大數(shù)據(jù)技術標準推進委員會一、數(shù)據(jù)安全風險評估工作背景(一)數(shù)據(jù)安全風險形勢日益嚴峻01(二)組織風險防范面臨監(jiān)管考驗02二、數(shù)據(jù)安全風險評估工作現(xiàn)狀(三)評估實施方法逐漸成熟10三、實務問題剖析與解決思路(一)評估準備133.如何規(guī)劃評估實施范圍161.如何獲取有效評估信息183.如何開展風險評估分析20(三)評估總結(jié)231.如何充分應用評估結(jié)果23四、數(shù)據(jù)安全風險評估工作建議(二)構建數(shù)據(jù)安全風險治理框架25附錄：中國信通院云大所實務索引27圖目錄圖1數(shù)據(jù)安全風險基本要素關系11圖2風險矩陣(示例)20圖了數(shù)據(jù)風險治理基本框架26表目錄表1數(shù)據(jù)安全風險評估標準發(fā)展、演進一覽08表2數(shù)據(jù)安全風險評估實施流程與產(chǎn)出物12表了數(shù)據(jù)安全風險評估適用情形13表4評估適用情形檢查表(示例)14表5重點評估對象(示例)17表6數(shù)據(jù)安全風險危害程度(節(jié)選)21表7數(shù)據(jù)級別賦值(示例)22表8數(shù)據(jù)安全風險危害程度等級參考(節(jié)選)23表9安全聲明(模板)24表10實務索引27一.數(shù)據(jù)安全風險評估工作背景全球數(shù)據(jù)泄露、數(shù)據(jù)破壞、數(shù)據(jù)竊取、數(shù)據(jù)濫用等安全事件頻繁發(fā)生，嚴重危害了國家、社會公眾安全。針對各國政府機構、關鍵信息基礎設施的網(wǎng)絡攻擊、數(shù)據(jù)竊取等違法活動明顯增多，數(shù)據(jù)安全事件涉及的數(shù)據(jù)以及用戶體量也在持續(xù)加大。如何有效防范數(shù)據(jù)安全風險與事件，是全球數(shù)字經(jīng)濟發(fā)展下的重點問題。本章節(jié)將總結(jié)國際、國內(nèi)數(shù)據(jù)安全風險形勢，分析廣大組織面臨的各類數(shù)據(jù)安全風險以及日趨嚴格的監(jiān)管合規(guī)要求，闡述了組織加強數(shù)據(jù)安全風險防范的必要性。全球數(shù)據(jù)泄露事件持續(xù)高發(fā)。統(tǒng)計數(shù)據(jù)顯示，僅2021年全球范圍內(nèi)公開披露的數(shù)據(jù)泄露事件已超過四千起，涉及超過200億條數(shù)據(jù)。進入2023年，數(shù)據(jù)泄露的趨勢似乎并未得到緩解：2023年4月，威脅獵人發(fā)布的《2023年Q1數(shù)據(jù)資產(chǎn)泄露分析報告》顯示，僅2023年第一季度就已發(fā)生近千余起數(shù)據(jù)泄露事件，這些事件涉及上千家組織、近四十個行業(yè)。例如，Twitter在2023年1月遭遇了數(shù)據(jù)泄露事件，包括用戶電子郵件地址、姓名等2億條個人信息被泄露。2023年2月，全美最大的綜合醫(yī)療服務網(wǎng)絡HeritageProviderNetwork遭遇勒索軟件攻擊，導致多個醫(yī)療機構大量敏感信息泄露。2023年2月，Telegram各大頻道突然大面積轉(zhuǎn)發(fā)某隱私查詢機器人鏈接，該機器人泄露了大量來自我國各快遞、電商平臺的個人信息，包含了用戶的真實姓名、電話與住址等，數(shù)據(jù)量高達45億條。組織數(shù)據(jù)安全保障壓力倍增。2020年，某電商的客戶數(shù)據(jù)泄露導致不法分子冒充客服對全國二十多個城市的受害者進行了電話詐騙，受害者的被騙金額為幾千到十幾萬元不等。2023年8月，公安部公布了打擊侵犯公民個人信息犯罪的十大典型案例，其中黑灰產(chǎn)組織竊取、利用組織掌握的用戶個人信息實施犯罪的案例高居榜首。隨著個人信息成為黑灰產(chǎn)組織逐利的“重災區(qū)”,組織面對無孔不入的黑灰產(chǎn)組織，在數(shù)據(jù)安全風險應對上壓力倍增。數(shù)據(jù)泄露事件為組織帶來的損失也在逐年走高。組織數(shù)字化轉(zhuǎn)型加快，對數(shù)據(jù)依賴程度隨之加深，數(shù)據(jù)一旦泄露給組織帶來的損失也更加嚴重。根據(jù)IBM《2023年數(shù)據(jù)泄露成本報告》顯示，組織數(shù)據(jù)泄露事件平均成本達到445萬美元，較2022年的435萬美元增長2.3%,而較2020年的386萬美元則足足增長了15.3%,現(xiàn)已創(chuàng)下歷史新高。有針對性的數(shù)據(jù)勒索與破壞事件愈演愈烈。隨著全球各行業(yè)領域的組織數(shù)字化轉(zhuǎn)型程度加深，其系統(tǒng)及承載的數(shù)據(jù)重要程度也隨之提升，其中的關鍵數(shù)據(jù)更是組織業(yè)務運行命脈，一旦這些關鍵數(shù)據(jù)遭到破壞，將面臨業(yè)務中斷、信息系統(tǒng)或網(wǎng)絡服務癱瘓，嚴重的后果可能是長期業(yè)務受損，客戶信息、商業(yè)機密等重要數(shù)據(jù)泄露，給組織帶來重大的經(jīng)濟損失和聲譽損失。而近年來，針對政府機構、知名組織的數(shù)據(jù)勒索、破壞事件也持續(xù)增加：2022年，哥斯達黎加政府遭遇Conti勒索軟件團伙攻擊，國家財政部數(shù)個TB的數(shù)據(jù)以及800多臺服務器受到此次攻擊影響，國內(nèi)數(shù)字稅務服務、海關控制IT系統(tǒng)以及醫(yī)療保健系統(tǒng)在多輪攻擊下接連癱瘓、被迫下線，導致國內(nèi)醫(yī)療保健系統(tǒng)陷入混亂。同年，法國巴黎的一家醫(yī)院CenterHospitalierSudFrancilien(以下簡稱CHSF)遭遇網(wǎng)絡攻擊并被勒索1000萬美元作為解密密鑰的贖金。此次攻擊直接導致了CHSF多個業(yè)務軟件、醫(yī)學影像存儲系統(tǒng)無法訪問，大量醫(yī)療數(shù)據(jù)被加密迫使醫(yī)院推遲多臺手術計劃，大量患者被臨時轉(zhuǎn)診至其他機構，這嚴重威脅了當?shù)氐募?、重病患者生命安全。來自“?nèi)鬼”的數(shù)據(jù)竊取也令組織防不勝防。2023年6月6日，Verizon發(fā)布了《2023分析了從2017年以來的16312起安全事件和5199起數(shù)據(jù)泄露事件，指出74%的泄露事件由人為因素造成的，約五分之一的數(shù)據(jù)泄露事件來自于組織的內(nèi)部。組織收集、存儲了大量用戶的個人信息數(shù)據(jù)，一旦組織內(nèi)部出現(xiàn)了特權賬號濫用、數(shù)據(jù)權限分配不清、人員利用越權訪問漏洞等問題，將直接導致?lián)碛袃?nèi)部人員對其獲取的數(shù)據(jù)進行不正當?shù)氖褂没蛘吒`取。2023年5月，特斯拉兩名員工違規(guī)挪用、泄露了包括員工個人信息、客戶銀行信息、生產(chǎn)信息在內(nèi)的100GB數(shù)據(jù)，影響超過7.5萬人。無獨有偶，2023年7月，日本通信運營商NTTDOCOMO的承包商員工盜取了包括用戶個人信息在內(nèi)的596萬條商業(yè)信面對日益嚴峻的網(wǎng)絡數(shù)據(jù)安全風險，各國政府倡導國際、國內(nèi)或地區(qū)內(nèi)的公私部門開展網(wǎng)絡數(shù)據(jù)安全風險防范合作。例如，2023年《聯(lián)合國打擊網(wǎng)絡犯罪公約》結(jié)合新型網(wǎng)絡犯罪情況，要求締約國將黑客攻擊、非法數(shù)據(jù)獲取等犯罪行為納入本國刑法執(zhí)法范圍，倡導加強網(wǎng)絡數(shù)據(jù)安全風險的跨國協(xié)作與應對。再例如，歐盟《數(shù)據(jù)治理法案》(2022)提出歐盟境內(nèi)的公共和私營組織在共享數(shù)據(jù)時，應遵守的安全與可靠性要求，要求及時報告數(shù)據(jù)泄露事件，防范全球數(shù)據(jù)流通帶來的數(shù)據(jù)共享風險。美國《網(wǎng)絡安全信息分享法案(CISA)》(2015)也曾鼓勵國內(nèi)的私營組織與政府進行網(wǎng)絡威脅情報義務、責任，要求其開展數(shù)據(jù)保護影響評估等活動，加強對用戶個人信息的保護。中國方面。2021年，中國《中華人民共和國數(shù)據(jù)安全法》(以下簡稱《數(shù)據(jù)安全法》)、《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》)相繼頒布、實施。作為數(shù)據(jù)安全領域的基礎性法律，《數(shù)據(jù)安全法》指出數(shù)據(jù)處理者開展數(shù)據(jù)處理活動應依照法律、法規(guī)的規(guī)定，建立健全全流程數(shù)據(jù)安全管理制度，組織開展數(shù)據(jù)安全教育培訓，采取相應的技術措施和其他必要措施，保障數(shù)據(jù)安全。其中，重要數(shù)據(jù)處理者應當按照規(guī)定對其數(shù)據(jù)處理活動定期開展風險評估，并向有關主管部門報送風險評估報告?！秱€人信息保護法》則進一步強調(diào)了個人信息處理者的責任與義務，提出個人信息處理者應對其個人信息處理活動負責，并采取必要措施保障所處理的個人信息的安全。在處理敏感個人信息等情形下，個人信息處理者還應當事前進行個人信息保護影響評估，并對處理情況進行記錄。歐盟方面。2018年，歐盟《通用數(shù)據(jù)保護條例》(GeneralDataProtectionReg-ulation,以下簡稱“GDPR”)正式生效。GDPR基于其域外效力及嚴厲的行政處罰措施，提出了個人同意、隱私權影響評估等多項數(shù)據(jù)處理合規(guī)要求，并警示其適用范圍內(nèi)的數(shù)據(jù)處理主體嚴格履行合規(guī)義務。針對可能會為自然人權利與自由帶來高度風險的數(shù)據(jù)處理方式，GDPR提出數(shù)據(jù)處理主體應事先進行影響評估，加強對個人敏感信息的保護，限制對個人信息的非授權使用?？赡軐οM者帶來重大風險的行為，信息處理者應開展數(shù)據(jù)保新加坡、俄羅斯、印度、巴西、韓國等多個國家也通過立法明確了數(shù)據(jù)處理者的數(shù)據(jù)保護、風險防范以及數(shù)據(jù)保護影響評估活動等方面的要求，加強了數(shù)據(jù)處理者的監(jiān)督和處罰，極大地推動了以上國家、地區(qū)的數(shù)據(jù)處理者提升數(shù)據(jù)安全風險防范能力，切實保護數(shù)據(jù)安全。新技術應用衍生新型安全風險。5G、人工智能、云計算、移動互聯(lián)網(wǎng)、大數(shù)據(jù)分析等新興技術應用極大地推動了各行業(yè)領域的組織發(fā)展與創(chuàng)新，為廣大用戶提供了更為智能、便利的服務，但同時也帶來了大量的安全漏洞、風險。以云計算為例。云計算通過互聯(lián)網(wǎng)為組織提供了更加靈活、可擴展的計算和存儲服務，實現(xiàn)了資源池化、按需擴縮容的能力，但云平臺的復雜性以及多租戶環(huán)境也存在數(shù)據(jù)隔離失效的問題，存在內(nèi)部人員越權訪問的可能，增加了組織數(shù)據(jù)泄露的風險。再例如，5G技術的典型應用場景eMBB(增強移動帶寬),由于在增強現(xiàn)實(AR)、虛擬現(xiàn)實(VR)、高清視頻直播、頻等對帶寬有極高要求的業(yè)務場景下衍生的海量數(shù)據(jù)往往涉及個人隱私數(shù)據(jù)，而傳統(tǒng)的安全基礎設施難以適應超大流量的5G網(wǎng)絡防護以及海量用戶隱私數(shù)據(jù)保護的安全需求。新興技術的監(jiān)管措施與規(guī)范的不完善也可能導致數(shù)據(jù)安全風險。部分處于萌芽期的新興技術可能因其配套的監(jiān)管措施與技術規(guī)范尚未完善，在實際應用過程中為組織、個人帶來尚未被公眾充分認識的數(shù)據(jù)安全風險，導致安全事件一旦發(fā)生，出現(xiàn)責任主體判定難、治理成本高等問題。以生成式Al為例。其在文本、圖片或視頻生成等領域中得到了廣泛的應用，但如果在學習訓練階段缺乏監(jiān)管，該技術可能會因其對個人信息進行深度加工、價值挖掘，導致個人信息被違規(guī)利用或個人信息主體的權益遭到侵害，帶來個人信息泄露的安全風險。針對這一問題，2023年7月我國國家互聯(lián)網(wǎng)信息辦公室(以下簡稱“國家網(wǎng)信辦”)發(fā)布了《生成式人工智能服務管理暫行辦法》,明確了數(shù)據(jù)訓練的要求，強調(diào)涉及個人信息的訓練數(shù)據(jù)處理活動須遵守法律和監(jiān)管要求——這一定程度上推動了生成式Al技術的安全、合規(guī)應用，但對于如何防范其可能引發(fā)的數(shù)據(jù)安全風險問題，仍需產(chǎn)業(yè)界的持續(xù)探索。二.數(shù)據(jù)安全風險評估工作現(xiàn)狀隨著我國數(shù)字經(jīng)濟的快速發(fā)展、傳統(tǒng)業(yè)務的數(shù)字化轉(zhuǎn)型以及數(shù)據(jù)價值化加速推進，結(jié)合全球數(shù)據(jù)安全風險的整體形勢，數(shù)據(jù)安全風險的識別、評估與應對已成為我國廣大組織面臨的最緊迫、最根本的問題，受到了國家、行業(yè)主管部門以及產(chǎn)業(yè)多方的高度重視。本章節(jié)將總結(jié)國內(nèi)數(shù)據(jù)安全風險評估工作落地情況，介紹數(shù)據(jù)安全風險評估的相關標準與實施方法，為相關數(shù)據(jù)處理者、服務機構初步建立數(shù)據(jù)安全風險評估實施的整體認知?！稊?shù)據(jù)安全法》提出了國家建立集中統(tǒng)一、高效權威的數(shù)據(jù)安全風險評估、報告、信息共享、監(jiān)測預警機制，數(shù)據(jù)處理者開展數(shù)據(jù)處理活動應當加強風險監(jiān)測，發(fā)現(xiàn)數(shù)據(jù)安全缺陷、漏洞等風險時，應當立即采取補救措施，強調(diào)了對風險信息的監(jiān)測與評估是把控數(shù)據(jù)安全風險的首要途徑。為了規(guī)范數(shù)據(jù)處理活動，防范重大數(shù)據(jù)安全風險，中華人民共和國國務院(以下簡稱“國務院”)、國家網(wǎng)信辦、工業(yè)和信息化部(以下簡稱“工信部”)、中國人民銀行、國家醫(yī)療保障局等監(jiān)管部門、行業(yè)主管部門相繼發(fā)布了數(shù)據(jù)安全保護工作要求，提出數(shù)據(jù)處理者應建立健全數(shù)據(jù)安全風險評估機制，開展風險評估工作，及時消除風險隱患。包括《關鍵信息基礎設施安全保護條例》《汽車數(shù)據(jù)安全管理若干規(guī)定(試行)》《網(wǎng)絡數(shù)據(jù)安全管理條例(征求意見稿)》《工業(yè)和信息化領域數(shù)據(jù)安全管理辦法(試行)》《中國人民銀行業(yè)務領域數(shù)據(jù)安全管理辦法(征求意見稿)》等多項文件也進一步明確了關鍵信息基礎設施的運營者、重要數(shù)據(jù)處理者以及特定情形下的個人信息處理者等重點主體應按照有關規(guī)定，定期開展風險評估，報送評估報告的具體工作要求。關鍵信息基礎設施運營者每年開展風險評估。國務院令第745號《關鍵信息基礎設施安全保護條例》要求關鍵信息基礎設施運營者每年至少進行一次網(wǎng)絡安全檢測和風險評估，對發(fā)現(xiàn)的安全問題及時整改，并按照保護工作部門要求報送情況。重要數(shù)據(jù)處理者定期開展數(shù)據(jù)安全評估?！稊?shù)據(jù)安全法》在第三十條明確了重要數(shù)據(jù)的處理者應當按照規(guī)定對其數(shù)據(jù)處理活動定期開展風險評估，并向有關主管部門報送風險評估報告。2022年，國家網(wǎng)信辦發(fā)布了《網(wǎng)絡數(shù)據(jù)安全管理條例(征求意見稿)》,要求組織的數(shù)據(jù)安全管理機構定期開展數(shù)據(jù)安全宣傳教育培訓、風險評估、應急演練等活動。涉及處理重要數(shù)據(jù)或者赴境外上市的，數(shù)據(jù)處理者應每年開展一次數(shù)據(jù)安全評估。主管部門應定期組織開展本行業(yè)、本領域的數(shù)據(jù)安全風險評估，對數(shù)據(jù)處理者履行數(shù)據(jù)安全保護義務情況進行監(jiān)督檢查，指導督促數(shù)據(jù)處理者及時對存在的風險隱患進行整改。工信部發(fā)布的《工業(yè)和信息化領域數(shù)據(jù)安全管理辦法(試行)》也提出，工信領域的重要數(shù)據(jù)和核心數(shù)據(jù)處理者應每年對其數(shù)據(jù)處理活動至少開展一次風險評估，及時整改風險問題，并向本地區(qū)行業(yè)監(jiān)管部門報送風險評估報告。個人信息處理者應結(jié)合具體情形開展安全評估或者個人信息保護影響評估?！秱€人信息保護法》明確了個人信息處理者在特定的情形下需要通過國家網(wǎng)信部門組織的安全評估或者開展個人信息保護影響評估的要求：例如，第四十條提出了關鍵信息基礎設施運營者和處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者，在確需將在中華人民共和國境內(nèi)收集和產(chǎn)生的個人信息向境外提供的情形下，應通過國家網(wǎng)信部門組織的安全評估。而第五十五條則明確了在處理敏感個人信息、利用個人信息進行自動化決策等五種具體情形下，個人信息處理者應事前進行個人信息保護影響評估，并對處理情況進行記錄，并進一步規(guī)定了個人信息保護影響評估的內(nèi)容、報告和處理記錄留存等具體要求。如涉及向境外提供境內(nèi)收集和產(chǎn)生的重要數(shù)據(jù)和個人信息的數(shù)據(jù)處理者開展數(shù)據(jù)出境風險自評估。此類數(shù)據(jù)處理者需要按照國家網(wǎng)信辦《數(shù)據(jù)出境安全評估辦法》,開展數(shù)據(jù)出境風險自評估開展數(shù)據(jù)出境風險自評估，并向國家網(wǎng)信部門申報數(shù)據(jù)出境安全評估。數(shù)據(jù)處理者需要在風險自評估環(huán)節(jié)，重點評估其出境數(shù)據(jù)的規(guī)模、范圍、種類、敏感程度、數(shù)據(jù)出境可能對國家安全、公共利益、個人或者組織合法權益帶來的風險以及數(shù)據(jù)出境中和出境后遭到篡改、破壞、泄露等風險等方面內(nèi)容。地方層面，多地積極響應數(shù)據(jù)安全風險評估工作。北京、貴州、天津、海南、山西、吉林、安徽、山東、深圳、上海等省市地區(qū)紛紛頒布相關數(shù)據(jù)條例、管理辦法等文件，積極落實國家法律法規(guī)要求，推動當?shù)財?shù)據(jù)處理者開展風險評估工作。2019年天津市互聯(lián)網(wǎng)信息辦公室印發(fā)的《天津市數(shù)據(jù)安全管理辦法(暫行)》在第七條提出數(shù)據(jù)運營者應當開展數(shù)據(jù)安全風險評估的要求，并在第十七條強調(diào)數(shù)據(jù)運營者如向境外提供個人信息和重要數(shù)據(jù)，應按照相關法律法規(guī)的規(guī)定開展安全評估。2021年11月，上海市第十五屆人民代表大會通過了《上海市數(shù)據(jù)條例》。其中，第八十一條提出重要數(shù)據(jù)處理者應按照規(guī)定，定期對其數(shù)據(jù)處理活動開展風險評估，并依法向有關主管部門報送風險評估報告的要求。其他的省市地區(qū)(例如：遼寧、安徽、山東、蘇州、深圳、廈門等)也均在其數(shù)據(jù)條例等文件中強調(diào)了開展數(shù)據(jù)處理活動的組織定期進行數(shù)據(jù)安全風險評估，提高風險識別與處置能力，嚴格落實個人信息合法使用、數(shù)據(jù)安全使用承諾和重要數(shù)據(jù)出境安全管理等相關要求。據(jù)安全風險評估推動了各行業(yè)、領域的廣大數(shù)據(jù)處理者合法、正當?shù)亻_展數(shù)據(jù)處理活動，在提高數(shù)據(jù)處理者的數(shù)據(jù)安全保障能力，防范重大數(shù)據(jù)安全風險等方面具有重要的意義。為更好地響應廣大數(shù)據(jù)處理者的需求、落實數(shù)據(jù)安全風險評估的法定要求，國家、地方數(shù)據(jù)安全監(jiān)管機構以及相關行業(yè)組織也相繼發(fā)布了具體的數(shù)據(jù)安全風險評估實施指引、標準以及實踐指南等文件，積極推動數(shù)據(jù)安全風險評估標準與指南的研究與制定工國家標準編制進程持續(xù)加速。2022年3月，全國信息安全標準化技術委員會(以下簡稱“全國信安標委”)啟動了國家標準《信息安全技術數(shù)據(jù)安全風險評估方法》(以下簡稱《數(shù)據(jù)安全風險評估方法(征求意見稿)》)的編制工作，并于2023年8月面向社會公《數(shù)據(jù)安全風險評估方法(征求意見稿)》基于國家標準GB/T20984-2022《信息安全技術信息安全風險評估方法》(以下簡稱《信息安全風險評估方法》)的框架、流程與實施方法，考慮了數(shù)據(jù)和數(shù)據(jù)處理活動的特點，借鑒了GB/T37988-2019《信息安全技術數(shù)據(jù)安全能力成熟度模型》、GB/T35273-2020《信息安全技術個人信息安全規(guī)范》、JR/T0223-2021《金融數(shù)據(jù)安全數(shù)據(jù)生命周期安全規(guī)范》等國家、行業(yè)標準，最終從管理、數(shù)據(jù)處理活動、技術等維度入手，結(jié)合核心數(shù)據(jù)、重要數(shù)據(jù)、個人信息、一般數(shù)據(jù)的安全特點與保護要求，提出了數(shù)據(jù)安全風險評估的基本概念、要素關系、分析原理、實施流程、評估內(nèi)容、分析與評價方法等方面的內(nèi)容。此外，2023年5月，全國信安標委還編制、發(fā)布了《TC260-PG-20231A網(wǎng)絡數(shù)據(jù)安全實踐指南——網(wǎng)絡數(shù)據(jù)安全風險評估實施指引》(以下簡稱《網(wǎng)絡數(shù)據(jù)安全風險評估實施指引》),為廣大組織與專業(yè)服務機構提供了風險評估的實施流程、實施方法、評估內(nèi)容等具體指導。多個行業(yè)的數(shù)據(jù)安全風險評估標準持續(xù)完善。數(shù)據(jù)安全風險與行業(yè)領域數(shù)據(jù)的應用場景息息相關。為了更好地指導業(yè)內(nèi)的廣大數(shù)據(jù)處理者有效識別、評估數(shù)據(jù)安全風險，因地制宜地加強自身的風險防范能力，一些行業(yè)主管部門也在持續(xù)推進行業(yè)數(shù)據(jù)安全風險評估方法的編制工作。以電信網(wǎng)和互聯(lián)網(wǎng)行業(yè)為例。2020年，工信部發(fā)布了YD/T3801-2020《電信網(wǎng)和互聯(lián)網(wǎng)數(shù)據(jù)安全風險評估實施方法》標準。該標準同樣參考了《信息安全風險評估方法》,將數(shù)據(jù)作為核心保護對象，面向電信網(wǎng)和互聯(lián)網(wǎng)的典型數(shù)據(jù)應用場景，提煉了電信網(wǎng)和互聯(lián)網(wǎng)數(shù)據(jù)安全風險的基本要素及要素間的關系，提供了電信網(wǎng)和互聯(lián)網(wǎng)組織實施數(shù)據(jù)安全風險評估的具體流程、操作方法與風險分析思路。此外，YD/T3956-2021《電信網(wǎng)和互聯(lián)網(wǎng)數(shù)據(jù)安全評估規(guī)范》、YD/T4241-2023《電信網(wǎng)和互聯(lián)網(wǎng)數(shù)據(jù)安全評估技術實施指南》等行業(yè)標準也提供了對電信網(wǎng)和互聯(lián)網(wǎng)網(wǎng)絡單元以及業(yè)務系統(tǒng)進行安全評估的方法，為業(yè)內(nèi)組織開展數(shù)據(jù)安全風險評估、現(xiàn)有安全措施評估等工作提供了參考依據(jù)。再例如金融行業(yè)。近年，中國人民銀行陸續(xù)發(fā)布了JR/T0223-2021《金融數(shù)據(jù)安全數(shù)據(jù)生命周期安全規(guī)范》《金融數(shù)據(jù)安全數(shù)據(jù)安全評估規(guī)范(征求意見稿)》等標準，充分結(jié)合金融業(yè)機構的組織特點、數(shù)據(jù)及其處理活動的特征，提供了金融業(yè)機構開展數(shù)據(jù)安全風險評估相關工作的實施流程、重點評估事項，在有效指導金融業(yè)機構及時識別數(shù)據(jù)安全風險，防范數(shù)據(jù)安全事件的同時，也推動金融業(yè)機構充分落實金融業(yè)數(shù)據(jù)安全管理要求，提升數(shù)據(jù)安全保護工作水平，為各機構實施數(shù)據(jù)安全風險評估相關的工作提供了重要的參考。上述風險評估標準的發(fā)展與演進見表1。發(fā)布時間信息安全風險評估方法》布2022年更新、實施系、風險分析原理、風險評估實施流程和方法，以及風險式。方面構建了風險評估框架。險評價四個階段。溝通與協(xié)商、文檔記錄作為必要的手段，貫穿整個評估實施流程。2020年發(fā)布說明：基于《信息安全風險評估方法》,總結(jié)了電信互聯(lián)網(wǎng)的數(shù)據(jù)威脅、脆弱性、已有安全措施等要素識別內(nèi)說明：提出風險評估依賴數(shù)據(jù)所涉及的各應用場景，認為針對已識別的待評估數(shù)據(jù)資產(chǎn)，需要對數(shù)據(jù)應用場景中的業(yè)務流程或使用流程、數(shù)據(jù)活動、參與主體進行識別，進而識別、分析場景內(nèi)的數(shù)據(jù)威脅、脆弱性等風險要素。說明：將風險評估實施作為一個單獨階段，與風險處置、險分析與評價等多個環(huán)節(jié)的工作內(nèi)容，制定了電信網(wǎng)和互聯(lián)網(wǎng)數(shù)據(jù)安全風險評估實施的整體流程。發(fā)布時間《政務數(shù)據(jù)安范》2022年發(fā)布·明確了政務數(shù)據(jù)安全風險評估實施要點說明：基于《信息安全風險評估方法》《電信網(wǎng)和互聯(lián)網(wǎng)數(shù)據(jù)安全風險評估實施方法》,參考GB/T37973-2019關系。·提出了政務系統(tǒng)資產(chǎn)的識別要求的目標與原則，進行政務數(shù)據(jù)分類與分級，并將系統(tǒng)資產(chǎn)價值與安全威脅、安全脆弱性等其他風險要素一并進行識·細化了政務數(shù)據(jù)安全風險評估實施流程說明：基于評估準備、評估實施、風險分析與評價、編制措施識別、風險分析與評價等多個環(huán)節(jié)的工作內(nèi)容，制定1A《網(wǎng)絡安全標準實踐指南——網(wǎng)絡數(shù)據(jù)安全風引》2023年發(fā)布風險評估方法》對組織的業(yè)務以及系統(tǒng)、平臺等資產(chǎn)的安風險評估的目標還包括落實法律法規(guī)義務，保護關鍵信息基礎設施或個人信息主體權益等方面的內(nèi)容。方法》《電信網(wǎng)和互聯(lián)網(wǎng)數(shù)據(jù)安全風險評估實施方法》以及GB/T39335-2020《信息安全技術估指南》等側(cè)重于方法論構建的評估標準文件形成互補、銜接。異。發(fā)布時間網(wǎng)數(shù)據(jù)安全風險括數(shù)據(jù)處理者、業(yè)務、信息系統(tǒng)、數(shù)據(jù)、數(shù)據(jù)處理活動、業(yè)內(nèi)相繼發(fā)布了多項信息安全風險、數(shù)據(jù)安全風險的評估標準，這些標準相互補充、持續(xù)完善，已成為廣大數(shù)據(jù)處理者開展風險評估的重要參考資料。評估思路方面，各標準均強調(diào)了全面識別風險基本要素的重要性。大量的數(shù)據(jù)流轉(zhuǎn)使數(shù)據(jù)與其訪問主體、傳輸鏈路、承載環(huán)境、安全策略等因素共同構成了“牽一發(fā)而動全這一點在國際、國內(nèi)的多項標準中均有體現(xiàn)：美國國家標準技術研究院(NIST)題操作可用于評估風險發(fā)生的可能性、風險產(chǎn)生的影響。國內(nèi)的《信息安全風險評估方法》則提出信息安全風險評估需要識別包括資產(chǎn)、威脅、脆弱性、安全措施在內(nèi)的“基本要素”,通過建立、分析基本要素之間的關系(即：資產(chǎn)存在脆弱性，威脅通過利用脆弱性導致風險，而安全措施的實施是通過降低脆弱性被利用難易程度，以防范威脅、保護資產(chǎn))進行風險分析。2020年的《電信網(wǎng)和互聯(lián)網(wǎng)數(shù)據(jù)安全風險評估實施方法》結(jié)合電信網(wǎng)和互聯(lián)網(wǎng)行業(yè)數(shù)據(jù)以及數(shù)據(jù)處理活動的特征，進一步提出了該行業(yè)的數(shù)據(jù)安全風險評估需要識別包括數(shù)據(jù)資產(chǎn)、應用場景、數(shù)據(jù)威脅、數(shù)據(jù)脆弱性、安全措施在內(nèi)的基本要素及其屬性，同樣通過建立基本要素之間的關系，分析各應用場景下的數(shù)據(jù)安全事件發(fā)生的可能性與影響，最終得出數(shù)據(jù)資產(chǎn)在多個應用場景下面臨的總體風險值。2023年《網(wǎng)絡數(shù)據(jù)安全風險評估實施指引》和《數(shù)據(jù)安全風險評估方法(征求意見稿)》則基于前述的基本要素，提出了數(shù)據(jù)安全風險的“風險源”這一概念(即：風險源是可能導 -11 -11致危害數(shù)據(jù)的保密性、完整性、可用性和數(shù)據(jù)處理合理性等事件的威脅、脆弱性、問題、隱患等，也稱“風險隱患”),并同樣指出了數(shù)據(jù)安全風險評估需要通過信息調(diào)研，識別數(shù)據(jù)處理者、業(yè)務和信息系統(tǒng)、數(shù)據(jù)資產(chǎn)、數(shù)據(jù)處理活動、安全措施等相關基本要素，從數(shù)據(jù)安全管理、數(shù)據(jù)處理活動、數(shù)據(jù)安全技術、個人信息保護等方面識別風險隱患，最終形成風險源清單，分析、評價數(shù)據(jù)安全風險并給出整改建議。降低包含支撐來源：國家標準《數(shù)據(jù)安全風險評估方法(征求意見稿)》,數(shù)據(jù)安全推進計劃整理評估流程方面，“準備-實施-總結(jié)”已成為共識。數(shù)據(jù)安全風險評估工作主要圍繞數(shù)據(jù)處理者的數(shù)據(jù)和數(shù)據(jù)處理活動，對可能影響數(shù)據(jù)保密性、完整性、可用性和數(shù)據(jù)處理合理性的安全風險進行分析和評價。通過對比、總結(jié)國內(nèi)《數(shù)據(jù)安全風險評估方法(征求意見稿)》《網(wǎng)絡數(shù)據(jù)安全風險評估實施指引》《電信網(wǎng)和互聯(lián)網(wǎng)數(shù)據(jù)安全風險評估實施方法》等風險評估標準，可以發(fā)現(xiàn)，風險評估工作目前已形成一套覆蓋“準備-實施-總結(jié)”三大階段的流程，具體分為評估準備、信息調(diào)研、風險識別、綜合分析、評估總結(jié)五個環(huán)節(jié)。各環(huán)節(jié)的工作任務以及產(chǎn)出物也基本明確，具體流程與產(chǎn)出物見表2。 DATASECURITYIN DATASECURITYIN表2數(shù)據(jù)安全風險評估實施流程與產(chǎn)出物·確定評估目標·確定評估范圍·組建評估團隊·制定工作計劃·確定評估依據(jù)與內(nèi)容·制定評估方案·評估調(diào)研表·數(shù)據(jù)處理者基本情況·信息系統(tǒng)清單·數(shù)據(jù)資產(chǎn)清單·數(shù)據(jù)處理者調(diào)研·業(yè)務和信息系統(tǒng)調(diào)研·數(shù)據(jù)資產(chǎn)調(diào)研·數(shù)據(jù)處理活動調(diào)研·安全措施調(diào)研·安全措施情況風險識別·數(shù)據(jù)安全管理風險識別·數(shù)據(jù)處理活動風險識別·數(shù)據(jù)安全技術風險識別·個人信息處理風險識別·人員訪談記錄文檔·文檔查驗記錄文檔安全核查記錄文檔技術測試報告·梳理問題清單·風險分析與評價·提出整改建議·報告風險評估結(jié)果·處置數(shù)據(jù)安全風險·數(shù)據(jù)安全風險評估報告來源：國家標準《數(shù)據(jù)安全風險評估方法(征求意見稿)》,數(shù)據(jù)安全推進計劃整理三.實務問題剖析與解決思路盡管大量法律法規(guī)、部門規(guī)章以及標準提供了豐富的理論指引，組織在數(shù)據(jù)安全風險評估工作實務中仍然面臨重重阻礙。這些阻礙分布在整個評估過程的各個階段，成因錯綜復雜。因此，本章節(jié)將通過系統(tǒng)梳理數(shù)據(jù)安全風險評估的各階段面臨的典型問題，深入分析問題成因，充分參考業(yè)內(nèi)優(yōu)質(zhì)經(jīng)驗，形成問題解決思路，為相關數(shù)據(jù)處理者、服務機構紓難解惑?！毒W(wǎng)絡安全法》提出網(wǎng)絡運營者應開展網(wǎng)絡安全認證、檢測、風險評估等活動，并通過網(wǎng)絡安全等級保護、信息安全風險評估等一系列標準對組織的網(wǎng)絡、信息安全風險評估工作進行落地指導。相較于網(wǎng)絡、信息安全風險評估，數(shù)據(jù)安全風險評估的工作要求、標準依據(jù)或正在征求意見，或尚未正式發(fā)布一—這導致許多數(shù)據(jù)處理者的數(shù)據(jù)安全風險評估工作仍處于起步階段，面臨著評估觸發(fā)條件不明確的“0號困境”。部分組織將同地區(qū)、同行業(yè)的組織遭遇數(shù)據(jù)安全事件或受到監(jiān)管部門處罰作為自身開展風險評估的觸發(fā)條件：通過將這些公開的事件或處罰信息內(nèi)化形成風險信息檢查表單，對業(yè)務部門逐個開展數(shù)據(jù)安全風險排查專項工作。然而，此類專項排查工作投入高、收效低：不同的組織對數(shù)據(jù)安全風險的承受能力與管理需求存在較大的差異，公開的信息披露有限且存在一定的滯后性，導致組織難以有規(guī)劃地開展數(shù)據(jù)安全風險評估工作，評估內(nèi)容參考性較低，對組織的風險啟示性不足。解決思路：梳理適用情形針對這一問題，組織或評估機構可以參考國家標準《數(shù)據(jù)安全風險評估方法(征求意見稿)》的“5.4評估適用情形”。評估適用情形列出了數(shù)據(jù)處理者開展數(shù)據(jù)安全風險評估的一些具體適用情形，具體見表3。的個人信息處理者、大型互聯(lián)網(wǎng)平臺運營者、赴境外上市的數(shù)據(jù)b)數(shù)據(jù)處理者在重要數(shù)據(jù)共享、交易、委托處理或向境外提國家法規(guī)c)數(shù)據(jù)處理者開展高風險數(shù)據(jù)處理活動前，宜開展數(shù)據(jù)安全風險評估，高風險數(shù)據(jù)處理活動包括但不限于：(1)重要數(shù)據(jù)和個人信息處理者合并、分立、解散、被宣告破產(chǎn)進行數(shù)據(jù)轉(zhuǎn)移。(2)承載重要數(shù)據(jù)處理活動的信息系統(tǒng)發(fā)生架構調(diào)整、下線等重大變(3)數(shù)據(jù)處理者利用生物特征進行個人身份認證。(5)委托處理、向他人提供未成年人、老年人數(shù)據(jù)。(6)新技術應用可能帶來數(shù)據(jù)安全風險的。(8)其他可能直接危害國家安全、公共利益或者大量個人、組織合法權益的數(shù)據(jù)處理活動。d)重要系統(tǒng)上線前，可根據(jù)實際需要開展數(shù)據(jù)安全風險評估。e)對于已經(jīng)評估過數(shù)據(jù)安全風險評估的數(shù)據(jù)處理活動，當數(shù)據(jù)范圍、數(shù)據(jù)處理活動、環(huán)境、相關方等發(fā)生重大變更時，需重新開展數(shù)據(jù)安全風險評f)當被評估對象的政策環(huán)境、外部威脅環(huán)境、業(yè)務目標、安全目標等發(fā)生重大變化時，應重新開展風險評估。這些情形一是引述了國家法律法規(guī)中有關開展風險評估的要求與場景(例如：數(shù)據(jù)處理者在重要數(shù)據(jù)共享、交易、委托處理之前),在明確數(shù)據(jù)安全風險評估活動開展的必要性的同時，也提供了評估活動開展的法規(guī)依據(jù)；二是總結(jié)了組織常見的高風險數(shù)據(jù)處理活動(例如：基于不同業(yè)務目的的數(shù)據(jù)匯聚融合),為組織或評估機構提供了更為明確、直接的工作指引與建議；三是回應了如何持續(xù)開展評估的關切，已開展過風險評估的數(shù)據(jù)和數(shù)據(jù)處理活動一旦發(fā)生重大變更或變化，組織或評估機構應重新實施風險評估，將風險評估融入組織的數(shù)據(jù)安全運營機制。實務操作上，組織或評估機構可通過持續(xù)梳理數(shù)據(jù)安全風險評估的適用情形，從評估要求的來源、內(nèi)容等角度入手，分析、判斷自身適宜開展評估活動的觸發(fā)條件、實施時機以及具體評估項的必要性，推動數(shù)據(jù)安全風險評估工作的常態(tài)化開展。示例見表4。表4評估適用情形檢查表(示例)國家法第三十條重要數(shù)據(jù)的處理者應當按照定期必要項國家法條例(征臉、步態(tài)、指紋、虹膜、聲紋等生物特征作為唯一的個人身份認證方式以強制個人同意收集其個人生物特征信息。特定高風險數(shù)動特定必要項行業(yè)主管部門險評估實施細則(試行)(征求意見稿)據(jù)處理者每年完成至少一次數(shù)據(jù)安全風險評估，并形成評估報告。數(shù)據(jù)安全風險評估結(jié)果有效期為一年，自評特定重要數(shù)據(jù)據(jù)定期開展(1年)必要項國家方法(征5.4評估適用情形風險數(shù)據(jù)處理活動包括但不限于：重要數(shù)據(jù)和個人信息處理者合并、分立、解散、被宣告破產(chǎn)進行數(shù)據(jù)轉(zhuǎn)移。特定高風險數(shù)動特定建議項國家方法(征5.4評估適用情形圍、數(shù)據(jù)處理活動、環(huán)境、相關方等發(fā)生重大變更時，需重新開展數(shù)據(jù)安全風險評估。/特定建議項數(shù)據(jù)處理者開展數(shù)據(jù)安全風險評估工作的主要目標可以被分為三層：一是落實監(jiān)管要求，滿足國家法律法規(guī)關于開展風險評估的要求；二是摸底數(shù)據(jù)現(xiàn)狀，摸清自身數(shù)據(jù)和數(shù)據(jù)處理活動基本情況；三是提升安全能力，檢查重要的數(shù)據(jù)處理活動中是否存在管理、技術風險隱患，推動完善數(shù)據(jù)安全保護措施。三層目標共同促進數(shù)據(jù)處理者履行法定義務、建立健全數(shù)據(jù)安全制度、排查解決漏洞隱患，使數(shù)據(jù)處于有效保護和合法利用、持續(xù)安全的狀態(tài)。然而，大量組織未能正確、全面地認識數(shù)據(jù)安全風險評估的價值與目標：多數(shù)組織將第一層目標作為開展風險評估或其他風險治理工作的唯一目標——這導致一旦缺少了國家法規(guī)或監(jiān)管部門的強制性要求，這些組織開展數(shù)據(jù)安全風險評估工作的意愿與動力也會隨之喪失。隱患，其制定的數(shù)據(jù)安全風險管理策略無法反映組織的風險管理需求與準則，這也導致組織即使開展了數(shù)據(jù)安全風險評估工作，也無法基于評估結(jié)果準確地衡量風險問題整改措施的投入產(chǎn)出比、實施優(yōu)先級，甚至產(chǎn)生內(nèi)部多方對風險評估結(jié)果難以達成共識、風險問題整改推解決思路：建立風險準則針對這一問題，組織可以參考數(shù)據(jù)安全推進計劃發(fā)布的《數(shù)據(jù)安全治理實踐指南3.0》(以下簡稱《實踐指南3.0》),開展數(shù)據(jù)安全風險評估及治理專項，通過系統(tǒng)化的數(shù)據(jù)安全風險治理，建立組織的數(shù)據(jù)安全風險準則。數(shù)據(jù)安全風險治理是以風險為中心的方法論，提煉了組織管理數(shù)據(jù)安全風險時需要重點關注的五大環(huán)節(jié)，即：風險準則建立、風險要素識別、風險評估分析、風險處置解決、風險治理改進。其中，風險準則建立是指通過分析組織數(shù)據(jù)安全風險需求，識別組織的關鍵業(yè)務、數(shù)據(jù)和數(shù)據(jù)處理活動，形成風險治理準則，幫助組織將注意力與資源集中在那些超出自身承受能力的數(shù)據(jù)安全風險，在明確了風險治理重點對象的同時，也為風險評估、整改等具體活動提供了判斷與執(zhí)行標準。實務操作上，組織一是通過分析風險需求，具體任務包括收集、整理自身適用的數(shù)據(jù)安全、隱私保護法律法規(guī)，識別組織的關鍵業(yè)務、數(shù)據(jù)和數(shù)據(jù)處理活動，明確數(shù)據(jù)安全風險治理的范圍與重點對象；二是創(chuàng)建數(shù)據(jù)安全風險治理愿景、使命，這一步需要與組織高層人員進行溝通、協(xié)商，在獲得其批準與支持之后，形成基本的風險準則，明確組織的風險管理偏好；三是制定數(shù)據(jù)安全風險治理政策，這一步需要與內(nèi)部相關方(例如：人力資源、法務、安全、營銷、IT團隊)進行商議，在充分了解相關方的業(yè)務與合規(guī)需求之后，制定風險管理政策，為后續(xù)風險評估以及其他風險治理相關的工作提供實施方針、標準。此外，針對組織或內(nèi)部相關方無法正確理解風險評估的價值與目標這一問題，組織還可以通過工作動員會、研討會、培訓講座等方式，宣貫組織的風險治理政策，解讀評估標準，討論評估方案，加強業(yè)務部門對數(shù)據(jù)安全風險評估及其目標、價值的認知與理解，提升內(nèi)部相關方對風險評估工作的參與程度，持續(xù)強化各方在數(shù)據(jù)安全風險評估以及治理工作的協(xié)同能力。組織數(shù)據(jù)安全風險的邊界持續(xù)擴展：傳統(tǒng)的安全防護通常采用邊界防護策略保障靜態(tài)數(shù)據(jù)的安全。然而，一方面，組織的業(yè)務活動必然伴隨著數(shù)據(jù)的流動，而數(shù)據(jù)廣泛存在于數(shù)據(jù)中心、云端、終端等位置，數(shù)據(jù)資源暴露面的擴大意味著其面臨的威脅也成倍增加；另一方面，組織數(shù)據(jù)在多個業(yè)務、數(shù)據(jù)處理活動中與大量設備、人員產(chǎn)生交互，異常的行為隱匿于海量的數(shù)據(jù)訪問行為中，不僅變得更加隱蔽、難以識別，也無形中擴大了數(shù)據(jù)安全風險可波及的范圍。因此，組織如何在日益復雜的業(yè)務及數(shù)據(jù)處理活動中，規(guī)劃數(shù)據(jù)安全風險評估的范圍，在既定的評估時間、范圍內(nèi)識別出組織最為關注的數(shù)據(jù)安全風險，是廣大數(shù)據(jù)處理者、評估機構在籌備評估工作過程中需要重點思考的問題。解決思路：識別重點對象為了避免風險邊界過大導致的評估“失焦”問題，提高數(shù)據(jù)安全風險評估的投入產(chǎn)出比，組織可以參考《網(wǎng)絡數(shù)據(jù)安全風險評估實施指引》,在規(guī)劃評估范圍時，首先明確評估工作中的重點評估對象。實務操作上，組織可以參考數(shù)據(jù)分類分級的成果，將個人信息、重要數(shù)據(jù)、核心數(shù)據(jù)以及這些數(shù)據(jù)的處理活動作為重點評估對象，并抽樣選取一般數(shù)據(jù)及其數(shù)據(jù)處理活動，一并納入本次風險評估的范圍，在確保識別出重點評估對象面臨的風險的同時，也保障了評估的全面性，具體示例見表5。由于一般數(shù)據(jù)涵蓋范圍較廣，數(shù)據(jù)處理者可結(jié)合組織自身安全需求，對一般數(shù)據(jù)進行細化分級，本報告將一般數(shù)據(jù)從低到高分為1級、2級、3級。表5重點評估對象(示例)數(shù)據(jù)級別核心數(shù)據(jù)(L5)關系國家安全、國民經(jīng)濟命脈、重要民生、重大公共利益等數(shù)據(jù)屬于國家核心數(shù)據(jù)是重要數(shù)據(jù)(L4)能危害國家安全、公共利益的數(shù)據(jù)是般數(shù)據(jù)露或者非法獲取、非法利用，可能對個人、組織合法權益造成危害，但不會危害國家安全、公共利益的數(shù)據(jù)如：財務信息等內(nèi)部機密信息、敏感個人信息待定待定如：組織已公開數(shù)據(jù)否務、信息系統(tǒng)的重要程度，選取核心業(yè)務系統(tǒng)或內(nèi)部的重要信息系統(tǒng)(例如：大數(shù)據(jù)平臺、人力資源系統(tǒng)、供應鏈系統(tǒng))的數(shù)據(jù)和數(shù)據(jù)處理活動作為重點評估對象，重點評估其承載的實踐：組織選取某一重要的信息系統(tǒng)作為評估實施的“原點”,將其數(shù)據(jù)的來源、去向系統(tǒng)作為評估的范圍邊界，梳理該系統(tǒng)涉及的數(shù)據(jù)、數(shù)據(jù)處理活動并繪制數(shù)據(jù)流向圖，識別數(shù)據(jù)流轉(zhuǎn)過程中的操作人員、操作行為以及操作結(jié)果等信息，從而分析潛在的數(shù)據(jù)安全風險問題。信息調(diào)研是數(shù)據(jù)安全風險評估工作中最為重要的環(huán)節(jié)，組織的評估執(zhí)行人員通過文檔審閱、配置核查、人員訪談等不同的方式，收集組織的數(shù)據(jù)和數(shù)據(jù)處理活動、數(shù)據(jù)安全管理、技數(shù)據(jù)安全風險評估涉及到組織的業(yè)務及其數(shù)據(jù)應用場景，需要評估執(zhí)行人員實地調(diào)研業(yè)務和數(shù)據(jù)情況，多輪訪談組織業(yè)務人員，掌握數(shù)據(jù)處理活動的背景——這意味著評估執(zhí)行人員不僅需要熟練掌握數(shù)據(jù)安全風險評估要點，還要通過專業(yè)的協(xié)作迅速了解組織的業(yè)務、數(shù)據(jù)和數(shù)據(jù)處理活動的關鍵信息，從而更好地識別出潛在的威脅、脆弱性以及已有安全措施的不完善之處。然而，許多組織在開展數(shù)據(jù)安全風險評估的過程中發(fā)現(xiàn)，由于組織前期開展的網(wǎng)絡、信息安全評估通常由安全部門發(fā)起、主導，執(zhí)行人員同樣來自安全部門，主要負責網(wǎng)絡結(jié)構、信息資產(chǎn)、威脅檢測工具安全情況的調(diào)研、核查，對業(yè)務、數(shù)據(jù)處理活動的了解不夠深入。因此，人員執(zhí)行數(shù)據(jù)安全風險評估的信息調(diào)研時，產(chǎn)生了新的問題：一方面，評估執(zhí)行人員對業(yè)務、數(shù)據(jù)情況理解欠佳，對于業(yè)務、數(shù)據(jù)及其處理活動的風險識別不全面，且不同人員可能對于同一風險問題的判斷存在較大的差異；另一方面，受訪人員未能充分理解風險評估的依據(jù)與要點，在訪談或調(diào)研過程中反饋大量的無關信息，直接導致了返工或者評估進度延期等針對這一問題，組織可以通過完善組織協(xié)作機制，從團隊、工具、協(xié)商三方面入手，規(guī)避上述在信息調(diào)研過程中的問題。實務操作上，針對評估執(zhí)行人員可能存在的業(yè)務掌握度低、自由裁量等問題，一方面，組織可以在組建評估團隊時，選取業(yè)務人員加入評估執(zhí)行團隊，由業(yè)務人員負責整理本次風險評估涉及的業(yè)務和信息系統(tǒng)、數(shù)據(jù)信息，并適時向團隊其他成員介紹這一部分信息，在執(zhí)行團隊內(nèi)部實現(xiàn)優(yōu)勢互補；另一方面，完善評估信息調(diào)研表等工具，在逐步固化、標準化數(shù)據(jù)安全風險評估依據(jù)中的評估項、查驗方式以及訪談問題等內(nèi)容的同時，完善對于不同角色的受訪人員或者證明材料的信息判斷標準，確保評估執(zhí)行人員之間具備相對統(tǒng)一的評估尺度。同時，針對受訪人員可能無效響應的問題，組織可以在實施訪談工作前，邀請計劃受訪的人員參與本次風險評估的研討會，由評估執(zhí)行人員對風險評估方案、依據(jù)以及要點進行解讀，雙方對評估內(nèi)容進行充分協(xié)商，輸出、分發(fā)評估研討會問答合集，以免在風險評估的實施過程中出現(xiàn)人員理解偏差的問題。組織調(diào)研當前的數(shù)據(jù)資產(chǎn)情況、發(fā)現(xiàn)潛在威脅與脆弱性、檢查安全防護措施狀態(tài)都離不開評估工具。數(shù)據(jù)安全風險評估中，評估工具能夠提供更為客觀的信息，在降低人力成本的同時，也極大地提高了評估結(jié)果的可信度。整個評估實施的過程中，評估執(zhí)行人員需要調(diào)研覆蓋組織數(shù)據(jù)安全管理、技術以及大量數(shù)據(jù)處理活動的各類信息，故需要通過應用組織內(nèi)部已部署的安全產(chǎn)品或者使用其他技術檢測工具，收集、整合以上多方甚至多維度的信息，從而回答風險評估工作的核心問題，即：組織的何種數(shù)據(jù)、分布何處、如何流轉(zhuǎn)、誰在使用、如何防護。然而，大量組織反饋，當前數(shù)據(jù)安全產(chǎn)品種類多且功能各異，在缺乏工具應用指導的背景下，組織開展數(shù)據(jù)安全風險評估時傾向于沿用傳統(tǒng)的信息安全風險評估工具，因此僅能識別網(wǎng)絡、信息安全方面的風險問題，很難識別出隱藏在具體業(yè)務場景和數(shù)據(jù)處理活動中的安全風險問題，嚴重影響了數(shù)據(jù)安全風險問題檢出的全面性。因此，在當前數(shù)據(jù)安全產(chǎn)品工具發(fā)展迅速、種類多樣，而風險評估實施的必備工具尚未明確的背景下，如何選取合適的評估檢測工具同樣是組織實施數(shù)據(jù)安全風險評估面臨的重要問題。解決思路：認識工具功能針對這一問題，組織可以結(jié)合前期規(guī)劃的評估范圍、重點評估對象等信息和風險評估實施各個環(huán)節(jié)的目標，明確工具在各個階段內(nèi)應發(fā)揮的功能，從而選取適宜的數(shù)據(jù)安全產(chǎn)品工具。實務操作上，組織首先可以參考數(shù)據(jù)安全推進計劃2023年發(fā)布的《數(shù)據(jù)安全產(chǎn)品與服務觀察報告》以及其他業(yè)內(nèi)研究報告，初步掌握主流的數(shù)據(jù)安全產(chǎn)品工具及其功能。在數(shù)據(jù)安全風險評估的實踐中，可應用的評估工具主要分為三類：一是掃描類工具，主要負責提供針對數(shù)據(jù)、風險源(例如：脆弱性)等風險要素的掃描服務，為數(shù)據(jù)安全風險評估提供要素識別的功能，具體包括資產(chǎn)掃描類、數(shù)據(jù)識別類、漏洞檢測類工具等。目前市面上許多數(shù)據(jù)分類分級、數(shù)據(jù)資產(chǎn)管理以及部分數(shù)據(jù)安全防護類工具(例如：API數(shù)據(jù)防泄露)都具備這一部分的功能；二是流量分析類工具，主要負責提供對數(shù)據(jù)處理活動的識別與監(jiān)測能力，用于關聯(lián)應用、數(shù)據(jù)庫、人員的敏感數(shù)據(jù)操作，分析潛在的風險行為，具體包括應用層流量分析、全流量分析等數(shù)據(jù)風險監(jiān)測類工具；三是自動化評估類工具，主要負責自動化評估流程管理、評估對象的信息填報、證明文件的上傳和查閱、評估結(jié)果的生成及報告的輸出等，具體包括合規(guī)檢測工具、在線評估系統(tǒng)等。隨著產(chǎn)品工具的平臺化、一體化趨勢日益明顯，上述的三類工具在數(shù)據(jù)安全風險評估中提供的能力也已在一些平臺型產(chǎn)品中得以集合。 風險分析是組織基于前期的信息調(diào)研、風險識別的情況，對風險的影響程度、發(fā)生的可能性進行賦值、分析，最終通過風險矩陣輸出風險值的過程。風險矩陣如圖2所示。圖2風險矩陣(示例)風險分析的方法主要為定性分析、定量分析、綜合分析(定性與定量相結(jié)合)。定性分析不要求各個風險要素被嚴格地量化，在風險要素的評價上主要依靠評估執(zhí)行人員的個人經(jīng)驗、專業(yè)知識等，因此對于評估執(zhí)行人員的專業(yè)能力要求較高。定量分析(包括半定量分析)則是對風險要素進行賦值，依據(jù)數(shù)值建立數(shù)學模型，量化風險分析的過程與結(jié)果，確保輸出清晰的風險分析結(jié)論，但其存在將復雜問題過度簡化或模糊化的缺陷，同樣易造成風險分析結(jié)論的偏差。目前業(yè)內(nèi)的數(shù)據(jù)安全風險分析方法以定性分析為主，例如《網(wǎng)絡數(shù)據(jù)安全風險評估實施指引》和《數(shù)據(jù)安全風險評估方法(征求意見稿)》提出，針對風險發(fā)生的影響程度可以結(jié)合數(shù)據(jù)價值、安全問題嚴重程度等因素進行分析，從不同的影響對象、危害程度高低分別提供了定性的描述，以便評估執(zhí)行人員參考、對照分析，具體見表6。然而，在實務操作上依然存在分析過程嚴重依賴執(zhí)行人員經(jīng)驗、分析結(jié)論主觀性過高等問題。表6數(shù)據(jù)安全風險危害程度(節(jié)選)參考說明國家安全高1.直接影響宏觀經(jīng)濟運行狀況和發(fā)展趨勢，如社會總供給和總需求、國民經(jīng)濟總值和增長速度、國民經(jīng)濟主要比例關系、物價總水平、勞動就業(yè)總水平與失業(yè)率、貨幣發(fā)行總規(guī)模與增長模與變動等。2.直接影響一個或多個地級市、行業(yè)內(nèi)多個企發(fā)展態(tài)勢、技術進步和產(chǎn)業(yè)生態(tài)等造成嚴重領域核心競爭力、核心業(yè)務運行、關鍵產(chǎn)業(yè)鏈、核心供應鏈公共利益高1.直接危害公共健康和安全，如嚴重影響疫情防控、傳染病的預防監(jiān)控和治療等。2.可能導致重大突發(fā)公共衛(wèi)生事件(Ⅱ級),造成社會公眾健康嚴重損害的重大傳染病疫情、群體性不明原因疾病、重大食物和職業(yè)中嚴重影響公眾健康的事件。3.導致一個或多個地市大部分地區(qū)的社會公大范圍社會成員(如100萬人以上)無法使用公中可能導致組織遭到監(jiān)管部門嚴重處罰(包括取相關業(yè)務等),或者影響重要/關鍵業(yè)務無法正常大經(jīng)濟或技術損失，嚴重破壞機構聲譽，企業(yè)面臨破產(chǎn)。中個人信息主體可能會遭受重大的、不可消除的響，容易導致自然人的人格尊嚴受到侵害或者人身、財產(chǎn)安全受到危解決思路：建立分析模型針對這一問題，組織可以建立數(shù)據(jù)安全風險分析模型，通過明確判斷尺度、豐富評價維度、提升賦值精度三方面的措施，提高分析過程和結(jié)果的客觀性。一是制定風險分析過程的判斷尺度。組織采用定性分析方法進行風險分析時，人員的主觀判斷將直接影響風險分析的結(jié)論。因此，明確評估執(zhí)行人員的判斷尺度，提供判論與實際情況偏差過大。以汽車行業(yè)的實踐為例，汽車自身及其業(yè)務屬性決定了其在風險分析的過程中聚焦可能直接影響行車安全、財產(chǎn)安全等方面的風險要素，因此在開展數(shù)據(jù)安全風險評估的過程中，組織將“是否為極端威脅行車、財產(chǎn)安全等方面的風險”與“是否為大多數(shù)人群所適用的風險”作為人員分析風險時的重要尺度。二是完善風險分析過程的評價維度。組織開展風險分析時，通常使用風險矩陣圖對風險發(fā)生的可能性和影響程度進行評價。然而，風險本身具有不確定性，組織評價風險發(fā)生的可能性時缺乏成熟的參考依據(jù)，賦值易流于形式，對風險分析結(jié)論缺乏參考價值。因此，組織可以豐富風險評價的維度，提升風險分析結(jié)論的實用性。例如，目前組織面臨的數(shù)據(jù)安全風險不僅包括了數(shù)據(jù)保密性、完整性、可用性遭到危害，還包括了數(shù)據(jù)被違法、違規(guī)處理帶來的合規(guī)風險，基于這一問題，組織可以在風險矩陣中補充“可罰性”這一維度，即：從組織的合規(guī)管理角度出發(fā)，評價組織數(shù)據(jù)一旦被泄露、破壞、濫用可能引發(fā)的監(jiān)管處罰、違約追責等問題的嚴重程度。三是提升風險分析過程的賦值精度。組織采用定量分析方法開展風險分析時，最大的難點問題在于風險發(fā)生的可能性和危害程度的定級、賦值和計算。針對風險發(fā)生的危害程度，組織可以從數(shù)據(jù)的重要程度、數(shù)據(jù)資產(chǎn)價值、脆弱性嚴重程度等具體風險要素進行相對精準的賦值：《江蘇省數(shù)據(jù)安全風險評估規(guī)范》從數(shù)據(jù)遭到泄露或損害時，可能對國家安全、經(jīng)濟運行、社會穩(wěn)定、公共利益、個人權益造成的影響程度入手，提出了組織可以參考的一般、重要與核心數(shù)據(jù)賦值。具體賦值方法如表7。未來，組織在風險分析的過程中，也可以參考數(shù)據(jù)的流通價值，進一步提升數(shù)據(jù)這一風險要素的賦值精度。表7數(shù)據(jù)級別賦值(示例)51.會對國家安全造成特別嚴重危害或嚴重危害；2.或?qū)?jīng)濟運行、社會穩(wěn)定或公共利益造成特別嚴重危害。高41.會對國家安全造成一般危害；2.或?qū)?jīng)濟運行造成嚴重危害或一般危害；3.或?qū)ι鐣€(wěn)定、公共利益造成嚴重危害。一般數(shù)據(jù)中31.會對社會穩(wěn)定、公共利益造成一般危害：2.或?qū)M織權益、個人權益造成特別嚴重危害。低2很低1針對風險發(fā)生的可能性，實務操作上存在一定的困難：風險源(例如：威脅和脆弱性)的發(fā)生頻率、安全措施有效性和完備性等因素難以預測、量化。組織可以“以系統(tǒng)為單位”,默認同一信息系統(tǒng)、數(shù)據(jù)庫中的威脅與脆弱性賦值保持一致，避免風險分析過程引入錯誤的關聯(lián)關系，提升定量分析的可落地性、可操作性。如果組織在近期開展過網(wǎng)絡安全等級保護測評等評估評測，也可以參考其脆弱性識別結(jié)果進行賦值。此外，針對數(shù)據(jù)安全風險危害程度與發(fā)生的可能性的量化分析與評價，《數(shù)據(jù)安全風險評估方法(征求意見稿)》在附錄B中按照統(tǒng)計學中的均勻分布，給出了“很高”、提供了參考，具體見表8。表8數(shù)據(jù)安全風險危害程度等級參考(節(jié)選)高中低很低來源：《數(shù)據(jù)安全風險評估方法(征求意見稿)》,數(shù)據(jù)