《数据安全风险评估实务:问题剖析与解决思路.docx》由会员分享,可在线阅读,更多相关《数据安全风险评估实务:问题剖析与解决思路.docx(32页珍藏版)》请在优知文库上搜索。
1、据安全推18计划DATASECURITYINITIATIVECONTENTS目录一、数据安全风险评估工作背景(一)数据安全风险形势日益严峻OlI.数据泄露:持续呈现高发态势Ol2数据破坏:勒索攻击危害显著023.数据窃取:组织“内鬼”作案猖獗02(一)组织风险防范面临监管考验02(三)新技术应用暗藏新型风险03二、数据安全风险评估工作现状(一)风险评估已成业界焦点05(二)评估标准编制进程加快07(三)评估实施方法逐渐成熟10三、实务问题剖析与解决思路(一)评估准备131.如何确定评估触发条件132如何制定评估工作目标153.如何规划评估实施范围16(二)评估实施181.如何获取有效评估信息1
2、82如何应用风险评估工具193.如何开展风险评估分析20(三)评估总结231.如何充分应用评估结果23取据安全推进计划DATA SECURITY INITIATIVED大数据技术标准推进委员会BgDataTOchnologyo11dStandardCamfnittao四、数据安全风险评估工作建议252525(一)建立数据安全风险评估机制(二)构建数据安全风险治理框架(三)完善数据安全风险治理体系附录:中国信通院云大所实务索引27据安居惟1计划DATASECURITYINITIATIVE大数据技术标准推进委员会BigOMsTechnologyandStAndAniCcmmrttee图目录图1数据
3、安全风险基本要素关系图2风险矩阵(示例)图了数据风险治理基本框架112026表目录表1数据安全风险评估标准发展、演进一览08表2数据安全风险评估实施流程与产出物12表了数据安全风险评估适用情形13表4评估适用情形检查表(示例)14表5重点评估对象(示例)17表6数据安全风险危害程度(节选)21表7数据级别赋值(示例)22表8数据安全风险危害程度等级参考(节选)23表9安全声明(模板)24表10实务索引27-.数据安全风险评估工作背景全球数据泄露、数据破坏、数据窃取、数据滥用等安全事件频繁发生,严重危害了国家、社会公众安全。针对各国政府机构、关键信息基础设施的网络攻击、数据窃取等违法活动明显增多
4、,数据安全事件涉及的数据以及用户体量也在持续加大。如何有效防范数据安全风险与事件,是全球数字经济发展下的重点问题。本章节将总结国际、国内数据安全风险形势,分析广大组织面临的各类数据安全风险以及日趋严格的监管合规要求,阐述了组织加强数据安全风险防范的必要性。(一)数据安全风险形势日益严峻1 .数据泄露:持续呈现高发态势全球数据泄Il事件持续高发。统计数据显示,仅2021年全球范围内公开披露的数据泄露事件已超过四千起,涉及超过200亿条数据。进入2023年,数据泄露的趋势似乎并未得到缓解:2023年4月,威胁猎人发布的2023年Ql数据资产泄露分析报告显示,仅2023年第一季度就已发生近千余起数据
5、泄露事件,这些事件涉及上千家组织、近四十个行业。例如,Twilter在2023年1月遭遇了数据泄露事件,包括用户电子邮件地址、姓名等2亿条个人信息被泄露。2023年2月,全美最大的综合医疗服务网络IIeritageProviderNetWork遭遇勒索软件攻击,导致多个医疗机构大量敏感信息泄露。2023年2月,Teiegram各大频道突然大面积转发某隐私查询机器人链接,该机器人泄露了大量来自我国各快递、电商平台的个人信息,包含了用户的真实姓名、电话与住址等,数据量高达45亿条。组织数据安全保障压力倍增。2020年,某电商的客户数据泄露导致不法分子冒充客服对全国二十多个城市的受害者进行了电话诈骗
6、,受害者的被骗金额为几千到十几万元不等。2023年8月,公安部公布了打击侵犯公民个人信息犯罪的十大典型案例,其中黑灰产组织窃取、利用组织掌握的用户个人信息实施犯罪的案例高居榜首。随着个人信息成为黑灰产组织逐利的“重灾区”,组织面对无孔不入的黑灰产组织,在数据安全风险应对上压力倍增。数据泄It事件为组织带来的损失也在逐年走高。组织数字化转型加快,对数据依赖程度随之加深,数据一旦泄露给组织带来的损失也更加严重。根据IBM2023年数据泄露成本报告显示,组织数据泄露事件平均成本达到445万美元,较2022年的435万美元增长2.3%,而较2020年的386万美元则足足增长了15.3%,现已创下历史新
7、高。大数据技术标准推进笠员会RigOMaTOCbmIogy;IrXIStpndArdConvnittMt2 .数据破坏:勒索攻击危害显著有针对性的数据勒索与破坏事件愈演愈烈。随着全球各行业领域的组织数字化转型程度加深,其系统及承载的数据重要程度也随之提升,其中的关键数据更是组织业务运行命脉,一旦这些关键数据遭到破坏,将面临业务中断、信息系统或网络服务瘫痪,严重的后果可能是长期业务受损,客户信息、商业机密等重要数据泄露,给组织带来重大的经济损失和声誉损失。而近年来,针对政府机构、知名组织的数据勒索、破坏事件也持续增加:2022年,哥斯达黎加政府遭遇Conti勒索软件团伙攻击,国家财政部数个TB的
8、数据以及800多台服务器受到此次攻击影响,国内数字税务服务、海关控制IT系统以及医疗保健系统在多轮攻击下接连瘫痪、被迫下线,导致国内医疗保健系统陷入混乱。同年,法国巴黎的一家医院CenIerHospitalierSudFrancilien(以下简称CHSF)遭遇网络攻击并被勒索IooO万美元作为解密密钥的赎金。此次攻击直接导致了CHSF多个业务软件、医学影像存储系统无法访问,大量医疗数据被加密迫使医院推迟多台手术计划,大量患者被临时转诊至其他机构,这严重威胁了当地的急、重病患者生命安全。3数据窃取:组织“内鬼”作利来自“内鬼”的数据窃取也令组织防不胜防。2023年6月6日,Verizon发布了
9、2023年度数据泄露调查报告(2023DataBreachInvestigationsRePort,简称DBIR),分析了从2017年以来的16312起安全事件和5199起数据泄露事件,指出74%的泄露事件由人为因素造成的,约五分之一的数据泄露事件来自于组织的内部。组织收集、存储了大量用户的个人信息数据,一旦组织内部出现了特权账号滥用、数据权限分配不清、人员利用越权访问漏洞等问题,将直接导致拥有内部人员对其获取的数据进行不正当的使用或者窃取。2023年5月,特斯拉两名员工违规挪用,泄露了包括员工个人信息、客户银行信息、生产信息在内的100GB数据,影响超过7.5万人。无独有偶,2023年7月,
10、日本通信运营商NTTDoCOMO的承包商员工盗取了包括用户个人信息在内的596万条商业信息,这些案件均有力证明了组织“内鬼”窃取数据的危害。(二)组织风险防范面I临监管考验面对日益严峻的网络数据安全风险,各国政府倡导国际、国内或地区内的公私部门开展网络数据安全风险防范合作。例如,2023年联合国打击网络犯罪公约结合新型网络犯罪情况,要求缔约国将黑客攻击、非法数据获取等犯罪行为纳入本国刑法执法范围,倡导加强网络数据安全风险的跨国协作与应对。再例如,欧盟数据治理法案(2022)提出欧盟境内的公共和私营组织在共享数据时,应遵守的安全与可靠性要求,要求及时报告数据泄露事件,防范全球数据流通带来的数据共
11、享风险。美国网络安全信息分享法案(ClSA)(2015)也曾鼓励国内的私营组织与政府进行网络威胁情报共享,增强其网络数据安全风险防御能力。数据安全与隐私保护法规的发展对广大数热耀者的风险防范能力提出了新要求.除了网络数据安全风险的跨国协作与应对,各国的法律法规也明确规定了国内数据处理者的数据安全义务、责任,要求其开展数据保护影响评估等活动,加强对用户个人信息的保护。5)居安领曲十划D看三三s三鹘蹩7少DATASECURITYINITIATIVE中国方面。2021年,中国中华人民共和国数据安全法(以下简称数据安全法)、中华人民共和国个人信息保护法(以下简称个人信息保护法)相继颁布、实施。作为数据
12、安全领域的基础性法律,数据安全法指出数据处理者开展数据处理活动应依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。其中,重要数据处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。个人信息保护法则进一步强调了个人信息处理者的责任与义务,提出个人信息处理者应对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。在处理敏感个人信息等情形下,个人信息处理者还应当事前进行个人信息保护影响评估,并对处理情况进行记录。欧盟方面。2018年,欧盟通用数据保护条例(GeneralDat
13、aProtectionRegulation,以下简称“GDPR”)正式生效。GDPR基于其域外效力及严厉的行政处罚措施,提出了个人同意、隐私权影响评估等多项数据处理合规要求,并警示其适用范围内的数据处理主体严格履行合规义务。针对可能会为自然人权利与自由带来高度风险的数据处理方式,GDPR提出数据处理主体应事先进行影响评估,加强对个人敏感信息的保护,限制对个人信息的非授权使用。美国方面。2023年1月,美国加州隐私权法案(CalifOrniaPrivacyRightsAct,以下简称CPR)正式生效。CPRA在加州消费者隐私法案(CalifomiaConsumerPrivacyAct,简称CCP
14、A)的基础上进行了修订,要求组织开展数据处理活动风险评估,并定期向当地隐私局提交评估报告。此外,美国的弗吉尼亚州消费者保护法与科罗拉多州隐私法也要求,针对可能对消费者带来重大风险的行为,信息处理者应开展数据保护影响评估(DataProtectionImpactAssessment,简称DPIA),并在评估期间对消费者的信息进行去标识处置。新加坡、俄罗斯、印度、巴西、韩国等多个国家也通过立法明确了数据处理者的数据保护、风险防范以及数据保护影响评估活动等方面的要求,加强了数据处理者的监督和处罚,极大地推动了以上国家、地区的数据处理者提升数据安全风险防范能力,切实保护数据安全。(三)新技术应用暗藏新
15、型风险新技术应用衍生新型安全风险。5G、人工智能、云计算、移动互联网、大数据分析等新兴技术应用极大地推动了各行业领域的组织发展与创新,为广大用户提供了更为智能、便利的服务,但同时也带来了大量的安全漏洞、风险。以云计算为例。云计算通过互联网为组织提供了更加灵活、可扩展的计算和存储服务,实现了资源池化、按需扩缩容的能力,但云平台的复杂性以及多租户环境也存在数据隔离失效的问题,存在内部人员越权访问的可能,增加了组织数据泄露的风险。再例如,5G技术的典型应用场景eMBB(增强移动带宽),由于在增强现实(AR).虚拟现实(VR)高清视频直播、频等对带宽有极高要求的业务场景下衍生的海量数据往往涉及个人隐私数据,而传统的安全基础设施难以适应超大流量的5G网络防护以及海量用户隐私数据保护的安全需求。新兴技术的监管措施与规范的不完善也可能导致数据安全风险。部分处于萌芽期的新兴技术可能因其配套的监管措施与技术规范尚未完善,在实际应用过程中为组织、个人带来尚未被公众充分认识的数据安全风险,导致安全事件一旦发生,出现责任主体判定难、治理成本高等问题。以生成式Al为例。其在文本、图片或视