数据安全评估体系建设

news2024/12/25 2:13:46

       数据安全评估是指对重要数据、个人信息等数据资产的价值与权益、合规性、威胁、脆弱性、防护等进行分析和判断,以评估数据安全事件发生的概率和可能造成的损失,并采取相应的措施和建议。

数据安全评估的重要性和背景

1.国家法律法规下的合规需要

       目前数据安全法、个人信息保护法、网络数据安全管理条例(征求意见稿)、数据出境评估办法等文件均对数据安全评估提出了明确要求。数据安全法提到“重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告”。个人信息保护法提到“关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。”、“有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录,(一)处理敏感个人信息;(二)利用个人信息进行自动化决策;.......”。网络数据安全管理条例(征求意见稿)提到“第三十二条 处理重要数据或者赴境外上市的数据处理者,应当自行或者委托数据安全服务机构每年开展一次数据安全评估,并在每年1月31日前将上一年度数据安全评估报告报设区的市级网信部门”。

2.日益严重且多样化的数据安全风险分析需要

     2022年由IBM和Ponemon研究所联合发布的一份全球性的研究报告,分析了550家遭受数据泄露事件的组织的各种成本和影响因素。根据报告,2022年全球数据泄露规模和平均成本均创下历史新高,数据泄露事件的平均成本高达435万美元,比2021年增长了2.6%,自2020年以来增长了12.7%。在数据安全风险多样性方面,数据采集侧:2020年滴滴违规采集和使用个人信息,被罚款80亿。数据存储侧:2021年GetHealth子公网数据库位置密码保护没导致6100多万条健康数据泄露。数据传输侧:2022年Accellion文件传输系统遭到黑客攻击,导致多家企业数据泄露。数据使用与加工侧:2023年日产汽车北美公司的第三方服务提供商在使用客户数据开发软件时,发生了数据泄露事件,约18000名客户受到影响。数据销毁侧:2018年,链家删库事件,导致链家大部分业务瘫痪。

3.未来全球化“数字双循环”情况下的提前规划需要

       RCEP、CPTPP、DEPA、中欧贸易投资协定都是一些涉及数字贸易的区域性或双边的自由贸易协定,它们对于数据共享、数据流动、数字经济合作的要求各有不同,但都体现了推动数字贸易发展和规则制定的意愿和方向。

(1)RCEP其中包括了对跨境信息传输和数据本地化等议题的重要共识,为各成员国加强电子商务领域合作提供制度保障。RCEP有利于推动区域经济一体化升级和数字贸易全球规则的制定;对于推动数字产品嵌入全球价值链,实现数字贸易的全产业链发展具有重要意义;

(2)CPTPP对数据开放的程度更高,致力于减少数字贸易发展阻碍,包括禁止强制性数据本地化要求、禁止限制跨境数据流动、禁止对电子商务征收关税等。

(3) DEPA旨在促进数字经济创新和增长,为数字技术应用提供更多机会,并为参与国提供更多选择。DEPA涵盖了数据流动、数据本地化、人工智能、电子身份认证、电子支付等多个方面,并设立了一个数字经济合作委员会来监督和推进协定的实施。

(4)中欧贸易投资协定主要包括保障跨境数据流动的自由,禁止强制数据本地化,但同时允许各方为了保护公共利益而采取必要的限制措施。确保电子签名、电子合同和电子身份认证的法律效力,促进电子商务的便利化。保护消费者权益和个人数据隐私,防止不正当竞争和网络诈骗。

数据安全宏观体系分析

       数据安全评估对于企业有助于摸清数据资产情况、基础环境情况并对数据资产进行盘点。开展系统性、综合性、全面性的安全分析,发展数据资产的威胁性和脆弱性,从而更加准确识别安全风险。针对安全风险提出对应解决方案,并结合组织实际情况制定可执行的安全策略与安全目标,实现数据资产在安全的环境下进行有效利用;对于行业。通过安全评估,发现共性数据安全风险问题,帮助主管部门落实数据安全法要求,实现数据安全风险监测;提升行业数据安全保障水平,保障行业的发展战略、关键技术等重要数据不受到非法侵害,有助于推动数据交易、数据交换共享等应用场景的落地,强化数据资产要素化,促进数据流动,推动数字化转型升级;对于国家。以评促建,以评促改,以评促管,评建结合,重在建设通过数据安全评估,推动《数据安全法》的落实,压实数据安全保护主体责任,切实履行数据安全保护义务,助力维护国家安全,保障社会秩序和公众利益,有效推动数字经济安全健康发展。

      根据目前我国法律法规,数据安全评估整体可分为数据安全风险评估、个人信息保护安全影响评估与数据出境风险评估三种类型。

1.数据安全风险评估

       数据安全风险评估在数据安全法、工业和信息化领域数据安全管理办法(试行)、网络数据安全管理条例(征求意见稿)等文件均有体现。具体流程如下图。

2.数据出境风险评估

        数据出境风险评估在数据安全法、个人信息保护法、网络数据安全管理条例(征求意见)、个人信息跨境处理活动安全认证规范、数据出境安全评估申报指南(第一版)等文件中均有体现。具体流程如下图。

3.个人信息保护安全影响评估

       个人信息保护安全影响评估在数据安全法、个人信息保护法、个人信息出境标准合同办法、个人信息安全规范等文件均有体现。具体流程如下图。

数据安全评估体系建设

1.数据安全广度评估

       数据安全评估流程首先是利用调研表,通过人员访谈、文档翻阅、系统查看、检测工具检测等方式了解、识别被评估单位数据安全防护情况。

        随后利用依据法律法规及规范、技术标准、政策要求形成的度量指标(度量指标分为组织建设度量指标、制度流程度量指标、技术工具度量指标、人员能力度量指标)与识别安全现状结果进行对标分析,形成安全评估报告,在对标分析过程中要保持客观性、独立性,真实性、完整性,一致性、谨慎性,条理清楚及判断准备。在编制安全评估报告过程中要具有科学性、系统性,延伸线、兼容性及具有综合实用性。

       数据安全广度评估,应包含组织建设、制度流程、技术能力、人员能力、个人信息保护、数据跨境保护等维度。并按照以下法律、法规及行业政策规范要求,编制评估矩阵及评估要点。

技术能力矩阵-示例表

2.数据安全精准评估

       数据安全深度评估,是针对数据资产生命周期不同阶段的实施要点和工作形式总结,评估内容包括:资产识别、威胁识别、脆弱性识别、风险分析与数据安全评估报告。数据安全风险评估方法在参照原有信息安全风险评估方法基础上,更关注数据资产,以及在相关数据处理活动中所面临的风险情况。

       资产识别通过分析信息系统的业务流程和功能,从业务数据的完整性、可用性和机密性的保护要求出发,识别出对CIA三性有一定影响的信息流及其承载体。

       威胁识别。产生安全威胁的主要因素可以分为人为因素和环境因素。人为因素又可区分为有意和无意两种,环境因素包括自然界的不可抗的因素和其他物理因素。威胁作用形式可以是对信息系统直接或间接的攻击,例如非授权的泄露、篡改、删除等,在机密性、完整性和可用性等方面造成损害,也可能是偶发的或蓄意的事件。一般来说,威胁总是要利用网络、系统、应用或数据的弱点可能成功地对目标造成伤害。安全事件及其后果是分析威胁的重要依据。

       脆弱性识别。脆弱性识别主要从技术和管理两个方面进行开展。依据脆弱性识别表,通过工具识别扫描、配置核查、策略文档分析、安全审计、网络架构分析当前组织业务流程、管理体系、安全能力建设、数据生命周期等方面脆弱性情况,并根据脆弱性严重程度的不同,进行等级确定。

       通过对目标对象的资产识别、威胁识别与脆弱性识别后,采用适当的方法与工具确定威胁利用脆弱性导致安全事件的可能性。

       综合安全事件所作用的资产价值及脆弱性的严重程度,判断安全事件造成的损失对组织的影响,即安全风险。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/421975.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

面试-基本计算器 II

题目 给你一个字符串表达式 s ,请你实现一个基本计算器来计算并返回它的值。 整数除法仅保留整数部分。 你可以假设给定的表达式总是有效的。所有中间结果将在 [-231, 231 - 1] 的范围内。 注意:不允许使用任何将字符串作为数学表达式计算的内置函数&…

学生管理系统:含注册登录操作

目录 一、分包概况: 二、USER包 1.AMain类:主函数所在 2.User类:构造账号属性 3.PasswordOperate包:用于登录,注册,修改密码,查看账号操作 (1)Login类:…

Java中「Future」接口详解

主打一手结果导向; 一、背景 在系统中,异步执行任务,是很常见的功能逻辑,但是在不同的场景中,又存在很多细节差异; 有的任务只强调「执行过程」,并不需要追溯任务自身的「执行结果」&#xff…

你可能并不需要useEffect

背景 相信大家在写react时都有这样的经历:在项目中使用了大量的useEffect,以至于让我们的代码变得混乱和难以维护。 难道说useEffect这个hook不好吗?并不是这样的,只是我们一直在滥用而已。 在这篇文章中,我将展示怎…

【Spring源码】讲讲Bean的生命周期

1、前言 面试官:“看过Spring源码吧,简单说说Spring中Bean的生命周期” 大神仙:“基本生命周期会经历实例化 -> 属性赋值 -> 初始化 -> 销毁”。 面试官:“......” 2、Bean的生命周期 如果是普通Bean的生命周期&am…

【故障诊断】基于 KPCA 进行降维、故障检测和故障诊断研究(Matlab代码实现)

💥💥💞💞欢迎来到本博客❤️❤️💥💥 🏆博主优势:🌞🌞🌞博客内容尽量做到思维缜密,逻辑清晰,为了方便读者。 ⛳️座右铭&a…

【Flowable】Flowable流程设计器

Flowable流程设计器有两种实现方式 Eclipse DesignerFlowable UI应用 1.Eclipse Designer Flowable提供了名为Flowable Eclipse Designer的Eclipse插件,可以用于图形化地建模、测试与部署BPMN 2.0流程。 (1).下载安装Eclipse 去Eclipse官网下载即可&#xff1a…

【数据结构:复杂度】时间复杂度

本节重点内容: 算法的复杂度时间复杂度的概念大O的渐进表示法常见时间复杂度计算举例⚡算法的复杂度 算法在编写成可执行程序后,运行时需要耗费时间资源和空间(内存)资源 。因此衡量一个算法的好坏,一般是从时间和空间两个维度来衡量的&…

光伏发电系统模拟及其发电预测开源python工具pvlib

1. 太阳辐照量模拟 pysolar是一个用于计算太阳位置和辐照量的Python库。它是基于python语言编写的,可以方便地在各种python项目中使用。pysolar主要用于计算太阳的位置、太阳高度角、太阳方位角、日出和日落时间等信息。这些信息可以用于太阳能电池板和太阳能集热器…

Spark SQL实战(04)-API编程之DataFrame

1 SparkSession Spark Core: SparkContext Spark SQL: 难道就没有SparkContext? 2.x之后统一的 package com.javaedge.bigdata.chapter04import org.apache.spark.sql.{DataFrame, SparkSession}object SparkSessionApp {def main(args: Array[String]): Unit …

ChatGPT的发展对客户支持能提供什么帮助?

多数组织认为客户服务是一种开销,实际上还可以将客户服务看成是一种机会。它可以让你在销售后继续推动客户的价值。成功的企业深知,客户服务不仅可以留住客户,还可以增加企业收入。客户服务是被低估的手段,它可以通过推荐、见证和…

linux安装Detectron2

参考官方文档:https://detectron2.readthedocs.io/en/latest/tutorials/install.html 1.使用image拉取docker image链接:https://hub.docker.com/r/pytorch/pytorch/tags?page1&name1.8.1-cuda11.1-cudnn8-devel 左上角红框这里搜索1.8.1-cuda1…

Scala - 时间工具类 LocalDateTime 常用方法整理

目录 一.引言 二.LocalDateTime 获取与格式化 1.获取当前时间 LocalDateTime 2.根据时间戳获取 LocalDateTime 3.指定时间获取 LocalDataTime 4.LocalDataTime 格式化 三.LocalDateTime 读取时间细节 1.获取年-Year 2.获取月-Month 3.获取日-Day 4.获取时-Hour 5.获…

Vue3+vite2 博客前端开发

Vue3vite2 博客前端开发 文章目录Vue3vite2 博客前端开发前言页面展示代码设计卡片设计背景(Particles.js粒子效果)右侧个人信息与公告内容页友链总结前言 大家是否也想拥有一个属于自己的博客?但是如何去开发博客,怎样去开发一个…

新一代AI带来更大想象空间!上海将打造元宇宙超级场景!

引子 上海市经信委主任吴金城4月12日在“2023上海民生访谈”节目表示,上海将着力建设元宇宙智慧医院、前滩东体元宇宙、张江数字孪生未来之城等元宇宙超级场景。 吴金城说,新一代人工智能将带来更大的想象空间。比如,人工智能和元宇宙数字人的…

实验7---myBatis和Spring整合

实验七 myBatis和Spring整合 一、实验目的及任务 通过该实验,掌握mybatis和spring整合方法,掌握生成mapper实现类的两种生成方式。 二、实验环境及条件 主机操作系统为Win10,Tomcat,j2sdk1.6或以上版本。 三、实验实施步骤 略 四、实验报告内…

wait()、sleep()、notify()的解析

wait()、sleep()、notify()的解析 【🎈问题1】:wait()、sleep()、notify()有什么作用?【🎈问题2】:wait()、sleep()的区别?【🎈问题3】:为什么 wait() 方法不定义在 Thread 中&…

九龙证券|今年最贵新股来了,本周还有超低价新股可申购

本周(4月17日—4月21日),截至现在,共有3只新股将进行申购,别离为科创板的晶合集成、创业板的三博脑科、北交所的华原股份。其间华原股份将于周一申购,发行价为3.93元/股,晶合集成将于周四申购&a…

全国青少年软件编程(Scratch)等级考试一级考试真题2023年3月——持续更新.....

一、单选题(共25题,共50分) 1. 下列说法不正确的是?( ) A.可以从声音库中随机导入声音 B.可以录制自己的声音上传 C.可以修改声音的大小 D.不能修改声音的速度 试题解析:针对声音可以进行导入,上传&…

Android 不同分辨率下的Drawable尺寸资源设置

启动器图标 36x36 (0.75x) 用于低密度48x48(1.0x 基线)用于中密度72x72 (1.5x) 用于高密度96x96 (2.0x) 用于超高密度144x144 (3.0x) 用于超超高密度192x192 (4.0x) 用于超超超高密度(仅限启动器图标;请参阅上面的 注&#xff09…