本白皮书提出了基于数据与数据处理活动的数据安全治理框架,包括数据资产梳理、数据安全风险评估、数据安全风险处置三部分内容。
本数据安全治理框架内容,着重于从企业数据资产本身出发,基于企业生产经营活动中所经历的各阶段数据处理活动的不同内容,紧贴法律法规、行业规范等要求,解决企业合法合规经营和生产活动风险安全可控两方面的需求。基于数据与数据处理活动的数据安全治理框架由以下三个方面内容构 成:
1)数据资产梳理,提供了企业数据资产盘点与数据分类分级相关工作的实践指南。
2)数据安全风险评估,基于企业数据资产梳理工作的内容,提供了企业在不同数据处理活动中,通过数据安全风险评估方法提供实施落地指导,落实数据安全风险评估工作。
3)数据安全风险处置,基于数据安全风险评估结果,依据不同的发展阶段和生产经营中解决问题的优先级,参照国家法律法规、行业规范等要求,通过数据安全管理、数据本体保护、数据安全管控、数据风险监测等手段,提高企业履行保护管理责任和保障持续安全状态能力。
参照《中华人民共和国数据安全法》中的定义,数据安全风险评估的核心内容,是基于数据资产,在数据处理活动中,识别所面临的风险及其应对措施。其中数据处理活动,指执行数据处理的企业业务活动。数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。本文中所涉及的数据安全风险泛指广义的风险,既包括合法合规性风险,又包括技术安全性风险。
信息安全风险评估方法,是针对信息系统生命周期不同阶段的实施要点和工作形式的总结,包括:评估准备、风险识别、风险分析、风险评价四部分内容。数据安全风险评估方法在参照原有信息安全风险评估方法基础上,更关注数据资产,以及在相关数据处理活动中所面临的风险情况。
通过对数据资产和数据处理活动中要素的梳理,结合已有合规措施,在充分识别法律法规对不同数据类型的要求和处理活动中合规点要求的基础上,完成数据安全合法合规性分析。通过对数据资产和数据处理活动中要素的梳理,结合已有技术安全措施,参考数据资产价值、处理活动脆弱性和威胁识别等要素,完成技术脆弱性和威胁分析,形成数据安全事件分析。综合数据安全合法合规分析和数据安全事件分析,最终形成数据安全风险值。
评估准备:当前企业与组织实施风险评估工作,更多是从国家法律法规及行业监管、业务需求评估等相关要求出发,从战略层面考量风险评估结果对企业相关的影响。数据安全风险评估准备的内容,主要包括:评估对象、评估范围、评估边界、评估团队组建、评估依据、评估准则、制定评估方案并获得管理层支持。
风险识别:主要包括资产价值识别、数据处理活动要素识别、合法合规性识别、威胁识别、脆弱性识别以及已有安全措施识别。
风险分析:完成了资产价值识别、处理活动要素识别、合法合规性识别、已有安全措施识别、威胁识别和脆弱性识别后,通过采取适当的方法与工具,可得出企业所面临的合法合规性风险、数据安全事件发生的可能性以及数据安全事件发生对组织的影响度,从而得到数据安全风险值。
风险评价:企业在执行完数据安全风险分析后,通过风险值计算方法,会得到风险值的分布状况,对风险等级进行划分,一般会划分为:高、中、低三个等级。依据风险评价中风险值的等级,明确风险评估结果内容。
企业通过数据安全风险评估,最终得到企业风险评估结果。依据风险评价等级结合企业面临的生产活动实际情况,制定后续的数据安全风险管控策略,执行数据安全风险处置。