《2023网络数据安全风险评估实施指引.docx》由会员分享,可在线阅读,更多相关《2023网络数据安全风险评估实施指引.docx(69页珍藏版)》请在优知文库上搜索。
1、网络数据安全风险评估实施指引2023前言I技术支持单位Il1范围12术语定义13风险评估概述31.1 1评估思路31.2 评估内容31.3 评估流程41.4 评估手段64评估准备64.1 明确评估目标74.2 确定评估范围74.3 组建评估团队84.4 开展前期准备94.5 制定评估方案105信息调研115.1数据处理者调研115. 2业务和信息系统调研125.3 数据资产调研125.4 数据处理活动调研135.5 安全措施调研146风险识别156.1 数据安全管理156.2 数据处理活动266.3 数据安全技术386.4 个人信息保护457综合分析567.1梳理问题清单567.2风险分析与评
2、价577.3提出整改建议578评估总结578.1评估报告578.2风险处置59附录A典型数据安全风险类别60附录B评估报告模板621范围本指南给出了网络数据安全风险评估思路、工作流程和评估内容,提出从数据安全管理、数据处理活动、数据安全技术、个人信息保护等方面评估安全风险。本指南适用于指导数据处理者、第三方机构开展风险评估,也可为有关主管监管部门组织开展数据安全检查评估提供参考。2术语定义2.1 网络数据通过网络处理和产生的各种电子数据,简称“数据”。2.2 数据处理者在数据处理活动中自主决定处理目的和处理方式的个人和组织。2.3 数据安全通过采取必要措施,确保数据处于有效保护和合法利用的状态
3、,以及具备保障持续安全状态的能力。2.4 数据处理活动数据的收集、存储、使用、加工、传输、提供、公开、删除等活动。2.5 网络数据安全风险评估对网络数据和数据处理活动安全进行风险识SlK风险分析和风险评价的整个过程。2.6 委托处理数据处理者委托个人、组织按照约定的目的和方式开展的数据处理活动。2.7 共同处理两个以上的数据处理者共同决定数据的处理目的和处理方式的数据处理活动。注:两个以上含两个。2.8 数据安全风险数据安全事件的发生可能性及其对国家安全、公共利益或者组织、个人合法权益造成的影响。2.9 合理性数据处理遵守法律、行政法规要求,尊重社会公德和伦理道德,符合网络安全和数据安全常识道
4、理。2.10 风险隐患可能导致危害数据的保密性、完整性、可用性和数据处理合理性等事件的威胁、脆弱性、问题、隐患等,也称“风险源”。注:风险隐患,既包括安全威胁利用脆弱性可能导致数据安全事件的风险隐患,也包括数据处理活动不合理操作可能造成违法违规处理事件的风险隐患。211业务组织为实现某项发展规划而开展的运营活动。来源:GB/T20984-2022,3.1.42.12 自评估由数据处理者自身发起,组成机构内部评估小组或委托第三方评估机构,依据有关政策法规与标准,对评估对象的数据安全风险进行评估的活动。2.13 检查评估由数据处理者的上级主管部门、业务主管部门或国家有关主管(监管)部门发起的,依据
5、有关政策法规与标准,对评估对象的数据安全风险进行的评估活动。3风险评估概述3.1 评估思路网络数据安全风险评估坚持预防为主、主动发现、积极防范,对数据处理者数据安全保护和数据处理活动进行风险评估,旨在掌握数据安全总体状况,发现数据安全隐患,提出数据安全管理和技术防护措施建议,提升数据安全防攻击、防破坏、防窃取、防泄露、防滥用能力。网络数据安全风险评估,主要围绕数据和数据处理活动,聚焦可能影响数据的保密性、完整性、可用性和数据处理合理性的安全风险。首先通过信息调研识别数据处理者、业务和信息系统、数据资产、数据处理活动、安全措施等相关要素,然后从数据安全管理、数据处理活动、数据安全技术、个人信息保
6、护等方面识别风险隐患,最后梳理问题清单,分析数据安全风险、视情评价风险,并给出整改建议。3.2 评估内容网络数据安全风险评估,在信息调研基础上,围绕数据安全管理、数据处理活动安全、数据安全技术、个人信息保护等方面开展评估。评估内容框架如图1所示。救相处“通动安全I.裳款供II/公畀IIse*aT管尸情况聂秀纥*&慵况t*MFMA图1数据安全风险评估内容框架3.3 评估流程数据安全风险评估流程,主要包括评估准备、信息调研、风险识别、综合分析、评估总结五个阶段,评估实施流程如图2所示。阶段!具体工作 I.确定W倡H杯 2.确定W仙慈困 3.组建国伍训队 1.开发的期准% 5.制定W仙方* I.效据
7、处理者M窃 2.业务和信息系统调研 1. 1.敖无处理活动调研 5.安全措住调研 1.敦*女个臂时 2.数卅处现活动 3.数榭次生技术 4.个人伯恩处珅11保今分析 I收二向&$。中 2.14的分析方愣价 3.慌出整段健仪律估怠统 1.风险评估报告 2安全及8处置区均泞品报4评估力案人员访谀记水Z档安全债IHe及文档校术怜泅报告敏热安分村常学敷务安全网险,主要产出物处理青屉本情猊业务清单信息,系统沽安也把臂产清睢Cr出处熨环动清AMitm安全措施情猊图2数据安全风险评估流程及主要产出物数据处理者进行自评估时,可依据本指南进行风险自查,具体实施步骤如图3所示。Vrtc修“an图3自评估实施流程有
8、关部门进行检查评估时,可参考本指南开展检查工作,具体实施步骤如图4所示。图4检查评估实施流程3.4 评估手段开展数据安全风险评估时,综合采取下列手段进行评估:a)人员访谈:对相关人员进行访谈,核查制度规章、防护措施、安全责任落实情况;b)文档查验:查验安全管理制度、风险评估报告、等保测评报告等有关材料及制度落实情况的证明材料;C)安全核查:核查网络环境、数据库和大数据平台等相关系统和设备安全策略、配置、防护措施情况;d)技术测试:应用技术工具、渗透测试等手段查看数据资产情况、检测防护措施有效性。4评估准备4.1 明确评估目标为落实数据安全法个人信息保护法等法律法规要求或安全监管需要,对数据处理
9、者的数据安全管理、数据处理活动、数据安全技术和个人信息保护情况等进行安全评估,发现存在的安全问题和风险隐患,督促数据处理者健全安全制度、改进安全措施、堵塞安全漏洞,进一步提高数据安全和个人信息保护能力。数据安全风险评估的目标,包括但不限于:a)摸清数据种类、规模、分布等基本情况;b)摸清数据处理活动的情况;c)发现可能影响国家安全、公共利益或者个人、组织合法权益的数据安全问题和风险;d)发现共享、交易、委托处理、向境外提供重要数据等处理活动的数据安全问题和风险;e)促进完善数据安全保护措施,提升数据安全保护能力。4.2 确定评估范围根据工作需要和评估目标,确定数据安全风险评估的对象、范围和边界
10、明确评估涉及的数据资产、数据处理活动、业务和信息系统、人员和内外部组织等。数据安全风险评估聚焦数据和数据处理活动,评估范围可能涉及组织全部的数据和数据处理活动,也可能仅针对某个单独的业务、信息系统、部门涉及的数据和数据处理活动。当针对组织全部数据和数据处理活动开展评估时,可根据需要采取“全面摸排、重点评估”的原则确定评估范围。一是全面摸排被评估方的数据安全整体情况,摸清其数据资产、数据处理活动、数据分类分级等情况;二是结合数据分类分级选择重点评估对象,将涉及个人信息、重要数据、核心数据的所有数据处理活动,以及抽样蟠的其他典型一般数据的处理活动作为重点评估对象开展评估;三是如果组织未开展数据分类
11、分级工作,也可结合业务、信息系统的重要性和敏感性,选择核心业务或重要信息系统的数据和数据处理活动作为重点评估对象开展评估。4.3 组建评估团队4.3.1 组建检查评估团队根据评估范围、涉及的行业特征、专业需求,选择具备相关专业能力的评估人员组成评估队伍。评估队伍应提前完成风险评估文档、检测工具等各项准备工作,并签署保密协议。评估队伍在检查评估中获取的信息,只能用于检查任务目的和实施数据安全保护。被评估方应建立专项工作团队,成员一般包括数据安全负责人和安全、法务、合规、运维、研发、业务、数据、风险等部门相关人员。专项工作团队应按照要求做好人员、设备、技术保障等工作,配合开展风险评估。4.3.2
12、组建自评估团队数据处理者自行开展数据安全风险评估时,可组织业务、安全、法务、合规、运维、研发等相关部门参与实施,评估组长由数据安全负责人或授权代表担任,也可委托第三方专业技术机构实施。第三方机构评估中获取的信息只能用于评估目的,未经授权不应泄露、出售或者非法向他人提供。4.4 开展前期准备4.4.1 制定工作计划评估工作计划内容一般包括工作目的、工作要求、工作内容、工作流程、调研安排、评估总体进度安排等。开展检查评估时,主管监管部门指导评估队伍按照工作要求制定评估工作计划。4.4.2 确定评估依据评估依据包括但不限于:a)网络安全法数据安全法个人信息保护法等法律,有关行政法规、司法解释;b)网
13、信部门及主(监)管部门相关数据安全规章、规范性文件;c)地方数据安全政策规定和监管要求;d)数据安全相关国家标准、行业标准等。开展自评估时,本单位数据安全制度规范可作为评估依据之一。4.4.3 确定评估内容结合评估目标、范围、依据,针对被评估方的实际情况,确定被评估方每个评估对象适用的评估内容。a)数据处理者应针对数据处理活动、数据安全管理、数据安全技术等方面进行风险评估;b)涉及处理个人信息的,应在a)的基础上,对个人信息保护开展风险评估。开展评估工作过程中,可根据任务要求、评估重点、监管需要、评估依据等,进一步完善评估内容。4.4.4 建立评估文档针对评估目标、范围、依据和内容,准备风险评
14、估调研表、技术测试工具等。在评估工作开展过程中,应对评估工作相关文件进行统一编号,并规范管理。4.5 制定评估方案组织评估队伍编制风险评估工作方案,方案内容包括但不限于:a)评估概述:包括评估目标、评估依据等内容;b)评估范围:包括评估对象选择方法、评估对象描述、评估范围等;c)评估内容和方法:包括评估内容、评估准则、评估方法等内容;d)评估人员:包括评估队伍的组织结构、负责人、成员、职责分工等内容;e)实施计划:包括时间进度安排、人员安排等内容;f)工作要求:包括评估工作要求、被评估方保障条件等内容,工作要求如严格依照评估内容及标准规范,规范评估行为,按照尽量不影响被评估方正常工作的原则,制定评估工作应急保障和风险规避措施,明确告知被评估方评估可能产生的风险,严守工作纪律和保密要求等;g)测试方案:开展技术测试前应明确测试方案,包括采用的技术工具、测试内容、测邮境、应急措施等,测试方应向被测方明示测试可能涉及的安全风险,双方就测试方案达成共识,检查评估时应提前向有关部门报备;评估队伍可邀请行业领域相关数据安全、网络安全专家对评