本文節選于數據安全推進計劃(DSI)與CCSA TC601聯合發布的《數據安全風險評估實務:問題剖析與解決思路》,主要梳理了數據安全風險評估的準備階段面臨的典型問題,結合法律法規、部門規章以及標準提供的理論指引,深入分析問題成因,充分參考業內優質經驗,形成問題解決思路,為相關數據處理者、服務機構紓難解惑。
一、如何確定評估觸發條件
《網絡安全法》提出網絡運營者應開展網絡安全認證、檢測、風險評估等活動,并通過網絡安全等級保護、信息安全風險評估等一系列標準對組織的網絡、信息安全風險評估工作進行落地指導。相較于網絡、信息安全風險評估,數據安全風險評估的工作要求、標準依據或正在征求意見,或尚未正式發布——這導致許多數據處理者的數據安全風險評估工作仍處于起步階段,面臨著評估觸發條件不明確的“0號困境”。
部分組織將同地區、同行業的組織遭遇數據安全事件或受到監管部門處罰作為自身開展風險評估的觸發條件:通過將這些公開的事件或處罰信息內化形成風險信息檢查表單,對業務部門逐個開展數據安全風險排查專項工作。然而,此類專項排查工作投入高、收效低:不同的組織對數據安全風險的承受能力與管理需求存在較大的差異,公開的信息披露有限且存在一定的滯后性,導致組織難以有規劃地開展數據安全風險評估工作,評估內容參考性較低,對組織的風險啟示性不足。
解決思路:梳理適用情形
針對這一問題,組織或評估機構可以參考國家標準《數據安全風險評估方法(征求意見稿)》的“5.4 評估適用情形”。評估適用情形列出了數據處理者開展數據安全風險評估的一些具體適用情形。這些情形一是引述了國家法律法規中有關開展風險評估的要求與場景(例如:數據處理者在重要數據共享、交易、委托處理之前),在明確數據安全風險評估活動開展的必要性的同時,也提供了評估活動開展的法規依據;二是總結了組織常見的高風險數據處理活動(例如:基于不同業務目的的數據匯聚融合),為組織或評估機構提供了更為明確、直接的工作指引與建議;三是回應了如何持續開展評估的關切,已開展過風險評估的數據和數據處理活動一旦發生重大變更或變化,組織或評估機構應重新實施風險評估,將風險評估融入組織的數據安全運營機制。實務操作上,組織或評估機構可通過持續梳理數據安全風險評估的適用情形,從評估要求的來源、內容等角度入手,分析、判斷自身適宜開展評估活動的觸發條件、實施時機以及具體評估項的必要性,推動數據安全風險評估工作的常態化開展。
二、如何制定評估工作目標
數據處理者開展數據安全風險評估工作的主要目標可以被分為三層:一是落實監管要求,滿足國家法律法規關于開展風險評估的要求;二是摸底數據現狀,摸清自身數據和數據處理活動基本情況;三是提升安全能力,檢查重要的數據處理活動中是否存在管理、技術風險隱患,推動完善數據安全保護措施。三層目標共同促進數據處理者履行法定義務、建立健全數據安全制度、排查解決漏洞隱患,使數據處于有效保護和合法利用、持續安全的狀態。
然而,大量組織未能正確、全面地認識數據安全風險評估的價值與目標:多數組織將第一層目標作為開展風險評估或其他風險治理工作的唯一目標——這導致一旦缺少了國家法規或監管部門的強制性要求,這些組織開展數據安全風險評估工作的意愿與動力也會隨之喪失。
此外,由于大量組織前期未能全面掌握業務、數據和數據處理活動的特點以及潛在的漏洞隱患,其制定的數據安全風險管理策略無法反映組織的風險管理需求與準則,這也導致組織即使開展了數據安全風險評估工作,也無法基于評估結果準確地衡量風險問題整改措施的投入產出比、實施優先級,甚至產生內部多方對風險評估結果難以達成共識、風險問題整改推進困難等問題,長遠來看,不利于組織數據安全風險的防范與治理。
解決思路:建立風險準則
針對這一問題,組織可以參考數據安全推進計劃發布的《數據安全治理實踐指南3.0》(以下簡稱《實踐指南3.0》),開展數據安全風險評估及治理專項,通過系統化的數據安全風險治理,建立組織的數據安全風險準則。
數據安全風險治理是以風險為中心的方法論,提煉了組織管理數據安全風險時需要重點關注的五大環節,即:風險準則建立、風險要素識別、風險評估分析、風險處置解決、風險治理改進。其中,風險準則建立是指通過分析組織數據安全風險需求,識別組織的關鍵業務、數據和數據處理活動,形成風險治理準則,幫助組織將注意力與資源集中在那些超出自身承受能力的數據安全風險,在明確了風險治理重點對象的同時,也為風險評估、整改等具體活動提供了判斷與執行標準。
實務操作上,組織一是通過分析風險需求,具體任務包括收集、整理自身適用的數據安全、隱私保護法律法規,識別組織的關鍵業務、數據和數據處理活動,明確數據安全風險治理的范圍與重點對象;二是創建數據安全風險治理愿景、使命,這一步需要與組織高層人員進行溝通、協商,在獲得其批準與支持之后,形成基本的風險準則,明確組織的風險管理偏好;三是制定數據安全風險治理政策,這一步需要與內部相關方(例如:人力資源、法務、安全、營銷、IT團隊)進行商議,在充分了解相關方的業務與合規需求之后,制定風險管理政策,為后續風險評估以及其他風險治理相關的工作提供實施方針、標準。
此外,針對組織或內部相關方無法正確理解風險評估的價值與目標這一問題,組織還可以通過工作動員會、研討會、培訓講座等方式,宣貫組織的風險治理政策,解讀評估標準,討論評估方案,加強業務部門對數據安全風險評估及其目標、價值的認知與理解,提升內部相關方對風險評估工作的參與程度,持續強化各方在數據安全風險評估以及治理工作的協同能力。
三、如何規劃評估實施范圍
組織數據安全風險的邊界持續擴展:傳統的安全防護通常采用邊界防護策略保障靜態數據的安全。然而,一方面,組織的業務活動必然伴隨著數據的流動,而數據廣泛存在于數據中心、云端、終端等位置,數據資源暴露面的擴大意味著其面臨的威脅也成倍增加;另一方面,組織數據在多個業務、數據處理活動中與大量設備、人員產生交互,異常的行為隱匿于海量的數據訪問行為中,不僅變得更加隱蔽、難以識別,也無形中擴大了數據安全風險可波及的范圍。
因此,組織如何在日益復雜的業務及數據處理活動中,規劃數據安全風險評估的范圍,在既定的評估時間、范圍內識別出組織最為關注的數據安全風險,是廣大數據處理者、評估機構在籌備評估工作過程中需要重點思考的問題。
解決思路:識別重點對象
為了避免風險邊界過大導致的評估“失焦”問題,提高數據安全風險評估的投入產出比,針對這一問題,組織可以參考《網絡數據安全風險評估實施指引》,在規劃評估范圍時,首先明確評估工作中的重點評估對象。
實務操作上,組織可以參考數據分類分級的成果,將個人信息、重要數據、核心數據以及這些數據的處理活動作為重點評估對象,并抽樣選取一般數據及其數據處理活動,一并納入本次風險評估的范圍,在確保識別出重點評估對象面臨的風險的同時,也保障了評估的全面性。由于一般數據涵蓋范圍較廣,數據處理者可結合組織自身安全需求,對一般數據進行細化分級,本報告將一般數據從低到高分為1級、2級、3級。
如果組織尚未開展數據分類分級工作,則可以參考信息系統等級保護的相關要求,根據業務、信息系統的重要程度,選取核心業務系統或內部的重要信息系統(例如:大數據平臺、人力資源系統、供應鏈系統)的數據和數據處理活動作為重點評估對象,重點評估其承載的數據和數據處理活動面臨的風險。這一解決思路目前已應用于許多組織的數據安全風險評估實踐:組織選取某一重要的信息系統作為評估實施的“原點”,將其數據的來源、去向系統作為評估的范圍邊界,梳理該系統涉及的數據、數據處理活動并繪制數據流向圖,識別數據流轉過程中的操作人員、操作行為以及操作結果等信息,從而分析潛在的數據安全風險問題。
轉載自:數據安全推進計劃
浙公網安備 33010502006954號 
