★
NOUVELLES
★
Le 18 avril 2023, le Secrétariat du Comité technique national de normalisation de la sécurité de l'information a publié les « Lignes directrices relatives aux pratiques standard de cybersécurité – Lignes directrices de mise en œuvre de l'évaluation des risques liés à la sécurité des données réseau (projet pour commentaires) » (ci-après dénommées les « Lignes directrices de mise en œuvre »), face à la société Ouvert aux commentaires. Les commentaires sont ouverts jusqu’au 2 mai 2023.
Les "Directives de mise en œuvre" fournissent clairement les idées et les méthodes d'évaluation des risques liés à la sécurité des données réseau ainsi que les étapes spécifiques d'évaluation des risques liés à la sécurité des données réseau et les questions d'évaluation. Elles conviennent aux sous-traitants pour qu'ils effectuent eux-mêmes des évaluations de sécurité ou pour des inspections et des évaluations organisées. par les autorités compétentes concernées. Les « Lignes directrices de pratique » se composent du texte principal et de 2 annexes :
Le texte principal est divisé en champ d'application, définitions de termes, aperçu de l'évaluation des risques, préparation de l'évaluation, recherche d'informations, évaluation des risques, analyse complète et résumé de l'évaluation ;
L'annexe est divisée en exemples de risques pour la sécurité des données et en modèles de rapports d'évaluation.
Cet article résume désormais les points clés des « Lignes directrices de mise en œuvre » comme suit :
- Portée et définition de l'application
L'article 2.1 des « Lignes directrices de mise en œuvre » définit les « données de réseau » comme « diverses données électroniques collectées, stockées, transmises, traitées et générées via Internet ». La définition ci-dessus est fondamentalement cohérente avec la définition des données de réseau figurant à l'article 73 du « Règlement sur la gestion de la sécurité des données de réseau (projet pour commentaires) » comme « tout enregistrement d'informations sous forme électronique ».
Il convient de noter que les « données » mentionnées dans la « Loi sur la sécurité des données », l'une des lois supérieures des présentes « Lignes directrices d'application », comprennent, outre les données électroniques mentionnées ci-dessus, également des données non électroniques. Par conséquent, bien que les « Directives de mise en œuvre » fassent référence à plusieurs reprises aux « données de réseau » comme à des « données » dans les textes ultérieurs, les lecteurs doivent néanmoins faire attention à distinguer leur dénotation.
- Idées d’évaluation des risques
Attitude de base : l'évaluation des risques liés à la sécurité des données du réseau se concentre sur la prévention, la découverte proactive et la prévention active, et effectue des évaluations des risques sur la protection de la sécurité des données et les activités de traitement des données des sous-traitants ;
Objectifs attendus : Comprendre l'état général de la sécurité des données, découvrir les risques liés à la sécurité des données, proposer des mesures de gestion de la sécurité des données et des mesures techniques de protection, et améliorer la capacité de la sécurité des données à prévenir les attaques, les dommages, le vol, les fuites et les abus ;
Objets d'analyse : problèmes de sécurité des données et risques potentiels pouvant affecter la sécurité nationale, les intérêts publics ou les droits et intérêts légitimes des industries, des organisations et des individus ;
Résultats de sortie : liste des problèmes liés aux risques, rapport d'évaluation des risques.
L'idée d'évaluation des risques liés à la sécurité des données réseau est présentée dans la figure 1.
3. Contenu de l'évaluation des risques
Les « Lignes directrices de mise en œuvre » précisent que l'évaluation des risques liés à la sécurité des données sur les réseaux doit principalement se concentrer sur la gestion de la sécurité des données, la sécurité des activités de traitement des données, la technologie de sécurité des données, la protection des informations personnelles et d'autres aspects. Le cadre spécifique du contenu de l’évaluation est présenté dans la figure 2 ci-dessous.
4. Processus d'évaluation des risques
Les « Lignes directrices de mise en œuvre » clarifient le processus global, les travaux spécifiques et les principaux résultats de l'évaluation des risques liés à la sécurité des données sur les réseaux. Le développement de l'évaluation des risques comprend principalement cinq étapes : la préparation de l'évaluation, la recherche d'informations, l'évaluation des risques, l'analyse complète et le résumé de l'évaluation, comme le montre la figure 3.
Les autorités de régulation compétentes organisent des inspections et des évaluations de la sécurité des données
Lorsque les services concernés effectuent des inspections et des évaluations, ils peuvent se référer aux « Directives de mise en œuvre » pour effectuer des inspections. Le processus comprend principalement trois étapes : la préparation de l'évaluation, la mise en œuvre de l'évaluation, ainsi que l'analyse et le résumé. Les étapes spécifiques de mise en œuvre sont présentées dans la figure 5.
