首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

咨询服务 | 企业为什么要开展数据安全风险评估?怎么开展?

咨询服务上篇文章《咨询服务 | 数据安全评估、风险评估、合规评估……概念如何界定?》,我们从组织形式、触发场景、开展阶段、评估结论几个维度,介绍了数据安全评估的几种类型。下面,我们将聚焦数据安全风险评估,对该服务的含义、必要性、评估依据和实施方法进行介绍。

什么是数据安全风险评估?

数据安全风险评估是以主动发现潜在的安全风险为目标,基于合规要求和行业优秀实践,运用科学、自动化的方法和手段,识别分析组织数据资产以及在采集、存储、传输、使用、加工、处理、销毁等相关处理活动中面临的风险,最终输出风险等级判断和整改意见的服务。相比数据出境安全评估、个人信息安全影响评估(PIA),数据安全风险评估是日常性、连续性的,评估对象范围更灵活,既可以包含整个数据处理者和处理场景,也可聚焦具体业务场景和数据处理系统。

为什么要开展数据安全风险评估?

数字经济背景下,数据总量爆炸式增长,数据价值凸显、流通场景复杂多样,数据安全风险日益严峻;同时,数据成国家基础战略性资源,数据安全合规体系逐步完善,数据安全监管趋严。各类企业面临满足安全要求和合规要求的双向风险。数据安全风险评估可帮助企业发现数据安全潜在风险、识别数据安全合规差距,并以实现数据安全管理和技术手段有效联动为出发点,提出更有针对性的数据安全工作落地方案

开展数据安全风险评估有何依据?

当前开展数据安全风险评估可参考依据包括《信息安全技术 大数据安全管理指南》《信息安全技术 信息安全风险评估方法》《网络安全标准实践指南——网络数据安全风险评估实施指引》等通用标准,以及《工业领域数据安全风险评估实施指南(征求意见稿)》《电信和互联网数据安全风险评估实施方法》《互联网新技术新业务安全评估要求 大数据技术应用与服务》等行业标准。综合分析来看,指导标准以确定风险要素、识别风险隐患、形成风险评估报告为整体路径,围绕数据(本身存在脆弱性)、数据处理活动(过程中存在管理或技术脆弱性)、数据安全措施(降低脆弱性被利用的可能性)三大要素展开评估,最终判断风险发生可能性和风险发生后的影响,得出评估结论。

如何开展数据安全风险评估

数据安全风险评估实施工作包括评估准备、信息调研、风险识别、综合分析、评估总结五个环节。评估准备阶段,通过确定评估目标、明确评估范围、组建评估团队等前期准备工作,制定数据安全现状调研表和整体评估方案。信息调研阶段,对数据资产、数据处理者、数据处理活动、业务和信息系统、安全防护措施展开调研,输出数据资产清单、数据处理者基本情况、数据处理活动清单、业务信息系统清单、数据安全措施使用情况等一系列调研结果。风险识别阶段,基于特定的风险评估清单,采用文档查阅、安全核查、人员访谈、技术检测等手段,从管理、技术、应用等方面开展风险识别,形成识别结果。综合分析阶段,基于识别结果,整体考虑数据价值、风险隐患严重程度、安全措施有效性和完备性等因素后,给出存在的主要问题、数据安全风险情况和整改建议。评估总结阶段,对项目各阶段交付物内容总结、分析,形成《数据安全风险评估报告》和《数据安全下一步建设方案》。

在实施过程中,确定数据安全风险评估范围和深度,根据实际情况完善风险评估模板,形成适用于具体行业、具体企业的风险评估项和风险分析策略至关重要。对企业的数据安全管理能力进行整体评估,针对关键系统、重要场景、高敏感数据的技术防护能力进行专项评估,以可能引发的安全事件为判定视角,以细粒度完善数据安全管理流程、聚焦性补齐数据安全技术措施为整改原则,有助于提高数据安全风险评估工作的效率和效果。

咨询服务下篇文章,我们将为大家呈现亿赛通数据安全风险评估方案,并分享从实际项目中获得的经验,敬请期待~

  • 发表于:
  • 原文链接https://page.om.qq.com/page/OatRns80_bv67avdDfqrqQnA0
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

扫码

添加站长 进交流群

领取专属 10元无门槛券

私享最新 技术干货

扫码加入开发者社群
领券