工业领域数据安全风险评估政策解读连载—— 实施篇
我们在上期《工业领域数据安全风险评估政策解读连载—政策篇》中为大家汇总了工业领域数据安全风险评估相关政策中风险评估的主要内容,并对其进行了解读。
本期我们将向大家分享企业在开展风险评估的实施流程及注意事项,并结合实施流程介绍开展评估工作的具体操作内容。
一、数据安全风险评估实施流程
数据安全风险评估实施流程共分为五个过程,分别是评估准备、信息调研、风险识别、综合分析、评估总结。具体可分为三个阶段,包括事前、事中、事后。其中事前阶段就包括原有的评估准备、事中阶段包括信息调研、风险识别;事后阶段包括综合分析和评估总结。实操具体如下图所示:
图1:数据安全风险评估实施流程图
风险评估五个阶段工作安排如下:
评估准备过程:是数据安全风险评估的初始预备过程,会召开项目启动会议,确定工具表单及项目人员名单等;
信息调研过程:会根据提前准备的调研表单去识别数据处理者的基本情况、厘清其与业务和信息系统的关系,处理的数据和开展的数据处理活动现状,采取的数据安全防护措施等情况,会后续风险识别及综合分析提供帮助;
风险识别过程:针对评估对象从技术、管理、活动、个人信息等维度进行识别,形成文档查阅记录文档、人员访谈记录文档、安全核查记录文档、技术检测报告等;
综合分析过程:对信息调研、风险识别的结果进行梳理,形成安全问题清单,并对风险进行分析和评价,输出整改建议清单;
评估总结过程:对前4过程的内容进行梳理总结,针对风险采取措施进行处置,并编制风险评估报告。
二、数据安全风险评估事前阶段
开展数据安全风险评估工作前期需要确认评估范围、评估方法、评估甲乙方团队、评估方案等内容。具体事前事项如下所示。
2.1 范围确认
数据安全风险评估工作开展过程中需要明确评估工作范围,确认评估的边界。评估范围确认可从企业全部数据或选取某一业务方向,也可仅针对某个单独的业务、信息系统、部门涉及的数据和数据处理活动。对于工业客户开展评估时,可根据需要采取“全面摸排、重点评估”的原则确定评估范围。评估范围确认需要是否涉及全部数据、是否开展分类分级两个维度开展,具体如下图所示。
评估范围流程图具体确认可参考下图所示:
图2:数据安全风险评估范围流程图
2.2 数据安全风险评估方法
开展数据安全风险工作时根据现场所需选取合适恰当的评估方法,具体的评估方法包括人员访谈、文档查验、安全核查、技术测试等四种。四种评估方法工作内容如下:
人员访谈:与关键岗位人员交流,了解制度规章、防护措施、安全责任落实情况。
文档查验:查阅相关的管理文档和技术文档,验证制度落实情况的证明材料。
安全核查:核查网络环境、数据库和大数据平台等相关系统和设备安全策略、配置、防护措施情况。
技术测试:利用专门的数据安全工具进行漏洞扫描和渗透测试,快速发现潜在的安全隐患。
2.3 数据安全风险评估团队组建
开展数据安全风险评估需要组建评估团队,评估团队需要包括甲乙双方,由评估领导小组负责统筹风险评估工作,评估团队人员组成及相关职责如下图所示:
图3:甲乙双方评估团队
甲乙双方职责:
评估领导小组:双方公司领导;
专家组:甲乙双方专家或外部专家;
项目经理:甲乙双方具备项目管理负责人;
数据管理部:甲方客户数据安全负责人,数据安全防护人员;
业务管理部:甲方客户法务,业务、合规方面的管理人员;
研发部:甲方客户研发、运维人员;
实施小组:乙方的行业数据安全技术、管理、质量人员;
商务组:乙方商务合同开展,协调人员。
2.4 制定数据安全风险评估方案
开展数据安全风险评估工作,需要进行评估方案制定。评估方案由评估方制定,被评估者需要对制定的评估方案进行审核,确定方案的有效性、完整性、回退性、准确性等。
数据安全风险评估方案内容包括:评估范围、评估工具、评估团队人员、评估实施计划、测试方案、评估风险等。评估方案可参考如下图所示:
图4:数据安全风险评估方案封面及目录
三、数据安全风险评估事中阶段
开展数据安全风险评估工作中期时需要从信息调研和评估内容两个方面进行。具体事项内容如下所示。
3.1信息调研
信息调研是开展数据安全风险评估的基础,知晓被评估的信息现状,了解被评估者的现场,后期开展风险识别,及编写风险评估报告更加便捷。信息调研共包含五部分内容,分别是数据处理者调研、业务和信息系统调研、数据资产调研、数据处理活动调研、安全防护措施识别。下图列举下数据处理者基本情况调研相关内容。
表1:数据处理者基本情况调研表
3.2评估内容
数据安全风险工作重点是开展风险识别过程,而开展风险识别时需要对识别的内容进行汇总。风险识别的内容由数据安全管理、数据处理活动安全、数据安全技术、个人信息保护开展等四个维度开展:
图5:数据安全风险评估内容框架图
针对数据安全风险和不合理处理数据风险等问题,需要通过对数据安全管理、数据处理活动、数据安全技术、个人信息保护等方面进行评估,发现可能存在的数据安全问题和风险隐患。具体实施时可按照以下步骤开展:
如果企业已开展过相关的测评工作,应先对已开展的测评工作结论进行分析;
针对被评估对象的特性,选择适用的评估内容(数据安全管理、数据处理活动、数据安全技术)若包含个人信息处理者,需要进行个人信息保护进行评估分析;
若企业的被评估对象涉及数据出境的,应按照相关规定(国家法律、国家标准、行业要求、企业制度)进行数据出境相关评估、认证、备案等工作,若存在未按要求开展相关工作的,直接判定存在安全风险;
梳理各评估项的评估结果和发现的风险,输出数据安全风险评估记录。
四、数据安全风险评估事后阶段
数据安全风险评估事后层面主要围绕风险分析与评价和风险评估报告和风险处置三个方面展开进行讲解。
4.1风险分析与评价
数据安全风险分析,主要从影响数据保密性、完整性、可用性和数据处理合理性角度分析各项风险源可能引发的数据安全风险,及风险危害程度和发生的可能性。
4.1.1风险危害程度分析
风险危害程度分析主要是综合分析数据安全风险一旦发生,对国家安全、公共利益、组织或者个人合法权益造成的危害程度。参照标准对风险危害程度定位五个等级,从低到高可分为低、中、较高、高、很高5个级别。具体危害级别及描述参考下表:
表2:风险危害程度分析表
风险危害程度分析表已给出定性分析方法,但开展评估工作往往需要量化数字来取代相关分析值。目前已对风险危害程度分析进行量化处理,并给出量化区间范围,具体根据实际情况进行量化值选择。
表3:风险危害程度量化得分表
4.1.2风险发生可能性分析
风险发生可能性分析,主要考虑风险源发生频率、安全措施有效性和完备性、风险源关联性等因素。在综合分析风险源发生频率、安全措施有效性和完备性、风险源关联性的基础上,将数据安全风险发生的可能性从低到高分为低、中、高3个级别。具体可能性分析级别及描述参考下表:
表4:风险可能性分析表
风险可能性分析表已给出定性分析方法,但开展评估工作往往需要量化数字来取代相关分析值。目前已对风险可能性分析进行量化处理,并给出量化区间范围,具体根据实际情况进行量化值选择。
表5:风险可能性量化得分表
4.1.3数据安全风险评价
开展数据安全风险评估时结合现场实际情况,对数据安全风险进行评价。数据安全风险评价是基于风险危害程度分析和风险发生可能性分析两者进行分析得出评价结果。风险评价结果如下表所示:
表6:风险分析评价矩阵表
结合风险危害程度量化表和风险可能性量化表对其进行计算处理,计算公式如下:Ri = σi × Vi,经过计算得出风险分析评价量化矩阵表。
表7:风险分析量化矩阵表
4.1.4数据安全风险清单
数据风险分析与评价主要输出数据安全风险清单。开展评估工作时需要对各项数据安全风险完成风险评价,整理各项风险评估结果。最终输出数据安全风险清单。数据安全风险清单如下图所示:
图6:数据安全风险清单
企业开展数据安全风险评估时,需要在风险识别基础上按照风险分析梳理得出数据安全风险源清单,并分析可能存在的数据安全风险。风险分析时可进行风险归类分析并对其进行量化分析。
4.2风险评估报告
根据评估情况,评估团队编制数据安全风险评估报告评估报告应准确、清晰地描述评估活动的主要内容(并附必要的证据或记录),提出可操作性的整改措施和对策建议。
4.2.1数据安全风险评估报告内容
风险评估报告的内容需包括:
a. 评估概述:包括评估目的及依据,评估对象和范围,评估结论等。
b. 评估工作情况:包括评估人员、评估时间安排、评估工具和环境情况等。
c. 信息调研情况:包括数据处理者、业务和信息系统、数据、数据处理活动、安全措施等情况,形成的数据资产清单、数据处理活动清单、数据流图等文件可视情放在报告正文或附件中。
d. 数据安全风险识别:包括数据安全管理、数据处理活动、数据安全技术、个人信息保护等方面识别的风险源情况。
e. 风险分析与评价:对数据安全问题可能带来的安全风险进行综合分析,视情对风险进行评价。
f. 整改建议:针对发现的数据安全问题或风险,提出整改措施或风险处置建议。
g. 数据安全风险源清单:列出完整的数据安全风险源清单,并附上关键记录和证据,若证据无法在附录中完整列出,应列出证据关键信息和序号,在提交评估报告时作为附件提交。
h. 涉及重要数据、个人信息、核心数据:应当详细列出处理的数据种类、数量(不包括数据内容本身),开展数据处理活动的情况,面临的数据安全风险及其应对措施等。
i. 委托第三方机构开展评估或检查评估的,评估报告应由评估组长、审核人签字,并加盖评估机构公章。
4.2.2数据安全风险评估报告参考
数据安全风险评估报告模板及封面等内容如下所示:
图7:数据安全风险评估报告封面
图8:数据安全风险评估报告声明
图9:数据安全风险评估报告基本信息表
图10:数据安全风险评估报告目录
4.3风险处置
对于评估结果,评估人员结合实际情况,对发现的数据安全风险提出处置建议,进行整改。企业需制定数据安全风险处置方案,限期完成整改,但无法及时完成整改的,应采取临时安全措施,防止数据安全事件发生。对于完成整改后的结果开展数据安全风险复评工作。
下期预告:
我们将在下一期《工业领域数据安全风险评估政策解读连载—方案篇》中,为大家详细介绍工业企业在数据安全方面存在的普遍问题,剖析数据全生命周期环节中存在的安全风险,并分享工业企业数据安全体系建设思路及解决方案等内容,详情请锁定“长扬科技”公众号。
更多精彩,敬请期待。