數(shù)據(jù)作為新型生產(chǎn)要素,是價(jià)值創(chuàng)造的重要源泉。2023年12月,國(guó)家數(shù)據(jù)局等17部門聯(lián)合印發(fā)《“數(shù)據(jù)要素×”三年行動(dòng)計(jì)劃(2024—2026年)》提出到2026年底,數(shù)據(jù)要素應(yīng)用廣度和深度大幅拓展,數(shù)據(jù)產(chǎn)業(yè)年均增速超過20%。與此同時(shí),與數(shù)據(jù)產(chǎn)業(yè)并駕齊驅(qū)的數(shù)據(jù)安全問題也被提到了史無前例的高度,如何加強(qiáng)數(shù)據(jù)安全保護(hù)、完善數(shù)據(jù)安全治理已經(jīng)成為社會(huì)各界關(guān)注的重點(diǎn)問題。
面對(duì)數(shù)據(jù)安全治理,昂楷科技提出數(shù)據(jù)安全治理三步走的安全防護(hù)策略:第一步:分類分級(jí)定基礎(chǔ);第二步:風(fēng)險(xiǎn)評(píng)估明缺陷;第三步:安全治理建體系。本文主要對(duì)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估進(jìn)行分析,幫助各位了解何為數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估以及產(chǎn)生的作用與價(jià)值。
評(píng)估實(shí)施階段主要內(nèi)容包括對(duì)數(shù)據(jù)以及數(shù)據(jù)處理活動(dòng)進(jìn)行識(shí)別,對(duì)數(shù)據(jù)面臨的安全威脅、存在的脆弱性進(jìn)行識(shí)別,對(duì)數(shù)據(jù)安全防護(hù)措施進(jìn)行確認(rèn)。實(shí)施流程具體如下:
數(shù)據(jù)識(shí)別主要分析識(shí)別數(shù)據(jù)分類(含子類)、數(shù)據(jù)項(xiàng)名稱、數(shù)據(jù)屬性與要素(數(shù)據(jù)來源、數(shù)據(jù)規(guī)模、數(shù)據(jù)用途、數(shù)據(jù)存儲(chǔ)位置、數(shù)據(jù)共享情況、數(shù)據(jù)是否出境等)、數(shù)據(jù)分級(jí)等,并形成數(shù)據(jù)目錄清單。
數(shù)據(jù)處理活動(dòng)識(shí)別主要圍繞數(shù)據(jù)采集、數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)處理、數(shù)據(jù)交換、數(shù)據(jù)銷毀等全生命周期,結(jié)合組織業(yè)務(wù)流程、系統(tǒng)功能實(shí)現(xiàn)等情況,識(shí)別數(shù)據(jù)處理活動(dòng)以及個(gè)人信息處理活動(dòng),并進(jìn)行記錄。
數(shù)據(jù)安全威脅識(shí)別主要包括威脅的來源、主體、種類、動(dòng)機(jī)、頻率、時(shí)機(jī)等。威脅來源包括環(huán)境、意外、人為三類,根據(jù)威脅來源不同,進(jìn)一步劃分威脅的種類與威脅來源的主體、動(dòng)機(jī),威脅頻率應(yīng)根據(jù)經(jīng)驗(yàn)和有關(guān)的統(tǒng)計(jì)數(shù)據(jù)來進(jìn)行判斷。最終結(jié)合威脅的行為能力、威脅發(fā)生時(shí)機(jī),通過威脅發(fā)生的頻率給出威脅賦值。
數(shù)據(jù)安全脆弱性識(shí)別主要可從技術(shù)和管理兩方面進(jìn)行審視。技術(shù)脆弱性包括數(shù)據(jù)處理活動(dòng)過程中所涉及的技術(shù)性安全問題或隱患。管理脆弱性包括組織數(shù)據(jù)處理活動(dòng)過程中,組織管理體系中的責(zé)權(quán)劃分、應(yīng)急處置、運(yùn)行維護(hù)等管理制度的完備程度與可行程度。最終根據(jù)數(shù)據(jù)安全脆弱性危害程度給出數(shù)據(jù)安全脆弱性指數(shù)賦值。
安全措施可以分為預(yù)防性安全措施和保護(hù)性安全措施兩種。預(yù)防性安全措施可以降低威脅利用脆弱性的可能,保護(hù)性安全措施可以降低數(shù)據(jù)安全事件發(fā)生后造成的影響。安全措施識(shí)別應(yīng)充分考慮數(shù)據(jù)對(duì)象安全等級(jí)所對(duì)應(yīng)的安全需求。
風(fēng)險(xiǎn)分析與評(píng)價(jià)主要圍繞數(shù)據(jù)、數(shù)據(jù)處理活動(dòng),對(duì)已識(shí)別的數(shù)據(jù)安全威脅、脆弱性、安全措施,綜合運(yùn)用數(shù)據(jù)安全風(fēng)險(xiǎn)分析與評(píng)價(jià)模型,給出定性與定量相結(jié)合的風(fēng)險(xiǎn)分析與評(píng)價(jià)結(jié)果,并明確風(fēng)險(xiǎn)接受程度以及風(fēng)險(xiǎn)處置措施。
作為數(shù)據(jù)安全治理“三步走”戰(zhàn)略中承上啟下的重要一環(huán),數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估服務(wù)用于識(shí)別、評(píng)估和管理組織或企業(yè)面臨的數(shù)據(jù)安全風(fēng)險(xiǎn),可以確定潛在威脅和弱點(diǎn),并提供基于風(fēng)險(xiǎn)的決策依據(jù),以保護(hù)信息資產(chǎn)免受損害,有著十分重要的意義:
■ 提供全面的風(fēng)險(xiǎn)認(rèn)知:通過評(píng)估,組織可以全面了解其信息資產(chǎn)所面臨的威脅和風(fēng)險(xiǎn),從而制定相應(yīng)的防護(hù)措施;
■ 優(yōu)化資源分配:評(píng)估結(jié)果可以幫助組織更好地分配資源,將有限的安全預(yù)算用于最需要的領(lǐng)域,提高整體安全性能;
■ 合規(guī)要求滿足:許多行業(yè)和法規(guī)對(duì)數(shù)據(jù)安全有明確的要求,通過評(píng)估,組織可以確保其符合相關(guān)合規(guī)標(biāo)準(zhǔn)。
昂楷科技已實(shí)施多家數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估案例,涉及政務(wù)、教育、醫(yī)療衛(wèi)生等多個(gè)行業(yè)。以某政數(shù)局項(xiàng)目為例,昂楷科技為其梳理了數(shù)據(jù)資產(chǎn),對(duì)數(shù)據(jù)臺(tái)賬進(jìn)行摸底;進(jìn)一步分析確定該單位政務(wù)數(shù)據(jù)共享交換平臺(tái)數(shù)據(jù)安全體系建設(shè)存在的安全隱患,掌握目前面臨的風(fēng)險(xiǎn)狀況,為下一步開展數(shù)據(jù)安全治理體系建設(shè)提供依據(jù)。
對(duì)該政數(shù)局進(jìn)行數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估,推動(dòng)了其數(shù)據(jù)安全管理體系的落實(shí),形成數(shù)據(jù)安全管理運(yùn)作和持續(xù)提升機(jī)制,確保了數(shù)據(jù)安全水平的持續(xù)提高。