数据安全风险评估服务实施方案.docx

1、1. 数据安全风险评估服务1.1. 数据安全概述1.1.1. 数据安全的理解数据安全法第三条，给出了数据安全的明确定义，是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。结合定义，应该从广义和狭义两个角度理解数据安全概念内涵。广义地说，数据安全作为国家重要战略基础资源时的安全要义，主要是根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，确定数据安全定义。狭义地说，数据安全一是指数据本身及数据处理活动的安全性，主要包括数据本身保密性、完整性和可用性，以及围绕数

2、据处理活动的收集、存储、使用、加工、传输、提供、公开等环节的安全性考虑。二是数据支撑环境以及防护措施的安全，主要包括数据载体、防护设备、加解密算法等主动防护措施。1.1.2. 数据面临的安全风险n 数据合规安全风险数据安全合法合规已经成为企业对数据进行处理的原则和底线，但大部分企业的数据安全合规体系建设还处于起步状态，对违规所带来的风险缺乏相应的评估机制，可能存在潜在的数据泄露、数据丢失、数据篡改、数据滥用等安全风险。n 关键信息基础设施数据安全风险目前，关键信息基础设施运营者（以下简称“运营者”）重要数据的全生命周期保护严重不足，未建立起有效的防护体系机制。尤其是个人信息保护方面，未采取有效

3、的数据防篡改和防外泄手段 ， 一旦攻击者成功获取服务器权限后，可随意窃取、篡改和删除重要数据，造成大面积敏感信息泄露。此外，运营者在供应链开发、运维等环节数据保护方面存在缺陷，导致系统“带病上线”的情况，形成攻击者窃取数据的重要突破口。n 数据出境安全风险数据的跨境流动是数据价值最大化的必经之路，数据出境是必然趋势，其安全风险也是其派生的产物。数据出境的风险重点来源于数据出境的合规类风险。企业在出境业务稳定发展的前提下，要保证出境数据不存在违反国家法规标准要求的风险，尤其是数据在出境前、传输过程和数据落地的过程中是否存在违法风险，以及数据出境后接收方对数据的保护是否存在数据滥用风险等都是需要重

4、点关注的问题。1.1.3. 数据安全风险评估需求n 数据安全法出台后的合法性评估需求数据安全法的出台使得数据不仅拥有了“价值”属性，也具备了“法律”属性。调研结果表明，各行业明确将数据安全的合法合规情况作为未来一段时间内的重点工作，企业管理者开始关注面临的数据安全风险以及如何实现数据安全合规。对于企业管理者来讲，目前最紧急的工作是需要全面开展数据安全风险评估，找出是否存在违法的情况以及和法律要求之间的差距，从而为数据安全建设和治理提供依据。n 关键信息基础设施数据的评估需求关键信息基础设施运营者对数据安全评估的需求主要有以下几点。一是需要通过风险评估促进运营者开展数据分类分级制度体系建设和重点

5、保护措施的落实，做到重要数据和核心数据重点保护，明确保护对象范围，厘清保护责任和保护主体；二是需要通过风险评估找出可能导致重要数据失窃、泄露、破坏的安全隐患，降低重要数据一旦遭受攻击后可能带来的恶劣影响，尤其是涉及国家政治安全、经济安全以及民生安全的重要数据和个人信息；三是需要通过风险评估促进数据安全防御体系的改进提升，检验当前的数据安全防护措施是否有效，防护体系是否可以满足当下的网络安全形势，最终达到“以评促建”，提升整体数据安全防御体系的目的。n 数据出境传输的安全评估需求出境数据的主要评估需求点集中在：一是数据跨境传输安全评估，根据不同地区的监管要求、数据敏感度和数据使用情况，需要为数据

6、传输、访问、监控、跟踪以及跨技术栈的存储等方面建立不同的技术控制措施，同时还需要具备报告和监测的能力，对其安全防护措施有效性进行评估；二是出境数据合规性评估，评估企业是否建立适当的控制措施，来应对跨境数据传输和数据本地化是否符合以上相关国内法律的要求，从而最终为数据出境业务保驾护航。1.2. 数据安全风险评估概述风险是发生非期望事态带来的后果与事态发生可能性的组合。风险的定量评估或定性描述使得管理者能够按照他们感知的严重程度或其他已确定的准则对风险进行排序。风险评估活动应该识别风险，进行定量或定性的描述，并依据风险评价准则和与组织目标的相关性进行排序。在信息安全技术 信息安全风险评估实施指南（

7、GB/T 31509-2015）中，将信息安全风险评估的全过程定义为： 评估准备：确认评估目标、范围、团队、依据等的过程； 风险识别：发现、认识和描述风险的过程； 风险分析：理解风险的本质和确定风险水平的过程； 风险评价：将风险分析结果与风险准则进行比较，以确定风险是否可接受、可容忍的过程。数据安全风险评估是对数据资产价值、合规性、潜在威胁、脆弱性环节、已采取的防护安全等进行监测，分析和判断数据安全事件发生的概率以及可能造成的损失，并采取有针对性的处置措施和提出数据安全风险管控措施。数据安全风险评估工作基于信息安全风险评估开展，不同的是，数据安全风险评估更注重数据资产和数据处理活动中所面临的风

8、险情况。1.2.1. 数据安全风险评估核心内容n 数据识别安全评估数据识别是数据安全评估的基础。通过对数据的识别，可以确定数据在业务系统的内部分布、确定数据是如何被访问的、当前的数据访问账号和授权状况。数据识别能够有效解决运营者对数据安全状况的摸底管理工作。基于国家、行业的法律法规及标准要求，数据识别通常包括业务流识别、数据流识别、数据安全责任识别和数据分类分级识别。n 数据安全法律遵从性评估数据安全符合相关法律要求是开展一切数据处理活动的前提和基础。法律遵从性评估的目的不仅在于应对风险，更多的是在于找出差距，驱动数据安全建设合法化，完善数据安全治理体系。n 数据处理安全评估数据处理安全的评估

9、是围绕数据处理活动的收集、存储、使用、加工、传输、提供、公开等环节开展。主要针对数据处理过程中收集的规范性、存储机制安全性、传输安全性、加工和提供的安全性、公开的规范性等开展评估。n 数据环境安全评估数据环境安全是指数据全生命周期安全的环境支撑，可以在多个生命周期环节内复用，主要包括主机、网络、操作系统、数据库、存储介质等环境基础设施。针对数据支撑环境的安全评估主要包括通信环境安全、存储环境安全、计算环境安全、供应链安全和平台安全等方面。n 重要数据出境安全评估重要数据出境是数据安全风险评估所重点关注的风险场景，如果被评估对象中包括数据出境的业务，需要按此部分开展专项评估，重点评估出境数据发送

10、方的数据出境约束力、监管情况、救济途径，以及出境数据接收方的主体资格和承诺履约情况等。1.2.2. 数据安全风险评估原则n 关键数据原则数据安全风险评估以业务中重要程度较高的数据资产作为评估工作的核心，把这些数据涉及的各类应用场景作为评估的重点。数据重要程度越高，数据安全事件一旦发生对业务或组织的影响程度越大，应将重要程度较高的数据资产作为评估工作的重点对象，评估其在各应用场景中存在的威胁、脆弱性及相关安全风险。n 场景依赖原则数据安全风险评估工作依赖数据所涉及的各应用场景。被评估数据的安全风险与其应用场景强相关，评估数据安全风险应评估数据在所涉及的各类应用场景下的安全风险。数据安全风险评估工

11、作首先需要梳理数据所涉及的各类应用场景。然后在此基础上进一步分析数据应用时在场景中各主体及各主体间的活动可能存在的安全风险。n 可控性原则风险评估的可控性原则如下: 风险评估服务可控性评估人员应事先被评估组织管理者的认可，明确需要得到被评估组织协作的工作内容，明确评估工作中相关的管理和技术人员的任务，获得支持和配合，确保安全评估工作的顺利进行。 人员与信息可控性所有参与评估的人员应签署保密协议，以保证项目信息的安全；应对工作过程数据和结果数据严格管理，未经授权不得泄露给任何单位和个人。 过程可控性应按照项目管理要求，成立项目实施团队，项目组长负贵制，达到项目过程的可控。 工具可控性安全评估人员

12、所使用的评估工具应该事先通告被评估组织，并获得其许可。 对业务影响可控从项目管理层面和工具技术层面，将评估工作对网络及相关系统正常运行的可能影响降低到最低限度。对于需要进行攻击性测试的工作内容，需与被评估组织沟通并进行应急备份，同时选择避开业务的高峰时间进行。1.3. 数据安全风险评估要素参照信息安全风险评估要素及其关系，数据安全风险评估中要素及其关系如图所示。数据安全风险评估要素关系图图中方框部分的内容为风险评估的基本要素，椭圆部分的内容是与这些要素相关的属性。风险评估围绕着资产、威胁、脆弱性和安全措施这些基本要素展开，在对基本要素的评估过程中，需要充分考虑业务战略、资产价值、安全需求、安全

13、事件、残余风险等与这些基本要素相关的各类属性。图中的风险要素及属性之间存在着以下关系：） 业务战略的实现对资产具有依赖性，依赖程度越高，要求其风险越小；） 资产是有价值的，组织的业务战略对资产的依赖程度越高，资产价值就越大；） 风险是由威胁引发的，资产面临的威胁越多则风险越大，并可能演变成为安全事件；） 资产的脆弱性可能暴露资产的价值，资产具有的脆弱性越多则风险越大；） 脆弱性是未被满足的安全需求，威胁利用脆弱性危害资产；） 风险的存在及对风险的认识导出安全需求；） 安全需求可通过安全措施得以满足，需要结合资产价值考虑实施成本；） 安全措施可抵御威胁，降低风险；） 残余风险有些是安全措施不当或

14、无效，需要加强才可控制的风险；而有 些则是在综合考虑了安全成本与效益后不去控制的风险；） 残余风险应受到密切监视，它可能会在将来诱发新的安全事件1.4. 数据安全风险评估政策依据n 开展数据安全风险评估的依据中华人民共和国数据安全法中，第二十九条规定“开展数据处理活动应当加强风险监测，发现数据安全缺陷、漏洞等风险时，应当立即采取补救措施；发生数据安全事件时，应当立即采取处置措施，按照规定及时告知用户并向有关主管部门报告。”第三十条规定“重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送风险评估报告。风险评估报告应当包括处理的重要数据的种类、数量，开展数据处 理活

15、动的情况，面临的数据安全风险及其应对措施等。”n 数据安全风险评估工作相关标准数据安全风险评估工作的内容，相关国家标准在意见征求稿阶段，本数据安全风险评估服务参考一下标准： 信息安全技术 信息安全风险评估规范（GB/T 20984-2007） 信息安全技术 信息安全风险评估实施指南（GB/T 31509-2015） 信息安全技术 数据安全能力成熟度模型(GB/T37988-2019) 电信网和互联网数据安全风险评估实施方法（YD/T 3801-2020） 信息安全技术 网络数据处理安全要求 （GB/T 41479 2022 ） 信息安全技术 数据安全风险评估方法（征求意见稿） 网络安全标准实践

16、指南 网络数据安全风险评估实施指引TC260-PG-2023XX（征求意见稿 v1.0-202304） 信息安全技术 网络数据分类分级要求（征求意见稿）n 重要数据识别依据重要数据的识别参照信息安全技术 重要数据识别指南（征求意见稿）。n 个人信息风险评估依据个人信息的风险评估工作中，参考信息安全技术 个人信息安全影响评估指南（GB/T 39335-2020）中的评估方法。1.5. 数据安全风险评估实施过程数据安全风险评估服务实施流程如图所示：1.5.1. 准备阶段风险评估准备是整个风险评估过程有效性的保证。由于风险评估受到组织的业务战略、业务流程、安全需求、系统规模和结构等方而的影响，因此，

17、在风险评估实施前，应充分做好评估前的各项准备工作。数据安全风险评估的准备工作包括：） 确定风险评估的目标；） 确定风险评估的范围；） 组建适当的评估管理与实施团队；） 进行系统调研；） 确定评估依据和方法；） 制定风险评估方案；） 获得最高管理者对风险评估工作的支持。1.5.1.1. 确定评估目标数据安全风险评估专注于被评估业务的数据安全风险，保障被评估业务的数据资产（包含个人信息） 的机密性、完整性、可用性及可控性。评估内容包括数据资产、数据应用场景、面临威胁、脆弱性以及已有安全措施等各方面。1.5.1.2. 确定评估范围数据安全风险评估工作范围可能是组织全部的业务及业务相关的各类信息系统，

18、也可能是某个独立的业务及相关信息系统等，评估对象为根据关键数据原则确定的业务的数据资产。1.5.1.3. 组建评估团队风险评估实施团队，由管理层、相关业务骨干、信息技术等人员组成风险评估小组。必要时，可组建由评估方、被评估方领导和相关部门负责人参加的风险评估领导小组，聘请相关专业的技术专家和技术骨干组成专家小组。评估实施团队应做好评估前的表格、文档、检测工具等各项准备工作，进行风险评估技术培训和保密教育，制定风险评估过程管理相关规定。可根据被评估方要求，双方签署保密合同，必要时签署个人保密协议。n 团队角色与职责为确保风险评估工作的顺利有效进行，应采用合理的项目管理机制，主要相关成员角色与职责

19、说明如表1和表2所示。表1 风险评估小组评估机构成员角色与职责说明评估机构人员角色工作职责项目组长是风险评估项目中实施方的管理者、责任人，具体工作职责包括：1） 根据项目情况组建评估项目实施团队；2） 根据项目情况与被评估方一起确定评估目标和评估范围，并组织项目组成员对被评估方实施系统调研；3） 根据评估目标、评估范围及系统调研的情况确定评估依据，并组织编写评估方案；4） 组织项目组成员开展风险评估各阶段的工作，并对实施过程进行监督、协调和控制，确保各阶段工作的有效实施；5） 与被评估组织进行及时有效的沟通，及时商讨项目进展状况及可能发生问题的预测等；6） 组织项目组成员将风险评估各阶段的工作

20、成果进行汇总，编写风险评估报告与安全整改建议书等项目成果物；7） 负责将项目成果物移交被评估组织，向被评估组织汇报项目成果，并提请项目验收。安全技术评估人员是负责风险评估项目中技术方面评估工作的实施人员。具体工作职责包括：1） 根据评估目标与评估范围的确定参与系统调研，并编写系统调研报告的技术部分内容；2） 参与编写评估方案；3） 遵照评估方案实施各阶段具体的技术性评估工作，主要包括：信息资 产调查、威胁调查、安全技术脆弱性核查等；4） 对评估工作中遇到的问题及时向项目组长汇报，并提出需要协调的资源；5） 将各阶段的技术性评估工作成果进行汇总，参与编写风险评估报告与安全整改建议书等项目成果物；

21、6） 负责向被评估方解答项目成果物中有关技术性细节问题。安全管理评估人员是负责风险评估项目中管理方面评估工作的实施人员。具体工作职责包括：1） 根据评估目标与评估范围的确定参与系统调研，并编写系统调研报告的管理部分内容；2） 参与编写评估方案；3） 遵照评估方案实施各阶段具体的管理性评估工作，主要包括：信息资产调查、威胁调查、安全管理脆弱性核查等；4） 对评估工作中遇到的问题及时向项目组长汇报，并提出需要协调的资源；5） 将各阶段的管理性评估工作成果进行汇总，参与编写风险评估报告与安全整改建议书等项目成果物；6） 负责向被评估方解答项目成果物中有关管理性细节问题。质量管控员是负责风险评估项目中

22、质量管理的人员。具体工作职责包括：1） 监督审计各阶段工作的实施进度与时间进度，对可能出现的影响项目进度的问题及时通告项目组长；2） 负责对项目文档进行管控。表2 风险评估小组被评估组织成员角色与职责说明被评估组织人员角色工作职责项目组长是风险评估项目中被评估组织的管理者。具体工作职责包括：1） 与评估机构的项目组长进行工作协调；2） 组织本单位的项目组成员在风险评估各阶段活动中的配合工作；3） 组织本单位的项目组成员对项目过程中实施方提交的评估信息、数据及文档资料等进行确认，对出现的偏离及时指正；4） 组织本单位的项目组成员对评估机构提交的风险评估报告与 安全整改建议书等项目成果物进行审阅；

23、5） 组织对风险评估项目进行验收；6） 可授权项目协调人负责各阶段性工作，代理实施自己的职责。信息安全管理人员是指被评估组织的专职信息安全管理人员。在风险评估项目中的具体工作职责包括：1） 在项目组长的安排下，配合评估机构在风险评估各阶段中的工作；2） 参与对评估机构提交的评估方案进行研讨；3） 参与对项目过程中实施方提交的评估信息、数据及文档资料等进行确认，及时指正出现的偏离；4） 参与对评估机构提交的风险评估报告与安全整改建议书等项目成果物进行审阅；5） 参与对风险评估项目的验收。项目协调人是指风险评估项目中被评估组织的工作协调人员。 具体工作职责是负责与被 评估组织各级部门之间的信息沟通

24、，及时协调、调动相关部门的资源，包括工作场地、物资、人员等，以保障项目的顺利开展。业务人员是指在被评估组织的业务使用人员代表（应由各业务部门负责人或其授权人员担任）。在风险评估项目中的具体工作职责包括：1） 在项目组长的安排下，配合评估机构在风险评估各阶段中的工作；2） 参与对评估机构提交的评估方案进行研讨；3） 参与对项目过程中实施方提交的评估信息、数据及文档资料等进行确认，及时指正出现的偏离；4） 参与对评估机构提交的风险评估报告与安全整改建议书等项目成果物进行审阅；5） 参与对风险评估项目的验收。运维人员是指在被评估组织的信息系统运行维护人员。在风险评估项目中的具体工作职责包括：1） 在

25、项目组长的安排下，配合评估机构在风险评估各阶段中的工作；2） 参与对评估机构提交的评估方案进行研讨；3） 参与对项目过程中实施方提交的评估信息、数据及文档资料等进行确认，及时指正出现的偏离；4） 参与对评估机构提交的风险评估报告与安全整改建议书等项目成果物进行审阅；5） 参与对风险评估项目的验收。开发人员是指在被评估组织本单位或第三方外包商的软件开发人员代表。在风险评估项目中的具体工作职责包括：1） 在项目组长的安排下，配合评估机构在风险评估各阶段中的工作；2） 参与对评估机构提交的评估方案进行研讨；3） 参与对项目过程中实施方提交的评估信息、数据及文档资料等进行确认，及时指正出现的偏离；4）

26、 参与对评估机构提交的风险评估报告与安全整改建议书等项目成果物进行审阅；5） 参与对风险评估项目的验收。n 风险评估领导小组风险评估工作领导小组主要负责决策风险评估工作的目的、目标；参与并指导风险评估准备阶段的启动会议；协调评估实施过程中的各项资源；组织评估项目验收会议；推进并监督风险处理工作等。风险评估工作领导小组一般由被评估组织主管信息化或信息安全工作的领导负责，成员一般包括：被评估组织信息技术部门领导、相关业务部门领导等，评估机构相关人员参与。n 专家组对于大型复杂的风险评估项目，应考虑在项目期间聘请相关领域的专家对风险评估项目的关键阶段进行工作指导，具体包括：a) 帮助被评估组织和实施

27、方规划风险评估项目的总体工作思路和方向；b） 对出现的关键性难点问题进行决策；c） 对风险评估结论进行确定。1.5.1.4. 系统调研系统调研是了解、熟悉被评估对象的过程，风险评估小组进行充分的系统调研，以确定风险评估的依据和方法。调研内容包括: 数据安全管理组织架构、职责和人员配备情况； 数据安全管 理相关制度、流程； 待评估业务相关的信息系统的网络拓扑结构与安全域划分: 其他。系统调研采取问卷调查、现场面谈、资料查阅相结合的方式进行。1.5.1.5. 确定评估依据和方法根据系统调研结果，确定评估依据和评估方法。评估依据包括（但不仅限于）： 适用的法律、行政法规、司法解释； 电信主管部门、国

28、家网信部门、公安机关等有关部门规章、规范性文件； 现行有关国际标准、国家标准、行业标准； 被评估组织的数据安全、信息安全等有关安全要求。根据评估依据，考虑评估的目的、范围、时间、效果、人员素质等因素来选择具体的风险计算方法，并依据业务实施对系统安全运行的需求，确定相关的判断依据，使之能够与组织环境和安全要求相适应。1.5.1.6. 制定评估方案风险评估方案是评估工作实施活动总体计划，用于管理评估工作的开展，使评估各阶段工作可控，并作为评估项目验收的主要依据之一。风险评估方案应得到被评估组织的确认和认可。风险评估方案的内容包括：a） 风险评估工作框架:包括评估目标、评估范围、评估依据等；b） 评

29、估团队组织:包括评估小组成员、组织结构、角色、责任；如有必要还应包括风险评估领导小组和专家组组建介绍等；c） 评估工作计划:包括各阶段工作内容、工作形式、工作成果等；d） 风险规避:包括保密协议、评估工作环境要求、评估方法、工具选择、应急预案等；e） 时间进度安排:评估工作实施的时间进度安排；f） 项目验收方式:包括验收方式、验收依据、验收结论定义等。1.5.1.7. 获得支持上述所有内容确定后，应形成较为完整的风险评估实施方案，得到组织最高管理者的支持、批准；对管理层和技术人员进行传达，在组织范围内就风险评估相关内容进行培训，以明确有关人员在风险评估中的任务。1.5.2. 识别阶段识别阶段是

30、风险评估工作的重要工作阶段，通过对组织和信息系统中资产、威胁、脆弱性等要素的识别，是进行信息系统安全风险分析的前提。1.5.2.1. 数据资产识别数据资产识别是数据安全风险评估的基础。数据资产识别是一个“摸清家底”的过程，建立数据资产清单，掌握数据重要程度，是风险评估的基础，也是数据分级分类管理的基础。资产是对组织具有价值的信息或资源，是安全策略保护的对象。在风险评估工作中，风险的重要因素都以资产为中心，威胁、脆弱性以及风险都是针对资产而客观存在的。威胁利用资产自身脆弱性，使得安全事件的发生成为可能，从而形成了安全风险。这些安全事件一旦发生，对具体资产甚至是整个信息系统都将造成一定影响，从而对

31、组织的利益造成影响。因此，资产是风险评估的重要对象。表 数据威胁与脆弱性利用的关系例举数据威胁脆弱性恶意代码注入采集/处理/存储组件存在漏洞。数据无效写入/数据污染数据入库时无校验机制。传输信道被监听/遭到中间人攻击数据以明文传输；敏感元数据未加密或脱敏。物理环境变化/自然灾害/硬件故障无数据备份/恢复机制；云计算等第三方平台缺乏安全保障机制。越权访问与数据资源滥用内部员工、合作方员工安全管理存在漏洞；内部员工、合作方员工违规操作；人员或其他业务系统访问权限粒度太粗。访问授权有误；系统或组件存在漏洞。数据分类分级、标记错误数据分类分级无标准；系统错误。数据篡改采集/处理/存储组件存在漏洞；缺乏操作指导，有权限员工操作错误或配置错误；内部员工或第三方合作人员越权操作。数据窃取数据以明文传输；在数据库服务器、文件服务器。员工终端