在数字化时代,各行业企业机构目前正在从 “信息化” 转型到 “数字化” 中,数据成为生产要素推动企业业务发展变革,数据的重要性受到前所未有的重视。与此同时,数据所面临的安全风险也急剧增加,如何精准识别基于数据自身的风险,成为数据安全治理与防护的前提条件。
数据安全评估是指对重要数据、个人信息等数据资产的价值与权益、合规性、威胁、脆弱性、防护等进行分析和判断,以评估数据安全事件发生的概率和可能造成的损失,并采取相应的措施。数据安全评估的对象包括但不限于重要数据、核心数据的数据处理活动过程中涉及的目的和场景、管理体系、人员能力、技术工具、风险影响等要素。
对于企业,有助于摸清数据资产情况、基础环境情况并对数据资产进行盘点。开展系统性、综合性、全面性的安全分析,发现数据资产的威胁性和脆弱性,从而更加准确地识别安全风险。针对安全风险提出对应解决方案,并结合组织实际情况制定可执行的安全策略与安全目标,实现数据资产在安全的环境下进行有效利用。
对于行业,通过安全评估,发现共性数据安全风险问题,帮助主管部门落实数据安全法要求,实现数据安全风险监测,提升行业数据安全保障水平,保障行业的发展战略、关键技术等重要数据不受到非法侵害,有助于推动数据交易、数据交换共享等应用场景的落地,强化数据资产要素化,促进数据流动,推动数字化转型升级。
对于国家,以评促建、以评促改、以评促管、评建结合,通过数据安全评估,推动数据安全法的落实,压实数据安全保护主体责任,切实履行数据安全保护义务,助力维护国家安全,保障社会秩序和公众利益,有效推动数字经济安全健康发展。
数据处理者应按照国家法律法规和行业监管部门有关规定以及相关评估标准规范,开展数据安全评估。
数据安全风险评估重点评估以下内容:
1. 数据安全组织架构、岗位配备和职责落实情况;
2. 数据安全管理制度、流程策略的制定和落实情况;
3. 相关人员的数据安全意识与能力情况;
4. 数据处理环境的安全情况;
5. 数据安全技术、产品的应用情况;
6. 数据提供方、接收方的安全保护情况;
7. 其他可能影响数据安全的要素。
1. 数据资产梳理
依据相关法律及行业规定,提出安全控制项,通过访谈和资料索取的形式梳理组织系统、业务及数据信息,形成重要系统资产清单。
2. 数据分类分级
根据重要资产清单、数据测评表对数据安全和基础设施安全进行检测调研,结合行业标准划分数据级别,并定位敏感数据,达到分级管控的目的。
3. 数据安全风险评估
依据行业规范针对业务场景风险进行安全评估,形成数据安全风险评估报告。
4. 数据安全治理
评估现有安全措施的有效性,针对风险等级进行相应的整改提议,指导落实数据安全管理和技术优化,形成持续改进的数据安全运营模式。