一、什么是数据安全风险评估
对数据和数据处理活动安全进行信息调研、风险识别、风险分析和风险评价的整个过程。
数据安全风险评估,主要围绕数据和数据处理活动,聚焦可能影响数据的保密性、完整性、可用性和数据处理合理性的安全风险,掌握数据安全总体状况,发现数据安全隐患,提出数据安全管理和技术 防护措施建议,提升数据安全防攻击、防破坏、防窃取、防泄露、防滥用能力。首先通过信息调研识别数据处理者、业务和信息系统、数据资产、数据处理活动、安全措施等相关要素,然后从数据安全管理、 数据处理活动、数据安全技术、个人信息保护等方面识别风险隐患,最后梳理风险源清单,分析数据安全风险、视情评价风险,并给出整改建议。
二、数据安全风险要素关系
数据安全风险评估涉及数据、数据处理活动、业务、信息系统、安全措施、风险源等基本要素,要素间关系如图1所示。数据和数据处理活动是数据安全风险评估的评估对象。
三、数据安全风险评估的主要内容
Ø 信息调研:对可能影响数据安全风险的要素的情况调研,包括数据处理者、业务和信息系统、数据资产、数据处理活动、数据安全防护措施。掌握数据处理者、业务和信息系统基本情况,梳理涉及的数据资产和数据处理活动,了解采取的数据安全防护措施情况,掌握被评估对象或同行业相关数据安全事件历史发生情况。
Ø 风险识别:基于信息调研情况,从数据安全管理、数据处理活动安全、数据安全技术、个人信息保护等方面进行数据安全风险识别,识别评估对象现有安全措施完备性并对其有效性进行验证,识别可能存在的风险源。
Ø 风险分析与评价:通过分析风险类型、风险危害程度和可能性,评价风险等级。
1) 数据安全风险分析,包括数据安全风险归类、风险危害程度分析、风险 发生可能性分析。
2)风险归类分析,结合风险源可能引发的风险类型,对风险源进行归类。
3)风险危害程度分析,从数据价值、数据重要性、风险源危害程度等方面,综合评价风险可能对国家安全、公共利益或者个人、组织合法权益造成的危害程度。
4) 风险发生可能性,从风险源发生频率、安全措施有效性和完备性、风险源关联性等方面, 综合评价风险发生的可能性。
5) 风险评价过程,一般根据风险危害程度和风险发生可能性评价数据安全风险,得到数据安 全风险级别,梳理形成数据安全风险清单。
四、六种适用情形
情形一:重要数据处理者、关键信息基础设施运营者、处理 100 万人以上个人信息的个人信息处理者、大型互联网平台运营者、赴境外上市的数据处理者、党政机关、网络安全等级保护三级及以上运营者,应每年开展一次数据安全风险评估。
情形二:数据处理者在重要数据共享、交易、委托处理或向境外提供前,应开展数据安全风险评估。
情形三:数据处理者开展高风险数据处理活动前,宜开展数据安全风险评估,高风险数据处理活动包括 但不限于:
1) 重要数据和个人信息处理者合并、分立、解散、被宣告破产进行数据转移。
2) 承载重要数据处理活动的信息系统发生架构调整、下线等重大变更。
3) 数据处理者利用生物特征进行个人身份认证。
4) 基于不同业务目的的数据汇聚融合。
5) 委托处理、向他人提供未成年人、老年人数据。
6) 新技术应用可能带来数据安全风险的。
7) 法律法规或有关部门规定要评估的情形。
8) 其他可能直接危害国家安全、公共利益或者大量个人、组织合法权益的数据处理活动。
情形四:对于已经评估过数据安全风险评估的数据处理活动,当数据范围、数据处理活动、环境、相关方等发生重大变更时,需重新开展数据安全风险评估。
情形五:重要系统上线前,可根据实际需要开展数据安全风险评估。
情形六:当被评估对象的政策环境、外部威胁环境、业务目标、安全目标等发生重大变化时,应重新开展风险评估。