《信息安全技術(shù) 數(shù)據(jù)安全風(fēng)險(xiǎn)評估方法》征求意見稿

中科至善 2023-10-18

今年8月20日，國家市場監(jiān)督管理總局與國家標(biāo)準(zhǔn)化管理委員會發(fā)布的國家標(biāo)準(zhǔn)《信息安全技術(shù) 數(shù)據(jù)安全風(fēng)險(xiǎn)評估方法》（征求意見稿）。為確保標(biāo)準(zhǔn)質(zhì)量，信安標(biāo)委秘書處面向社會廣泛征求意見，截止時(shí)間為2023年10月20日。

《信息安全技術(shù) 數(shù)據(jù)安全風(fēng)險(xiǎn)評估方法》（征求意見稿）給出了數(shù)據(jù)安全風(fēng)險(xiǎn)評估的基本概念、要素關(guān)系、分析原理、實(shí)施流程、評估內(nèi)容、分析與評價(jià)方法等，明確了數(shù)據(jù)安全風(fēng)險(xiǎn)評估各階段的實(shí)施要點(diǎn)和工作方法。本文件適用于指導(dǎo)數(shù)據(jù)處理者、第三方評估機(jī)構(gòu)開展數(shù)據(jù)安全風(fēng)險(xiǎn)評估，也可供有關(guān)主管監(jiān)管部門實(shí)施數(shù)據(jù)安全檢查評估時(shí)參考。

數(shù)據(jù)安全風(fēng)險(xiǎn)評估，主要圍繞數(shù)據(jù)和數(shù)據(jù)處理活動，聚焦可能影響數(shù)據(jù)的保密性、完整性、可用性和數(shù)據(jù)處理合理性的安全風(fēng)險(xiǎn)，掌握數(shù)據(jù)安全總體狀況，發(fā)現(xiàn)數(shù)據(jù)安全隱患，提出數(shù)據(jù)安全管理和技術(shù)防護(hù)措施建議，提升數(shù)據(jù)安全防攻擊、防破壞、防竊取、防泄露、防濫用能力。首先通過信息調(diào)研識別數(shù)據(jù)處理者、業(yè)務(wù)和信息系統(tǒng)、數(shù)據(jù)資產(chǎn)、數(shù)據(jù)處理活動、安全措施等相關(guān)要素，然后從數(shù)據(jù)安全管理、數(shù)據(jù)處理活動、數(shù)據(jù)安全技術(shù)、個(gè)人信息保護(hù)等方面識別風(fēng)險(xiǎn)隱患，最后梳理風(fēng)險(xiǎn)源清單，分析數(shù)據(jù)安全風(fēng)險(xiǎn)、視情評價(jià)風(fēng)險(xiǎn)，并給出整改建議。

數(shù)據(jù)安全風(fēng)險(xiǎn)評估流程，主要包括評估準(zhǔn)備、信息調(diào)研、風(fēng)險(xiǎn)識別、綜合分析、評估總結(jié)五個(gè)階段，如圖1 所示：

圖 1 數(shù)據(jù)安全風(fēng)險(xiǎn)評估實(shí)施流程

數(shù)據(jù)安全風(fēng)險(xiǎn)評估，在信息調(diào)研基礎(chǔ)上，圍繞數(shù)據(jù)安全管理、數(shù)據(jù)處理活動安全、數(shù)據(jù)安全技術(shù)、個(gè)人信息保護(hù)等方面開展評估。評估內(nèi)容框架如圖 1 所示。

圖2 數(shù)據(jù)安全風(fēng)險(xiǎn)評估內(nèi)容框架圖

附錄給出了常見數(shù)據(jù)安全風(fēng)險(xiǎn)類別，如數(shù)據(jù)泄露風(fēng)險(xiǎn)、數(shù)據(jù)篡改風(fēng)險(xiǎn)、數(shù)據(jù)破壞風(fēng)險(xiǎn)、數(shù)據(jù)丟失風(fēng)險(xiǎn)等。

數(shù)據(jù)安全風(fēng)險(xiǎn)評估報(bào)告主要內(nèi)容（模板）

一、評估概述
1.1 評估目的
1.2 評估依據(jù)
1.3 評估對象和范圍
說明評估對象的選擇原則，描述評估對象和評估范圍。
1.4 評估結(jié)論概要
說明數(shù)據(jù)和數(shù)據(jù)處理活動的概要情況，評估結(jié)果概要。
二、評估工作開展情況
2.1 評估人員情況
說明評估工作組織和評估團(tuán)隊(duì)人員情況，被評估方參與人員情況。
2.2 評估時(shí)間安排情況
說明本次評估工作的時(shí)間進(jìn)度安排，描述各階段完成的任務(wù)、工作成果和時(shí)間節(jié)點(diǎn)等內(nèi)容。
2.3 評估工具和環(huán)境情況
說明使用的評估工具，接入的網(wǎng)絡(luò)或系統(tǒng)環(huán)境、技術(shù)測試內(nèi)容等情況。
三、信息調(diào)研情況
按照本文件第 7 章內(nèi)容說明信息調(diào)研情況。
3.1 數(shù)據(jù)處理者基本情況
說明數(shù)據(jù)處理者的機(jī)構(gòu)實(shí)體基本情況。
3.2 業(yè)務(wù)和信息系統(tǒng)情況
說明主營業(yè)務(wù)、信息系統(tǒng)、App 和網(wǎng)絡(luò)拓?fù)涞惹闆r。
3.3 數(shù)據(jù)資產(chǎn)情況
說明數(shù)據(jù)資產(chǎn)、數(shù)據(jù)分類分級，涉及個(gè)人信息、重要數(shù)據(jù)、核心數(shù)據(jù)目錄等情況。
3.4 數(shù)據(jù)處理活動情況
說明數(shù)據(jù)收集、數(shù)據(jù)存儲、數(shù)據(jù)使用、數(shù)據(jù)加工、數(shù)據(jù)傳輸、數(shù)據(jù)提供、數(shù)據(jù)公開、數(shù)據(jù)刪除、數(shù)據(jù)出境情況。針對評估對象結(jié)合實(shí)際情況畫出數(shù)據(jù)流轉(zhuǎn)圖。

3.5 安全措施情況
說明已開展的安全測評認(rèn)證和核實(shí)情況，數(shù)據(jù)安全管理機(jī)構(gòu)、人員及制度情況，網(wǎng)絡(luò)和數(shù)據(jù)安全主要措施。
四、數(shù)據(jù)安全風(fēng)險(xiǎn)識別
按照本指南第 6 章內(nèi)容，從數(shù)據(jù)安全管理、處理活動、技術(shù)、個(gè)人信息處理等方面，說明各評估對象的風(fēng)險(xiǎn)隱
患或安全問題，如有必要可附上關(guān)鍵證據(jù)材料。
4.1 數(shù)據(jù)安全管理風(fēng)險(xiǎn)識別
4.2 數(shù)據(jù)處理活動風(fēng)險(xiǎn)識別
4.3 數(shù)據(jù)安全技術(shù)風(fēng)險(xiǎn)識別
4.4 個(gè)人信息處理風(fēng)險(xiǎn)識別
五、風(fēng)險(xiǎn)分析與評價(jià)
按照本指南第 7 章，針對本報(bào)告第 4 章發(fā)現(xiàn)的問題隱患，參考附錄 A 分析數(shù)據(jù)安全風(fēng)險(xiǎn)，視情進(jìn)行風(fēng)險(xiǎn)評價(jià)，
提出整改建議。具體風(fēng)險(xiǎn)分析和評價(jià)方法，可參考數(shù)據(jù)安全風(fēng)險(xiǎn)評估方法國家標(biāo)準(zhǔn)。
5.1 風(fēng)險(xiǎn)分析
5.2 風(fēng)險(xiǎn)評價(jià)（可選）
5.3 整改建議
附錄 XXXX
附錄可給出完整的數(shù)據(jù)安全風(fēng)險(xiǎn)源清單，根據(jù)實(shí)際需要提供評估底稿，或者補(bǔ)充相應(yīng)的證據(jù)材料等。