データセキュリティ評価とは、重要なデータ、個人情報、その他のデータ資産の価値、権利、利益、コンプライアンス、脅威、脆弱性、保護などを分析および判断し、データセキュリティ事故や損失の可能性を評価することを指します。適切な対策と提案を行ってください。
データセキュリティ評価の重要性と背景
1. 国内法令に基づく遵守要件
現在、データセキュリティ法、個人情報保護法、ネットワークデータセキュリティ管理規則(意見募集草案)、データ輸出評価措置などの文書はすべて、データセキュリティ評価の明確な要件を定めています。データセキュリティ法には、「重要データの処理者は、規則に従ってデータ処理活動のリスク評価を定期的に実施し、リスク評価報告書を関連所轄官庁に提出しなければならない」と記載されています。個人情報保護法には、「個人情報が国家サイバースペース管理局が指定する量に達した主要な情報インフラ運営者および個人情報処理業者は、中華人民共和国領域内で収集および生成された個人情報を保管しなければならない」と記載されています。海外の場合、国家ネットワーク情報部門が主催するセキュリティ評価に合格しなければならないが、法律、行政法規、国家ネットワーク情報部門の規定がセキュリティ評価を要求しない場合は、その規定に従うものとする。 , 個人情報処理者個人情報保護の影響評価を事前に実施し、その処理状況を記録する必要があり、(1) 機密性の高い個人情報の処理、(2) 自動化された意思決定のための個人情報の使用、…」。ネットワークデータセキュリティ管理規則(意見募集案)には、「第 32 条 重要なデータを処理する、または海外に公開するデータ処理者は、自らデータセキュリティ評価を実施するか、データセキュリティサービス機関に委託して年次データセキュリティ評価を実施しなければならない」と記載されています。毎年 1 月 31 日までに、前年のデータ セキュリティ評価報告書を市レベルのネットワーク情報部門に提出してください。」
2. 深刻化・多様化するデータセキュリティリスク分析ニーズ
IBMとポネモン研究所が2022年に共同発表した世界的な調査報告書では、データ侵害に遭った550の組織のさまざまなコストと影響要因を分析した。レポートによると、世界的なデータ侵害の規模と平均コストは、2022 年に過去最高に達すると予想されています。データ侵害イベントの平均コストは 435 万米ドルに達し、2021 年と比べて 2.6% 増加し、12.7 ドル増加すると予想されています。 2020 年以降は %。データセキュリティリスクの多様性の観点から、データ収集側:2020年に滴滴出行は個人情報を違法に収集・使用し、80億元の罰金を科せられた。データ ストレージ側: 2021 年には、GetHealth サブネット データベースの場所のパスワード保護により、6,100 万件を超える健康データの漏洩は発生しませんでした。データ送信側:2022年、アクセリオンのファイル送信システムがハッカーの攻撃を受け、多くの企業のデータ漏洩が発生しました。データの使用と処理: 2023 年、北米日産モーターのサードパーティ サービス プロバイダーが顧客データを使用してソフトウェアを開発した際にデータ侵害が発生し、約 18,000 人の顧客が影響を受けました。データ破壊の側面: 2018 年、Lianjia データベース削除事件により、Lianjia ビジネスのほとんどが麻痺しました。
3. 今後のグローバル化の「デジタルダブルサイクル」における事前計画の必要性
RCEP、CPTPP、DEPA、中国・EU貿易投資協定はすべて、デジタル貿易を伴う地域的または二国間自由貿易協定であり、データ共有、データフロー、デジタル経済協力について異なる要件を持っていますが、それらはすべてデジタル貿易の促進を反映しています。デジタル貿易 開発とルール策定に対する意欲と方向性。
(1) RCEP には、国境を越えた情報伝達やデータのローカリゼーションなどの問題に関する重要な合意が含まれており、加盟国が電子商取引分野での協力を強化するための制度的保証を提供している。RCEPは、地域経済統合の高度化とデジタル貿易の世界的ルール策定の促進に貢献し、デジタル製品の世界バリューチェーンへの統合を促進し、デジタル貿易の産業チェーン全体の発展を実現する上で極めて重要である。 ;
(2) CPTPP はデータに対してよりオープンであり、データローカリゼーション要件の義務化の禁止、国境を越えたデータフローの制限の禁止、電子商取引への関税賦課の禁止など、デジタル貿易の発展に対する障害を軽減することに尽力している。
(3) DEPA は、デジタル経済の革新と成長を促進し、デジタル技術の応用により多くの機会を提供し、参加国により多くの選択肢を提供することを目的としています。DEPAはデータフロー、データローカライゼーション、人工知能、電子身元認証、電子決済などをカバーしており、協定の実施を監督・促進するデジタル経済協力委員会を設置している。
(4)中国・EU貿易投資協定には主に、国境を越えたデータフローの自由の保証、強制的なデータローカリゼーションの禁止が盛り込まれているが、同時に公共の利益を保護するためにすべての当事者が必要な制限措置を講じることが認められている。電子署名、電子契約、電子本人認証の法的効果を確保し、電子商取引の円滑化を促進する。消費者の権利と個人データのプライバシーを保護し、不正競争やオンライン詐欺を防止します。
データセキュリティマクロシステム分析
データセキュリティ評価は、企業がデータ資産の状況や基本環境を把握し、データ資産の棚卸しを行うのに役立ちます。体系的かつ包括的かつ包括的なセキュリティ分析を実行して、データ資産の脅威と脆弱性を開発し、セキュリティリスクをより正確に特定します。業界向けに、セキュアな環境でのデータ資産の有効活用を実現するために、セキュリティリスクに対応したソリューションを提案し、組織の実態に基づいて実行可能なセキュリティポリシーやセキュリティ目標を策定します。セキュリティ評価を通じて、一般的なデータ セキュリティ リスクの問題が発見され、管轄当局がデータ セキュリティ法の要件を実装してデータ セキュリティ リスクの監視を実現し、業界のデータ セキュリティ保護レベルを向上させ、重要なデータを確実に保護できるように支援されます。業界の発展戦略や主要テクノロジーなどは違法に侵害されておらず、データトランザクション、データ交換と共有などのアプリケーションシナリオの実装を促進し、データ資産の要素化を強化し、データフローを促進し、デジタルトランスフォーメーションを促進するのに役立ちますそしてアップグレード; 国のために。評価を活用して建設を推進する、評価を活用して改革を推進する、評価を活用して管理を推進する、評価と建設を組み合わせる、建設に注力する データセキュリティ評価に合格し、「データセキュリティ法」の施行を促進し、データセキュリティの主な責任をコンパクト化する国家安全保障を維持し、社会秩序と公共の利益を保護し、デジタル経済の安全で健全な発展を効果的に促進するために、データセキュリティ保護の義務を真剣に履行します。
我が国の現行法規制によれば、全体的なデータセキュリティ評価は、データセキュリティリスク評価、個人情報保護セキュリティ影響評価、データ輸出リスク評価の3種類に分類できます。
1. データセキュリティリスク評価
データセキュリティリスク評価は、データセキュリティ法、産業情報技術分野におけるデータセキュリティ管理措置(試行実施)、ネットワークデータセキュリティ管理規則(意見募集草案)などの文書に反映されています。 )。具体的なプロセスを下図に示します。
2. データエクスポートのリスク評価
データ輸出リスク評価は、データセキュリティ法、個人情報保護法、ネットワークデータセキュリティ管理規則(コメント用)、個人情報の国境を越えた処理に関するセキュリティ認証仕様書、およびデータ輸出セキュリティ評価宣言ガイドライン(初版)を反映します。具体的なプロセスを下図に示します。
3. 個人情報保護セキュリティ影響評価
個人情報保護のセキュリティ影響評価は、データセキュリティ法、個人情報保護法、個人情報の海外移転に関する標準契約措置、個人情報セキュリティ規制などの文書に反映されます。具体的なプロセスを下図に示します。
データセキュリティ評価システムの構築
1. データセキュリティの幅の評価
データ セキュリティ評価プロセスでは、まず調査フォームを使用して、担当者へのインタビュー、文書レビュー、システム検査、検出ツールの検出を通じて、評価対象部門のデータ セキュリティ保護状況を理解し、特定します。
そして、法令・規範、技術基準、政策要件等に基づいて形成された測定指標(測定指標は、組織構築測定指標、システムプロセス測定指標、技術ツール測定指標、人材能力測定指標に分けられる)を用いて、セキュリティステータスの結果を分析し、安全性評価レポートを作成する ベンチマーク分析プロセスでは、客観性、独立性、信頼性、完全性、一貫性、慎重さ、明確性、および判断の準備を維持する必要があります。安全性評価報告書を作成する過程では、科学的、体系的、拡張可能、互換性があり、包括的に実践的である必要があります。
データセキュリティの広範な評価には、組織構造、制度的プロセス、技術的能力、人材的能力、個人情報保護、国境を越えたデータ保護などの側面が含まれる必要があります。そして、以下の法令や業界の政策・規範の要求事項に従って、評価マトリックスと評価ポイントを作成します。
技術能力マトリックス - 表の例
2. データセキュリティの正確な評価
データ セキュリティの詳細な評価は、データ資産のライフ サイクルのさまざまな段階における実装ポイントと作業形式の概要であり、評価内容には、資産の特定、脅威の特定、脆弱性の特定、リスク分析、データ セキュリティ評価レポートが含まれます。オリジナルの情報セキュリティ リスク評価方法を参照することに基づいて、データ セキュリティ リスク評価方法では、データ資産と関連するデータ処理活動で直面するリスクにさらに注意を払います。
資産識別では、ビジネス データの完全性、可用性、機密性の保護要件から始めて、情報システムのビジネス プロセスと機能を分析し、CIA の 3 つの特性に一定の影響を与える情報の流れとそのキャリアを識別します。
脅威の特定。セキュリティ上の脅威を生み出す主な要因は、人的要因と環境的要因に分けられます。人的要因には意図的要因と非意図的要因があり、環境要因には抗えない要因や自然界のその他の物理的要因が含まれます。脅威の形態は、機密性、完全性、可用性への損害を引き起こす、不正な開示、改ざん、削除など、情報システムに対する直接的または間接的な攻撃である場合もあれば、偶発的または意図的な出来事である場合もあります。一般に、脅威は常にネットワーク、システム、アプリケーション、またはデータの弱点を悪用し、ターゲットに害を及ぼすことに成功する可能性があります。セキュリティ インシデントとその結果は、脅威を分析するための重要な基盤です。
脆弱性の特定。脆弱性の特定は主に技術と管理の2つの側面から行われます。脆弱性識別テーブルに基づいて、スキャン、構成検証、ポリシー文書分析、セキュリティ監査、現在の組織のビジネス プロセスのネットワーク アーキテクチャ分析、管理システム、セキュリティ能力構築、データ ライフ サイクル、および脆弱性のその他の側面を識別するツールを通じて、脆弱性の深刻度に応じて程度が異なり、グレードが決定されます。
ターゲットオブジェクトの資産の特定、脅威の特定、脆弱性の特定後、適切な方法とツールを使用して、脆弱性を利用した脅威がセキュリティインシデントを引き起こす可能性を判断します。
セキュリティインシデントの影響を受ける資産の価値とその脆弱性の深刻度に基づいて、セキュリティインシデントによって生じる損失が組織に与える影響、すなわちセキュリティリスクを把握できます。