首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

咨询服务 | 数据安全评估、风险评估、合规评估……概念如何界定?

2021年起,数据安全进入“强监管”时代。重要数据泄露,个人信息收集、处理不当等事件一旦发生,组织将面临监管重罚。在此背景下,各类组织用户对数据安全评估的需求愈发旺盛。那么什么是数据安全评估?数据安全风险评估、数据安全合规评估、个人信息保护影响评估等工作又有什么区别和联系呢?

目前来看,“数据安全评估”尚无统一定义,一般提到这个词汇,是对于评估服务的一个泛指,依据不同的维度,其可以细分为多种类型。

依据评估结论展现形式的不同,数据安全评估可以分为“合规评估”和“风险评估”两大类。合规评估以证明组织数据安全工作符合合规性要求为目标,开展评估工作时,评估项往往基于国家和行业主管机构发布的合规要求而拟定,并在一定程度上达成了共识(比如网络安全评估中的等保评估)。评估结论是一个打分结果,分为符合、不符合,或优、良、中、差等。风险评估以主动发现潜在的安全风险为目标,在评估工作中需要基于较为复杂的判断方法以及专家的主观经验,评估结论不仅会呈现对风险等级的判断,并会附带一系列整改意见。我国《数据安全法》中提到的,“重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告”中的要求,就属于此类。

依据组织形式的不同,数据安全评估可分为主管部门组织的评估和自行开展的评估两大类。主管部门在国家政策的引导下,以合规检查为重点,依据既定的检查项,在监管领域履行数据安全检查职责,视为主管部门组织的评估。目前金融、电信、医疗等重点行业的监管部门,都在落实和深化数据安全检查工作。自行开展的评估即数据处理者自行组织、开展的评估工作,可依托组织内部的有关部门(比如数据管理部、合规管理部)开展,也可委托第三方测评机构来进行专业评估。值得一提的是,2023年4月,国家编制出台了《信息安全技术 数据安全评估机构能力要求(征求意见稿)》,以进一步规范第三方数据安全评估机构的专业能力。

依据触发评估的场景的不同,数据安全评估可分为数据出境安全评估、个人信息保护影响评估、APP个人信息安全测评等。数据出境安全评估是在《网络安全法》《数据安全法》《个人信息保护法》的要求下,因业务需要,向境外提供在境内运营中收集和产生的个人信息和重要数据的关键信息基础设施运营者,以及向境外提供重要数据或规定数量个人信息的其它数据处理者,须在出境前开展的评估活动。数据出境安全评估包括自评估和主管部门(网信办统筹)评估两个阶段,目前已存在一套完整的标准和流程,《数据出境安全评估办法》《数据出境安全评估申报指南》等文件对此提供了具体指导。个人信息保护影响评估(PIA),是依据《个人信息保护法》第五十五条要求,在处理敏感个人信息、利用个人信息进行自动化决策、委托处理个人信息、向境外提供个人信息等可能对个人权益有重大影响的个人信息处理活动发生前须进行的评估。目前开展个人信息保护影响评估可依据《信息安全技术 个人信息安全影响评估指南》等参考标准来开展。

依据开展阶段的不同,数据安全评估可分为事前评估、事中评估和事后评估三大类。事前评估是组织类用户依据合规要求或实际需要,在特定数据出境、加工、共享等情形发生前开展的安全评估工作。具体工作包括理清数据资产、评估平台或系统的数据安全风险,确保数据活动符合法律法规、标准的规定,查验现有数据安全防护的管理和技术手段是否完善等。事中评估是为保障信息系统和数字化工作的稳定有序进行而开展的数据安全状态监控工作。具体工作包括实时感知系统或平台运行时的风险行为,确保各项管理流程、技术措施在数据活动环节的有效,数据泄露、滥用等风险行为的监测预警等。事后评估是当安全事件发生后,对事件发生路径进行溯源分析,以找出事件发生原因、制定整改方案为目标的一系列活动。依据国家的合规文件精神,企业应开展集事前、事中、事后为一体的持续评估工作,尤其是重要数据和大量个人信息处理者,应打造体系化的数据安全管控能力,以保障数据流通各环节的安全闭环。

除上面提到的评估分类以外,数据安全评估还包括以评估组织数据安全整体能力为目标的数据安全能力评估,如数据安全管理能力成熟度评估(DSMM)、数据安全治理能力评估(DSG),以评估数据安全厂商技术和产品能力为目标的数据安全技术产品测评等。各类评估工作将彼此配合、互相补充,在数据安全“强监管”的背景下,成为组织用户落实数据安全监管要求,提升数据安全管控能力,赋能数据健康有序流通的基础性、关键性工作。其中,“数据安全风险评估”通过“以数据为中心”,对网络数据安全保护和数据处理活动情况中存在的风险源进行识别和分析,是助力分类分级策略与技术工具实现统一联动,深化落实数据安全治理工作的关键环节和重要抓手。

咨询服务下篇文章,我们将聚焦“数据安全风险评估”这一具体服务项,详细讲解该服务的实施路径,敬请期待。

  • 发表于:
  • 原文链接https://page.om.qq.com/page/OsqUu7Fr-QoRreACTLV5BIjw0
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

相关快讯

扫码

添加站长 进交流群

领取专属 10元无门槛券

私享最新 技术干货

扫码加入开发者社群
领券