CSA发布|《企业数据安全风险管理指南》指导企业数据安全落地实践

原创已于 2023-04-24 15:00:33 修改 · 634 阅读

1 ·

CC 4.0 BY-SA版权

文章标签：

#网络安全 #数据安全

于 2023-04-24 14:59:15 首次发布

《企业数据安全风险管理指南》提供了数据安全风险管理框架，包括规划、活动管理、风险评估、处置、沟通与评审、监督改进等环节，旨在帮助企业应对数据保密性、完整性、可用性、可控性的威胁，防止数据泄露、篡改等安全事件。该指南为企业数据安全从业者提供了实践工具和方法。

数据要素驱动产业数字化转型已经成为全球共识。随着数字技术与实体产业、实体经济的不断融合，各类数字化技术对数据充分地开发和利用，数字空间正在不断的影响和改变着我们生产和生活的方方面面。一方面是物理世界对数字空间的依存度增加了，另一方面是数字空间对物理世界产生的影响、带来的安全风险也将会更大。所以在数字空间视角下，我们认为数据安全的内涵与外延正在不断的扩展。

数据安全的内涵与外延

我国《数据安全法》第二章第十八条中明确提及“国家支持有关部门、行业组织、企业、教育和科研机构、有关专业机构等在数据安全风险评估、防范、处置等方面开展协作。”

云安全联盟大中华区在第六届云安全联盟大中华区大会上重磅发布由数据安全工作组原创的《企业数据安全风险管理指南》。该指南构建了以数据为中心的风险管理框架，在充分分析各类数据处理活动场景所面临的数据安全风险的基础上，从数据安全风险管理规划、数据处理活动管理、数据安全风险评估、数据安全风险处置、数据安全风险监督改进、数据安全风险沟通与评审等六大方面给出了切实可行的管理方法，以及通过20套附录工具提供了详尽的实践思路，期望能够为各企业数据安全从业者提供参考和帮助。

文末附报告获取方式

该指南内容深入浅出，是研究数据安全风险管理领域很好的参考材料。下面是对文中内容进行简介（原报告中的解读更为详细。建议想要更具体地了解详情的读者朋友进一步做阅读）

数据安全风险概述

指南通过综合分析我国《网络安全法》、《数据安全法》、GB/T 31722-2015《信息技术安全技术信息安全风险管理》和GB/T 20984-2022《信息安全技术信息安全风险评估方法》等相法律和标准中的相关阐述和定义，认为企业数据安全风险可以理解是企业数据的保密性、完整性、可用性、可控性受到影响后，可能引发的数据泄露、数据篡改、数据破坏、数据丢失、数据伪造、数据滥用或者违法违规收集、违法违规使用等等一系列会给国家安全、公共利益或组织、个人合法权益、企业自身利益造成影响的安全事件。

数据安全风险视图

企业数据的安全风险可根据其来源整体上分为两大类：

·一是企业数据因越权访问、非法爬取、脱库、撞库、非法拷贝、拒绝服务攻击、中间人攻击、嵌入恶意代码、数据污染、数据过载、人员有意或无意操作、设备故障、自然灾害等等安全威胁，利用管理制度流程及安全保障能力的脆弱性，影响数据的保密性、完整性、可用性、可控性而造成的数据泄露、数据篡改、数据破坏、数据丢失、数据伪造、数据滥用等等安全风险。

·二是因企业数据处理活动违反法律、行政法规等有关规定，因违法违规开展收集数据、存储数据、使用数据、加工数据、传输数据、提供数据、公开数据、交易数据等处理活动，引起的违法违规风险。

以及其他可能对国家安全、公共利益或组织、个人合法权益造成影响的数据安全风险。

数据安全风险管理概述

企业数据安全风险管理框架

指南以数据识别和数据处理活动识别为基础，充分考虑各类数据所处的活动场景，制定企业数据安全风险管理框架，主要包括数据安全风险管理规划、数据处理活动管理、数据安全风险评估、数据安全风险处置、数据安全风险沟通与评审、数据安全风险监督改进六个环节，其中数据安全风险沟通与评审和数据安全风险监督改进贯穿数据安全风险管理流程始终。

数据安全风险管理规划

此阶段主要工作目标是完成数据安全风险管理的顶层设计，包括明确管理目标、明确管理对象和范围，建立管理组织架构，明确人员责任和权利。在进行正式的风险管理之前，先做组织和政策保障的工作，成立专门的数据风险管理小组，制定相应的管理目标和管理策略，并梳理企业自身的数据资源情况，为后续的工作打下基础。

数据处理活动管理

数据处理活动的描述

此阶段工作首先要明确数据处理活动管理的目标、方法，明确数据资产识别、数据分类分级工作开展的思路、方法、过程，然后梳理清楚企业各业务活动下的数据处理活动的典型场景。为企业数据安全风险管理提供方法论支持，避免过程中出现分散管理、多方向、多模式的乱象。

数据安全风险评估

数据安全风险评估

数据安全风险评估包含风险识别、风险分析和风险评价三个过程。此阶段，应充分结合数据管理过程，在数据识别、业务信息识别、数据分类分级、数据处理活动识别的基础上，结合数据处理活动场景，以业务为核心，以业务条线为范围，以数据和数据处理活动为对象，充分识别其业务活动场景下的各类数据集及其对应的数据处理活动所面临的威胁和脆弱性，并进行风险分析。

数据安全风险处置

数据安全风险处置是针对评估过程中发现的数据安全风险制定具体的风险处置措施，根据不同的风险等级采用不同的风险处置策略，也可以通过平衡成本和风险容忍度，采取控制风险、转嫁风险、避免风险、接受风险等手段进行风险处置。此环节是整个数据风险管理框架的关键环节，是风险管理的核心目的。

数据安全风险沟通与评审

数据安全风险沟通与评审的主要活动包括获得管理层对数据安全风险管理的支持、明确数据安全风险管理的内在需求和外在合规要求，对风险处置结果进行确认，此阶段为整个风险管理过程能够朝着既定的目标发展保驾护航。

数据安全风险监督改进

数据安全风险监督改进贯穿于数据安全风险管理始终，此阶段可以采取一定管理手段、技术手段、运营手段，对数据安全风险进行安全监督和监测，监测数据安全风险的状况，并可以通过进行外部第三方认证的形式，来获得对数据安全风险管理工作的认可，以保证风险识别和风险处置的准确性和有效性。

数据安全风险管理工具

数据安全风险评估