8月21日,全国信息安全标准化技术委员会秘书处发布关于征求国家标准《信息安全技术 数据安全风险评估方法》(征求意见稿)意见的通知,面向社会广泛征求意见。
一、数据安全相关政策法规
此前,国家也发布了多部数据安全相关的法律法规,分别从概念到具体执行等多个层面进行丰富,如:
01
2017年6月《网络安全法》
提及“网络数据安全保护”。
02
2019年5月《数据安全管理办法》
全面规定了数据安全的收集、存储、传输、处理、使用等生命周期。
03
2021年8月《个人信息保护法》
增加了加工、提供、公开、删除等数据安全生命周期环节。
04
2021年11月《网络数据安全管理条例》
明确了对数据采取分类分级保护制度及对应的保护措施。
05
2022年1月《网络安全审查办法》
增加了对数据安全及数据处理活动的审查。
06
2022年7月《数据出境安全评估办法》
规范了数据运营者对敏感数据的出境处理方式。
从上述几部政策法规及标准,可以看出我国的数据安全防护管理逐步成熟。《信息安全技术 数据安全风险评估方法》的推出,让用户的数据安全相关风险提前发现、提前治理,降低发生后再进行治理的经济损失程度。
二、征求意见稿核心内容
征求意见稿主要包含评估要素间关系、风险分析原理、评估适用情形、评估实施流程、评估内容框架、评估方法、数据安全风险评估准备、数据和数据处理活动识别、数据安全风险识别、数据安全风险分析与评价、评估总结、数据安全风险评估报告模板等内容。
三、关键定义
适用对象
适用于指导数据处理者、第三方评估机构开展数据安全风险评估,也可供有关主管监管部门实施数据安全检查评估时参考。
数据
任何以电子或者其他方式对信息的记录;
数据安全
通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。
数据处理活动
数据收集、存储、使用、加工、传输、提供、公开、删除等活动。
数据安全风险
数据安全事件的发生可能性及其对国家安全、公共利益或者组织、个人合法权益造成的影响。
数据安全风险评估
对数据和数据处理活动安全进行信息调研、风险识别、风险分析和风险评价的整个过程。
风险源
可能导致危害数据的保密性、完整性、可用性和数据处理合理性等事件的威胁、脆弱性、问题、隐患等,也称“风险隐患”。
《信息安全技术 数据安全风险评估方法》的出台将为用户提前做好数据安全风险防范提供了具体的、可落地的执行方法,了解上述的关键定义有利于用户更好地开展工作。
作为国内云原生安全领导厂商,安全狗也较早地洞悉到数据安全的重要性,并推出数据安全保障解决方案数垒(点此查看)以及数据安全风险评估服务(点此查看),能为广大行业用户提供覆盖数据安全全生命周期的防护。未来,安全狗将践行“守护数字世界 助力网络强国”的使命,为广大用户的数字经济转型发展、我国的网络安全体系建设以及数据安全健康发展贡献自身的力量。
