数据安全风险评估实务:问题剖析与解决思路.docx
《数据安全风险评估实务:问题剖析与解决思路.docx》由会员分享,可在线阅读,更多相关《数据安全风险评估实务:问题剖析与解决思路.docx(32页珍藏版)》请在课桌文档上搜索。
1、据安全推18计划DATASECURITYINITIATIVECONTENTS目录一、数据安全风险评估工作背景(一)数据安全风险形势日益严峻OlI.数据泄露:持续呈现高发态势Ol2数据破坏:勒索攻击危害显著023.数据窃取:组织“内鬼”作案猖獗02(一)组织风险防范面临监管考验02(三)新技术应用暗藏新型风险03二、数据安全风险评估工作现状(一)风险评估已成业界焦点05(二)评估标准编制进程加快07(三)评估实施方法逐渐成熟10三、实务问题剖析与解决思路(一)评估准备131.如何确定评估触发条件132如何制定评估工作目标153.如何规划评估实施范围16(二)评估实施181.如何获取有效评估信息1
2、82如何应用风险评估工具193.如何开展风险评估分析20(三)评估总结231.如何充分应用评估结果23取据安全推进计划DATA SECURITY INITIATIVED大数据技术标准推进委员会BgDataTOchnologyo11dStandardCamfnittao四、数据安全风险评估工作建议252525(一)建立数据安全风险评估机制(二)构建数据安全风险治理框架(三)完善数据安全风险治理体系附录:中国信通院云大所实务索引27据安居惟1计划DATASECURITYINITIATIVE大数据技术标准推进委员会BigOMsTechnologyandStAndAniCcmmrttee图目录图1数据
3、安全风险基本要素关系图2风险矩阵(示例)图了数据风险治理基本框架112026表目录表1数据安全风险评估标准发展、演进一览08表2数据安全风险评估实施流程与产出物12表了数据安全风险评估适用情形13表4评估适用情形检查表(示例)14表5重点评估对象(示例)17表6数据安全风险危害程度(节选)21表7数据级别赋值(示例)22表8数据安全风险危害程度等级参考(节选)23表9安全声明(模板)24表10实务索引27-.数据安全风险评估工作背景全球数据泄露、数据破坏、数据窃取、数据滥用等安全事件频繁发生,严重危害了国家、社会公众安全。针对各国政府机构、关键信息基础设施的网络攻击、数据窃取等违法活动明显增多
4、,数据安全事件涉及的数据以及用户体量也在持续加大。如何有效防范数据安全风险与事件,是全球数字经济发展下的重点问题。本章节将总结国际、国内数据安全风险形势,分析广大组织面临的各类数据安全风险以及日趋严格的监管合规要求,阐述了组织加强数据安全风险防范的必要性。(一)数据安全风险形势日益严峻1 .数据泄露:持续呈现高发态势全球数据泄Il事件持续高发。统计数据显示,仅2021年全球范围内公开披露的数据泄露事件已超过四千起,涉及超过200亿条数据。进入2023年,数据泄露的趋势似乎并未得到缓解:2023年4月,威胁猎人发布的2023年Ql数据资产泄露分析报告显示,仅2023年第一季度就已发生近千余起数据
5、泄露事件,这些事件涉及上千家组织、近四十个行业。例如,Twilter在2023年1月遭遇了数据泄露事件,包括用户电子邮件地址、姓名等2亿条个人信息被泄露。2023年2月,全美最大的综合医疗服务网络IIeritageProviderNetWork遭遇勒索软件攻击,导致多个医疗机构大量敏感信息泄露。2023年2月,Teiegram各大频道突然大面积转发某隐私查询机器人链接,该机器人泄露了大量来自我国各快递、电商平台的个人信息,包含了用户的真实姓名、电话与住址等,数据量高达45亿条。组织数据安全保障压力倍增。2020年,某电商的客户数据泄露导致不法分子冒充客服对全国二十多个城市的受害者进行了电话诈骗
6、,受害者的被骗金额为几千到十几万元不等。2023年8月,公安部公布了打击侵犯公民个人信息犯罪的十大典型案例,其中黑灰产组织窃取、利用组织掌握的用户个人信息实施犯罪的案例高居榜首。随着个人信息成为黑灰产组织逐利的“重灾区”,组织面对无孔不入的黑灰产组织,在数据安全风险应对上压力倍增。数据泄It事件为组织带来的损失也在逐年走高。组织数字化转型加快,对数据依赖程度随之加深,数据一旦泄露给组织带来的损失也更加严重。根据IBM2023年数据泄露成本报告显示,组织数据泄露事件平均成本达到445万美元,较2022年的435万美元增长2.3%,而较2020年的386万美元则足足增长了15.3%,现已创下历史新
7、高。大数据技术标准推进笠员会RigOMaTOCbmIogy;IrXIStpndArdConvnittMt2 .数据破坏:勒索攻击危害显著有针对性的数据勒索与破坏事件愈演愈烈。随着全球各行业领域的组织数字化转型程度加深,其系统及承载的数据重要程度也随之提升,其中的关键数据更是组织业务运行命脉,一旦这些关键数据遭到破坏,将面临业务中断、信息系统或网络服务瘫痪,严重的后果可能是长期业务受损,客户信息、商业机密等重要数据泄露,给组织带来重大的经济损失和声誉损失。而近年来,针对政府机构、知名组织的数据勒索、破坏事件也持续增加:2022年,哥斯达黎加政府遭遇Conti勒索软件团伙攻击,国家财政部数个TB的
8、数据以及800多台服务器受到此次攻击影响,国内数字税务服务、海关控制IT系统以及医疗保健系统在多轮攻击下接连瘫痪、被迫下线,导致国内医疗保健系统陷入混乱。同年,法国巴黎的一家医院CenIerHospitalierSudFrancilien(以下简称CHSF)遭遇网络攻击并被勒索IooO万美元作为解密密钥的赎金。此次攻击直接导致了CHSF多个业务软件、医学影像存储系统无法访问,大量医疗数据被加密迫使医院推迟多台手术计划,大量患者被临时转诊至其他机构,这严重威胁了当地的急、重病患者生命安全。3数据窃取:组织“内鬼”作利来自“内鬼”的数据窃取也令组织防不胜防。2023年6月6日,Verizon发布了
9、2023年度数据泄露调查报告(2023DataBreachInvestigationsRePort,简称DBIR),分析了从2017年以来的16312起安全事件和5199起数据泄露事件,指出74%的泄露事件由人为因素造成的,约五分之一的数据泄露事件来自于组织的内部。组织收集、存储了大量用户的个人信息数据,一旦组织内部出现了特权账号滥用、数据权限分配不清、人员利用越权访问漏洞等问题,将直接导致拥有内部人员对其获取的数据进行不正当的使用或者窃取。2023年5月,特斯拉两名员工违规挪用,泄露了包括员工个人信息、客户银行信息、生产信息在内的100GB数据,影响超过7.5万人。无独有偶,2023年7月,
10、日本通信运营商NTTDoCOMO的承包商员工盗取了包括用户个人信息在内的596万条商业信息,这些案件均有力证明了组织“内鬼”窃取数据的危害。(二)组织风险防范面I临监管考验面对日益严峻的网络数据安全风险,各国政府倡导国际、国内或地区内的公私部门开展网络数据安全风险防范合作。例如,2023年联合国打击网络犯罪公约结合新型网络犯罪情况,要求缔约国将黑客攻击、非法数据获取等犯罪行为纳入本国刑法执法范围,倡导加强网络数据安全风险的跨国协作与应对。再例如,欧盟数据治理法案(2022)提出欧盟境内的公共和私营组织在共享数据时,应遵守的安全与可靠性要求,要求及时报告数据泄露事件,防范全球数据流通带来的数据共
11、享风险。美国网络安全信息分享法案(ClSA)(2015)也曾鼓励国内的私营组织与政府进行网络威胁情报共享,增强其网络数据安全风险防御能力。数据安全与隐私保护法规的发展对广大数热耀者的风险防范能力提出了新要求.除了网络数据安全风险的跨国协作与应对,各国的法律法规也明确规定了国内数据处理者的数据安全义务、责任,要求其开展数据保护影响评估等活动,加强对用户个人信息的保护。5)居安领曲十划D看三三s三鹘蹩7少DATASECURITYINITIATIVE中国方面。2021年,中国中华人民共和国数据安全法(以下简称数据安全法)、中华人民共和国个人信息保护法(以下简称个人信息保护法)相继颁布、实施。作为数据
12、安全领域的基础性法律,数据安全法指出数据处理者开展数据处理活动应依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。其中,重要数据处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。个人信息保护法则进一步强调了个人信息处理者的责任与义务,提出个人信息处理者应对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。在处理敏感个人信息等情形下,个人信息处理者还应当事前进行个人信息保护影响评估,并对处理情况进行记录。欧盟方面。2018年,欧盟通用数据保护条例(GeneralDat
13、aProtectionRegulation,以下简称“GDPR”)正式生效。GDPR基于其域外效力及严厉的行政处罚措施,提出了个人同意、隐私权影响评估等多项数据处理合规要求,并警示其适用范围内的数据处理主体严格履行合规义务。针对可能会为自然人权利与自由带来高度风险的数据处理方式,GDPR提出数据处理主体应事先进行影响评估,加强对个人敏感信息的保护,限制对个人信息的非授权使用。美国方面。2023年1月,美国加州隐私权法案(CalifOrniaPrivacyRightsAct,以下简称CPR)正式生效。CPRA在加州消费者隐私法案(CalifomiaConsumerPrivacyAct,简称CCP
14、A)的基础上进行了修订,要求组织开展数据处理活动风险评估,并定期向当地隐私局提交评估报告。此外,美国的弗吉尼亚州消费者保护法与科罗拉多州隐私法也要求,针对可能对消费者带来重大风险的行为,信息处理者应开展数据保护影响评估(DataProtectionImpactAssessment,简称DPIA),并在评估期间对消费者的信息进行去标识处置。新加坡、俄罗斯、印度、巴西、韩国等多个国家也通过立法明确了数据处理者的数据保护、风险防范以及数据保护影响评估活动等方面的要求,加强了数据处理者的监督和处罚,极大地推动了以上国家、地区的数据处理者提升数据安全风险防范能力,切实保护数据安全。(三)新技术应用暗藏新
15、型风险新技术应用衍生新型安全风险。5G、人工智能、云计算、移动互联网、大数据分析等新兴技术应用极大地推动了各行业领域的组织发展与创新,为广大用户提供了更为智能、便利的服务,但同时也带来了大量的安全漏洞、风险。以云计算为例。云计算通过互联网为组织提供了更加灵活、可扩展的计算和存储服务,实现了资源池化、按需扩缩容的能力,但云平台的复杂性以及多租户环境也存在数据隔离失效的问题,存在内部人员越权访问的可能,增加了组织数据泄露的风险。再例如,5G技术的典型应用场景eMBB(增强移动带宽),由于在增强现实(AR).虚拟现实(VR)高清视频直播、频等对带宽有极高要求的业务场景下衍生的海量数据往往涉及个人隐私
16、数据,而传统的安全基础设施难以适应超大流量的5G网络防护以及海量用户隐私数据保护的安全需求。新兴技术的监管措施与规范的不完善也可能导致数据安全风险。部分处于萌芽期的新兴技术可能因其配套的监管措施与技术规范尚未完善,在实际应用过程中为组织、个人带来尚未被公众充分认识的数据安全风险,导致安全事件一旦发生,出现责任主体判定难、治理成本高等问题。以生成式Al为例。其在文本、图片或视频生成等领域中得到了广泛的应用,但如果在学习训练阶段缺乏监管,该技术可能会因其对个人信息进行深度加工、价值挖掘,导致个人信息被违规利用或个人信息主体的权益遭到侵害,带来个人信息泄露的安全风险。针对这一问题,2023年7月我国
17、国家互联网信息办公室(以下简称“国家网信办”)发布了生成式人工智能服务管理暂行办法,明确了数据训练的要求,强调涉及个人信息的训练数据处理活动须遵守法律和监管要求一一这一定程度上推动了生成式AI技术的安全、合规应用,但对于如何防范其可能引发的数据安全风险问题,仍需产业界的持续探索。二.数据安全风险评估工作现状随着我国数字经济的快速发展、传统业务的数字化转型以及数据价值化加速推进,结合全球数据安全风险的整体形势,数据安全风险的识别、评估与应对已成为我国广大组织面临的最紧迫、最根本的问题,受到了国家、行业主管部门以及产业多方的高度重视。本章节将总结国内数据安全风险评估工作落地情况,介绍数据安全风险评
18、估的相关标准与实施方法,为相关数据处理者、服务机构初步建立数据安全风险评估实施的整体认知。风险评估已成业界焦点国家层面,推进数据安全风险评估工作势在必行。国家法规鼓励开展数据安全风险评估,数据安全法提出了国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制,数据处理者开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施,强调了对风险信息的监测与评估是把控数据安全风险的首要途径。多部门S出数据安全风险评估工何求。为了规范数据处理活动,防范重大数据安全风险,中华人民共和国国务院(以下简称“国务院”)、国家网信办、工业和信息化部(以下简称“工信
19、部”)、中国人民银行、国家医疗保障局等监管部门、行业主管部门相继发布了数据安全保护工作要求,提出数据处理者应建立健全数据安全风险评估机制,开展风险评估工作,及时消除风险隐患。包括关键信息基础设施安全保护条例汽车数据安全管理若干规定(试行)网络数据安全管理条例(征求意见稿)工业和信息化领域数据安全管理办法(试行)中国人民银行业务领域数据安全管理办法(征求意见稿)等多项文件也进一步明确了关键信息基础设施的运营者、重要数据处理者以及特定情形下的个人信息处理者等重点主体应按照有关规定,定期开展风险评估,报送评估报告的具体工作要求。关键信息基础设施运营者每年开展风险评估。国务院令第745号关键信息基础设
20、施安全保护条例要求关键信息基础设施运营者每年至少进行一次网络安全检测和风险评估,对发现的安全问题及时整改,并按照保护工作部门要求报送情况。重要数据处理者定期开展数据安全评估。数据安全法在第三十条明确了重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。2022年,国家网信办发布了网络数据安全管理条例(征求意见稿).要求组织的数据安全管理机构定期开展数据安全宣传教育培训、风险评估、应急演练等活动。涉及处理重要数据或者赴境外上市的,数据处理者应每年开展一次数据安全评估。主管部门应定期组织开展本行业、本领域的数据安全风险评估,对数据处理者履行数据安全保护义
21、务情况进行监督检查,指导督促数据处理者及时对存在的风险隐患进行整改。工信部发布的工业和信息化领域数据安全管理办法(试行)也提出,工信领域的重要数据和核心数据处理者应每年对其数据处理活动至少开展一次风险评估,及时整改风险问题,并向本地区行业监管部门报送风险评估报告。个人信息处理者应结合具体情形开展安全评估或者个人信息保护膨响评估。个人信息保护法明确了个人信息处理者在特定的情形下需要通过国家网信部门组织的安全评估或者开展个人信息保护影响评估的要求:例如,第四十条提出了关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,在确需将在中华人民共和国境内收集和产生的个人信息向境外
22、提供的情形下,应通过国家网信部门组织的安全评估。而第五十五条则明确了在处理敏感个人信息、利用个人信息进行自动化决策等五种具体情形下,个人信息处理者应事前进行个人信息保护影响评估,并对处理情况进行记录,并进一步规定了个人信息保护影响评估的内容、报告和处理记录留存等具体要求。如涉及向境外提供境内收集和产生的重要数据和个人信息的数据处理者开展数据出境风险自评估。此类数据处理者需要按照国家网信办数据出境安全评估办法,开展数据出境风险自评估开展数据出境风险自评估,并向国家网信部门申报数据出境安全评估。数据处理者需要在风险自评估环节,重点评估其出境数据的规模、范围、种类、敏感程度、数据出境可能对国家安全、
23、公共利益、个人或者组织合法权益带来的风险以及数据出境中和出境后遭到篡改、破坏、泄露等风险等方面内容。地方层面,多地积极响应数据安全风险评估工作。北京、贵州、天津、海南、山西、吉林、安徽、山东、深圳、上海等省市地区纷纷颁布相关数据条例、管理办法等文件,积极落实国家法律法规要求,推动当地数据处理者开展风险评估工作。2019年天津市互联网信息办公室印发的天津市数据安全管理办法(暂行)在第七条提出数据运营者应当开展数据安全风险评估的要求,并在第十七条强调数据运营者如向境外提供个人信息和重要数据,应按照相关法律法规的规定开展安全评估。2021年11月,上海市第十五届人民代表大会通过了上海市数据条例。其中
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 数据 安全 风险 评估 实务 问题 剖析 解决 思路
链接地址:https://www.desk33.com/p-1114516.html