查看原文
其他

专题研讨 | 如何把握“数据安全风险评估”工作的对象、范围、方法,以提升评估的有效性?

CCIA数安委 CCIA数据安全工作委员会 2022-09-24

“专题研讨”系列延伸阅读




第一期:专题研讨 | 如何理解和规范LBS场景下“位置权限”的使用?
第二期:专题研讨 | 如何理解和规范App接入的第三方服务处理个人信息的情形?
第三期:专题研讨 | “隐私政策”的书写、展示、使用方式如何能兼顾监管要求、用户体验?

研讨背景

近年来,数据安全相关法律法规频繁出台,其中,非常明确的原则是国家统筹发展和安全,坚持促进数据开发利用与保障数据安全并重的原则,而要达成这一目标,开展数据安全风险评估已成为不可或缺的环节。《中华人民共和国数据安全法》中就提到建立数据安全风险评估的协作和统一管理机制,明确指出“重要数据处理者应对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告”。随着以数据要素流通为核心的数字经济的快速发展,数据安全风险评估将逐渐成为一种常规性保障机制从而成为组织的“刚需”,如何做好、做对“数据安全风险评估”成为了合规实务工作的重中之重。


针对上述难点,CCIA数据安全工作委员会于近日组织各方专家进行了研讨。与会专家从理清基础概念、探索实践路径、提出安全建议等角度各抒己见。现就研讨中形成的主要观点以会议纪要方式公开,供各界参考、指正。


参与此次研讨的专家来自:中国电子技术标准化研究院、中国信息通信研究院、国家信息中心等研究机构以及部分CCIA数据安全工作委员会委员单位。


以下观点仅代表专家个人观点。


本期研讨主题


如何把握“数据安全风险评估”工作开展的对象、范围、方法,以提升评估的有效性?


研讨问题

研讨问题1:数据安全风险评估与信息安全风险评估的方法和原理有何异同?是否能够合并开展?

精彩观点如下:

以评估的三要素来分析:

资产角度:信息安全风险评估的主要资产为系统、平台,数据安全风险评估的主要资产是数据;系统、平台偏向于静态资产,数据的特点是伴随业务进行动态流动。


威胁角度:两种评估涉及的威胁源区别不大,数据安全安全风险评估的威胁,还需要考虑数据处理的合法性、正当性方面的因素,以及数据污染等新型攻击形式。


脆弱性角度:信息安全风险评估的脆弱性适用于数据安全风险评估(如CIA三要素所对应的技术和管理脆弱性,但是,还需考虑数据脆弱性的维度,比如数据标识错误,数据无法溯源、数据缺乏质量管理、扩大范围共享数据、数据脱敏不正确、数据删除不当导致残留等。


从安全风险的影响范围来看,信息安全风险评估侧重于对组织战略、业务、资产产生的影响,数据安全风险评估还需要考虑到对国家安全、公共利益、关键信息基础设施、大量个人权益等方面的影响。


相比于信息安全风险评估的对象,由于数据的安全风险更多来源于使用、流通过程,因此评估对象更为广泛,除数据本身以外,还包括“数据种类/级别、处理目的、相关方角色、环境要素”等,一般可以将数据安全风险评估的对象称为“数据处理活动”。


相比于信息安全风险评估,企业在开展数据安全风险评估过程中往往会引入对是否落实数据安全、个人信息保护相关法律法规要求的检查。


系统、平台是数据的主要载体,信息安全风险评估工作往往是开展数据安全风险评估的前提,针对数据处理活动相关的系统、平台等载体的信息安全风险评估结果,是数据安全风险评估中能复用的部分。


从客户需求角度,客户对开展数据安全风险评估和信息安全风险评估的目标是一致的,可以归纳为“落实法律法规义务+发现并处置风险”。因此,如果项目团队同时具备开展两类评估工作的能力,则可以合并开展工作以提高效率。


研讨问题2:“系统平台”、“业务场景”,哪个角度更合适识别数据安全风险评估的评估对象?是否有必要将数据处理活动拆分为收集、存储、传输、使用等数据处理生命周期的各个环节?精彩观点如下:

“业务场景”角度更适合数据安全风险评估的评估对象。通常步骤如下:一是明确需评估的业务场景,二是明确业务场景所涉及的数据处理生命周期(很多场景仅涉及部分生命周期),三是明确所涉及生命周期相关的系统、平台(如果已经做过信息安全风险评估,则可以复用评估结论),然后开展评估工作。


使用“数据地图”等方式明确评估对象,其实就是明确数据处理涉及的生命周期的一种方法,也可以依赖“数据地图”等方式建立数据处理生命周期与数据应用场景的关联矩阵,以便于开展数据安全管理工作。组织如已建立完整的“数据地图”,便可从业务场景角度筛选“数据地图”中需要评估的“区域”,实现评估对象的识别。


数据处理生命周期的区分虽然还存在一些模糊地带,但还是可以帮助理解评估的逻辑、范围,比如,如果“数据收集安全”是最近的合规工作重点,则可以将所有收集阶段相关数据处理活动纳入评估;如果关注“数据分类分级”的落地情况,则需要重点关注存储阶段相关的安全措施。


数据处理生命周期能够对应业务的逻辑、安全的策略,数据流动的现状等等,同时与现有常用的安全标准、面对的检测评估工作等有所衔接。比如涉及到传输阶段,就能与“传输加密”等要求快速对应。


研讨问题3:哪些数据本身的属性、数据安全的特性,是数据安全风险评估过程需考虑的要素?精彩观点如下:

数据安全风险评估中,需要关注不同种类数据所面临威胁、脆弱性、影响程度、影响范围的不同,除了关注个人信息、重要数据等法律法规所区分的数据种类/级别,还应关注因行业、领域不同产生的不同种类的数据,如公共数据、工控数据、金融数据、医疗数据、汽车数据等。


数据安全风险评估时,需要关注的数据属性应当更全面,比如“电子数据 or 非电子数据”,“数据库or 电子文档格式”,数据粒度、量级、数据主体的特点等等,这些要素可能与脆弱性识别有关联。


“数权”问题,如所有权,处理权,调用权,监管权等,会因为不同的业务场景、汇集场景、流通场景导致多权交叉等问题,可能为数据影响范围、影响程度等方面的分析带来复杂性。同时,可以创新的角度探索“如何使用数据安全风险评估结果来帮助明确“数权”问题”的方法。


数据安全风险评估可暂不考虑“信息内容安全”方面的因素,除非法律法规、标准等另有规定或要求。



研讨问题4:哪些工具可以辅助数据安全风险评估?哪些已开展的合规、检测、认证工作结果可以用于数据安全风险评估过程?精彩观点如下:

辅助数据安全风险评估的工具形式包括不限于表单、模板、知识库、软件、设备、平台等,组织可以通过考虑数据安全风险评估的工作量、连续性、场景相似性、投入成本、展示效果等因素,确定满足当前需求的工具形式,以及后续的工具完善计划。


资产识别类工具通常包括:数据资产识别工具,即从(内部)网络或数据库、文件服务器、终端等扫描嗅探,自动梳理与评估对象有关的数据种类,数据流;元数据管理工具,数据分级分类工具、数据标识工具等也能用于支撑评估工作。


威胁分析类工具:主要依赖于对网络设备、安全设备等的安全事件分析,如IDS/IPS、日志审计工具、数据防泄漏(DLP),SOC平台、态势感知平台等。


脆弱性发现类工具主要包括:漏洞扫描工具,渗透测试工具,API风险监测工具,事件溯源工具,管理制度落实情况的检查表单等。 


组织使用的一些其他系统、平台可能会在数据安全风险评估过程中发挥作用,提供安全措施已经落实的证明,比如合同管理系统,供应商管理系统,人力资源管理系统(如员工岗位协议),密码服务平台,运维管理平台,应急保障平台,业务合规管理平台(如下发监管要求)。


等级保护测评、商用密码应用安全性评估、App安全认证,ISO 27001,ISO 27018等,信息安全风险评估报告,审计报告、尽调报告等成熟的检测、认证、评估成果,对数据安全风险评估中的脆弱性、已有安全措施的识别有显著帮助。可以对其中的结果进行复用从而减少工作量,但需要注意已有成果的时效性、与评估对象的一致性。


主管、监管部门发布的法规、规章、指导性文件等,对数据资产敏感程度的认定,影响范围、程度的分析有重要参考价值。行业组织、社会团体、专业机构发布的报告、资讯,对威胁识别、脆弱性发现有帮助。



研讨问题5:数据安全风险评估的结果是侧重于风险等级还是合规水平?数据安全风险等级评判思路和计算方式如何尽可能统一?精彩观点如下:

数据安全风险评估的结果理应侧重于某个数据处理活动的风险等级,如果数据的影响范围较多(国家、公共利益、组织、个人等),也可根据不同的影响面得出各自的风险等级;如果评估的数据处理活动较多,则可采用列表、清单等方式对每个数据处理活动的风险评估进行展示。


从客户需求出发,希望得出整个业务的合规水平(或者是业务整体的风险等级)也是常见的现象,对不同数据处理活动的风险等级进行汇总分析的方式较多,但需向客户说明汇总分析的利与弊并与客户达成一致。如采取不同权重相加的方式时,与客户商议并确定具体的权重值。


数据安全风险等级的评判思路应当参考相应的标准(国家标准、国际标准、行业标准等),计算方式可以进行具体的设计,但计算方式宜予以固化,以便于评估人员能够尽可能维持评判尺度的一致性,也有助于对风险评估结果态势变化进行分析。



研讨问题6:数据安全风险评估报告的核心内容应该有哪些?将风险评估报告上报主管部门时有哪些注意点?精彩观点如下:

数据安全风险评估报告的核心内容包括:数据的种类/级别、数量、涉及的业务(开展数据处理活动的情况)、涉及的角色、已采取的安全措施、风险分析过程、评估结果、风险处理措施等。其中,对业务的说明需要突出业务的特点,明确数据处理目的、处理方式、处理范围等。此外,对于评估依据、评估方法、评估周期等工作层面的介绍也可包含在评估报告内。


数据安全风险评估报告中,风险分析过程和评估结果的部分,可根据数据安全风险评估的主要目的来进一步确定,如开展的是重要数据安全风险评估,则可侧重于对国家安全、公共利益等方面的影响和风险。


组织应当关注数据安全风险评估报告上报主管部门的路径、报送的文件格式,并关注有关要求、模板的更新情况;对于涉及到与态势展示相关的数据,需尽可能采取一致的标准进行报送。


CCIA数据安全工作委员会持续欢迎大家参与以上具体问题的研讨,通过观点交汇、碰撞,为推动深入研究难点问题、启发安全保护措施创新贡献一份微薄之力。


(记录整理:CCIA数据安全工作委员会)


“专题研讨”系列延伸阅读




第一期:专题研讨 | 如何理解和规范LBS场景下“位置权限”的使用?
第二期:专题研讨 | 如何理解和规范App接入的第三方服务处理个人信息的情形?
第三期:专题研讨 | “隐私政策”的书写、展示、使用方式如何能兼顾监管要求、用户体验?

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存