데이터 보안은 빅 데이터 개발의 초석입니다. "14차 5개년 계획"은 빅 데이터 환경에 적용할 수 있는 데이터 분류 및 분류 보호 시스템을 개선하고, 데이터 보안 평가를 강화하고, 국경 간 데이터의 안전하고 질서 있는 흐름을 촉진할 것을 제안합니다. "중화인민공화국 데이터 보안법"(이하 "데이터 보안법")은 국가가 중앙 집중식, 통일적, 효율적이고 권위 있는 데이터 보안 위험 평가, 보고, 정보 공유, 모니터링 및 조기 경고 메커니즘, 중요한 데이터 프로세서는 정기적으로 위험 평가를 수행하고 관련 관할 기관에 위험 평가 보고서를 제출해야 합니다.
현재 국가는 데이터 보안 위험 평가에 대한 관련 표준이 없으며 데이터 보안 위험 평가는 데이터 보안 분야의 기본 프로젝트이자 데이터 거버넌스의 핵심 임무입니다.그 목적은 데이터 보안 위험 상태를 적시에 평가하는 것입니다. 데이터 보안 리스크 모니터링 및 대응, 데이터 보호 및 활용 기반 마련 빅 데이터 기술의 광범위한 적용으로 위험을 효과적으로 식별하고 처리하는 것이 디지털 경제 발전을 위한 유일한 방법이 될 것입니다. 따라서 본 논문에서는 데이터 자체와 데이터가 위치한 데이터 처리 활동을 중심으로 비즈니스 기반의 전과정 위험 평가 방법을 수립하고자 시도하고, 평가 원칙, 평가 모델, 평가 시나리오, 및 평가 제어 포인트, 데이터 보안 위험 평가의 실제 경로를 탐색합니다. 1. 데이터 보안 위험의 정의
"데이터 보안법" 제3조 2항 및 3항은 다음과 같이 규정하고 있습니다: 데이터 처리에는 데이터 수집, 저장, 사용, 처리, 전송, 제공, 공개 등이 포함됩니다. 효과적인 보호 및 법적 사용 상태에 있으며 지속적인 보안 상태를 보장할 수 있는 능력이 있습니다. 2018년 2월 ISO는 "ISO 31000:2018(en) 위험 관리 지침"을 발표했습니다. 여기서 "위험"은 "목표에 대한 불확실성의 영향"으로 정의됩니다. 즉, 모든 유형과 규모의 조직이 내부 및 외부 요인에 직면하고 조직이 적시에 목표를 달성할지 여부를 결정하지 못하게 하는 영향. 이러한 불확실성이 조직 목표에 미치는 영향은 "위험"입니다.
이를 바탕으로 이 문서에서는 "데이터 보안 위험"의 개념을 다음과 같이 정의합니다. 자연적 요인, 인적 요인, 기술적 허점으로 인한 데이터 수집, 저장, 사용, 처리, 전송, 제공, 공개 및 기타 데이터 처리 활동을 의미합니다. 및 관리 결함으로 인해 무결성, 기밀성 및 유용성이 파괴되어 공개, 도난, 변조, 손상, 손실 및 불법 사용이 발생하여 국가 안보, 공공 이익 또는 조직의 정당한 권익에 영향을 미치고 개인. 2021년 12월 22일, 산업통상자원부는 "산업 및 정보기술 분야의 데이터 보안 위험 정보 제출 및 공유에 관한 지침(심판)(논평 초안)"을 발표하여 데이터 보안이 위험에는 데이터 유출, 데이터 변조, 데이터 남용, 불법 전송, 불법 액세스, 비정상적인 트래픽 등이 포함되지만 이에 국한되지 않습니다.
2. 데이터 보안 위험 평가에 관한 연구
(1) 평가원칙
관련 국제 및 국내 표준 및 데이터 보안 연구 결과에 따라 데이터 보안 위험 평가 관계 모델을 구축합니다. 주로 데이터, 데이터 응용 시나리오, 데이터 보안 위협, 데이터 보안 취약성 및 보안 조치의 5가지 평가 요소를 중심으로 진행됩니다.
데이터 보안 위험 평가의 핵심은 데이터이며 다양한 애플리케이션 시나리오에서의 데이터 흐름입니다. 취약성은 데이터 자체의 속성입니다.응용 시나리오에서 데이터 처리 활동의 다양한 주체에 의해 다양한 데이터 동작이 형성되며 관리 및 기술 취약성이 있을 수 있으며 이는 데이터 보안 위험을 초래합니다. 보안 조치를 구현하면 데이터 취약성이 악용되는 어려움을 줄이고 위협에 저항하여 데이터 보호를 달성할 수 있습니다.
(2) 평가 모델
데이터 보안 위험 평가와 관련된 다양한 작업을 구현하기 위해서는 그림 1과 같이 데이터 위험 평가에 대한 완전하고 체계적이며 실행 가능하고 적용 가능한 평가 모델을 수립해야 합니다.
