全风险评估服务用于识别、评估和管理组织或企业面临的数据安全风险,可以确定潜在威胁和弱点,并提供基于风险的决策依据,以保护信息资产免受损害,有着十分重要的意义:
■ 提供全面的风险认知:通过评估,组织可以全面了解其信息资产所面临的威胁和风险,从而制定相应的防护措施; ■ 优化资源分配:评估结果可以帮助组织更好地分配资源,将有限的安全预算用于最需要的领域,提高整体安全性能; ■ 合规要求满足:许多行业和法规对数据安全有明确的要求,通过评估,组织可以确保其符合相关合规标准。
5848vip威尼斯电子游戏已实施多家数据安全风险评估案例,涉及政务、教育、医疗卫生等多个行业。以某政数局项目为例,5848vip威尼斯电子游戏为其梳理了数据资产,对数据台账进行摸底;进一步分析确定该单位政务数据共享交换平台数据安全体系建设存在的安全隐患,掌握目前面临的风险状况,为下一步开展数据安全治理体系建设提供依据。
对该政数局进行数据安全风险评估,推动了其数据安全管理体系的落实,形成数据安全管理运作和持续提升机制,确保了数据安全水平的持续提高。
