工业领域数据安全风险评估政策解读连载 - 问答篇
我们在上期《工业领域数据安全风险评估政策解读连载-方案篇》中为大家汇总了工业领域数据安全风险评估问题,从技术和管理两个方面提出了整改建议和建议措施。
本期我们将为大家以问答形式解答数据安全风险评估活动典型的各类问题,涉及定义、范围、依据、流程、投入、处罚等疑问,方便企业可以更好地进行风险评估工作落地。
1. 什么是数据安全风险评估?
答:数据安全风险评估是一个系统性的过程,旨在通过评估数据及其处理活动的安全性,掌握数据安全的总体状况,发现潜在的数据安全隐患,并提出相应的管理和技术防护措施建议。
2. 数据安全风险评估内容是什么?
答:数据风险评估主要包括数据安全管理、数据处理活动安全、数据安全技术、个人信息保护等四个方面,具体内容如下图所示:
图1:数据安全风险评估内容
3. 如何确定数据安全风险评估的范围?
答:数据安全风险评估聚焦数据和数据处理活动,评估范围可以是组织全部数据和数据处理活动,也可以是某个单独的业务、信息系统、部门涉及的数据和数据处理活动。
评估范围是组织全部数据和数据处理活动开展评估时,可根据需要采取“全面摸排、重点评估”的原则,根据如下三步确定评估范围:
✔ 一是全面摸排被评估方的数据安全整体情况,摸清其数据资产、数据处理活动、数据分类分级等情况;
✔ 二是结合数据分类分级选择重点评估对象,将涉及个人信息、重要数据、核心数据的所有数据处理活动,以及抽样选择的其他典型一般数据的处理活动作为重点评估对象开展评估;
✔ 三是如果组织未开展数据分类分级工作,也可结合业务、信息系统的重要性和敏感性,选择核心业务或重要信息系统的数据和数据处理活动作为重点评估对象开展评估。
评估范围是某个单独的业务、信息系统、部门涉及的数据和数据处理活动时,可参考上述步骤确定评估范围。可以选择重点评估对象,也可以选择全部数据和数据处理活动为评估范围。
4. 数据安全风险评估费用需要投入多少?
答:开展风险评估主要包含:人工费用、工具费用、涉及数据业务范围大小费用等,具体费用因各单位现状、评估对象承载业务功能、重要程度、所在地区等差异较大。
为避免过度保护或疏于防范的情况,减少资源浪费等,建议聘请或咨询专业的数据安全厂商或风险评估服务机构,制定科学合理的方案。
5. 开展数据安全风险评估依据是什么?
答:开展数据安全风险评估的主要依据包括法律法规、标准规范和行业通用规范等。
法律法规:《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等相关法律;
标准规范:《信息安全技术 信息安全风险评估方法》GB/T 20984-2022、《网络安全标准实践指南—网络数据安全风险评估实施指引》《信息安全技术 数据安全风险评估方法(征求意见稿)》等国家标准;
行业通用规范:不同行业制定不同标准规范。工信领域可参考《工业和信息化领域数据安全管理办法》《工业和信息化领域数据安全风险评估实施细则(试行)》,企业自身数据安全制度规范可作为评估依据之一。
6. 数据安全风险评估流程是什么?
答:根据《信息安全技术 数据安全风险评估方法》征求意见稿和《网络安全标准实践指南—网络数据安全风险评估实施指引》的规定,数据安全风险评估流程主要包括评估准备、信息调研、风险(数据安全管理、数据生命周期、数据安全技术、个人信息处理)识别、综合分析和评估总结五个阶段。
图2:数据安全风险评估流程
数据安全风险评估流程总体概况从事前、事中、事后三个层面开展,事前层面主要是需要知晓风险评估工作范围、开展评估的方法、组建评估团队和制定评估方案;事中层面主要是现场信息调研、根据评估范围对评估内容进行风险识别及汇总;事后层面主要是对事中汇总的风险进行分析和评价、风险评估报告编制和风险处置建议等。
7. 哪些数据处理者需要定期开展数据安全风险评估?
答:我国目前在《中华人民共和国数据安全法》《关键信息基础设施安全保护条例》《网络数据安全管理条例》《信息安全技术 数据安全风险评估方法(征求意见稿)》等法律法规标准中,提出开展评估工作的要求。详情如下所示:
✔ 《中华人民共和国数据安全法》第三十条提出:重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。
✔ 《关键信息基础设施安全保护条例》第十七条提出:运营者应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行一次网络安全检测和风险评估,对发现的安全问题及时整改,并按照保护工作部门要求报送情况。
✔ 《网络数据安全管理条例》第三十三条提出:重要数据的处理者应当每年度对其网络数据处理活动开展风险评估,并向省级以上有关主管部门报送风险评估报告,有关主管部门应当及时通报同级网信部门、公安机关。第三十七条提出:网络数据处理者在中华人民共和国境内运营中收集和产生的重要数据确需向境外提供的,应当通过国家网信部门组织的数据出境安全评估。
✔ 《信息安全技术 数据安全风险评估方法》(征求意见稿)中第五章第四节提出:重要数据处理者、关键信息基础设施运营者、处理100万人以上个人信息的个人信息处理者、大型互联网平台运营者、赴境外上市的数据处理者、党政机关、网络安全等级保护三级及以上运营者,应每年开展一次数据安全风险评估。
8. 数据安全风险评估和数据分类分级区别与联系是什么?
答:数据安全风险评估和数据分类分级是数据安全管理中的两个重要概念,它们之间既有区别也有联系。
两者区别:
✔ 目的不同:
数据分类分级:主要是对数据进行分类和分级操作,以区分不同数据的保密程度和重要程度,便于组织和管理数据的安全性和有效性。
数据安全风险评估:主要是对数据的安全风险、数据丢失、数据泄露和网络攻击等方面进行全面的评估和检测,以帮助企业识别数据资产安全方面的潜在风险。
✔ 内容不同:
数据分类分级:涉及的是数据的组织和管理,包括确定数据的类别和级别,以及相应的保护措施。
数据安全风险评估:涉及的是数据安全管理识别、数据处理活动要素识别、数据安全技术识别、个人信息保护识别。
两者联系:
✔ 相辅相成:数据分类分级是数据安全风险评估的基础。通过对数据进行分类分级,可以更好地识别和管理不同级别的数据,借鉴分类分级的结果进行风险评估,以确定不同类别和级别数据的安全保护措施。
✔ 共同目标:两者的共同目标都是为了保护数据的安全,确保数据的完整性、保密性和可用性。
✔ 合规要求:两者都是满足法律合规要求的重要组成部分,如《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》都提出了数据分类分级的要求。
综上所述,数据分类分级和数据安全风险评估虽然在目的和内容上有所不同,但它们是相互关联的,共同构成了数据安全管理的重要环节。
9. 数据风险评估的风险有哪些大类?
答:数据安全风险评估的风险类型如下表
表1:数据安全风险类型表
10. 未依法开展数据安全风险评估有什么惩罚?
答:根据《中华人民共和国数据安全法》第四十五条规定:开展数据处理活动的组织、个人未依法开展数据安全风险评估工作,由有关主管部门责令改正,给予警告,可以并处五万元以上五十万元以下罚款;
对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;
拒不改正或者造成大量数据泄露等严重后果的,处五十万元以上二百万元以下罚款;
并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。
未依法开展数据安全风险评估工作的处罚,部分案例如下所示:
商丘市网信办依法对某学校作出行政处罚
商丘市互联网信息办公室在工作中发现,属地某学校运营的“阅卷系统”存在XSS跨站脚本攻击和SQL注入漏洞,且未建立数据安全管理制度,未组织数据安全教育培训,未采取相应技术措施保障数据安全,未对其数据处理活动开展风险监测和定期风险评估,存在系统数据泄露风险,违反了《中华人民共和国数据安全法》第二十七条、第二十九条之规定。2024年10月22日,商丘市互联网信息办公室依据《中华人民共和国数据安全法》第四十五条第一款规定,对该学校作出责令改正,给予警告的行政处罚。
未履行网络数据安全管理义务被行政罚款
“长沙某某发展有限公司”网络信息系统数据安全保护、应急处置、风险评估等制度不健全,存在高危风险,长沙市网信办依据《中华人民共和国数据安全法》对该企业及相关责任人分别予以5万元和1万元的行政罚款,并督促企业在规定期限内完成整改。
结语
长扬科技紧密结合当下热点政策、实战经验,为广泛工业企业在数据安全风险评估方面完成了四篇连载文章,包括《政策篇》《实施篇》《方案篇》《问答篇》,希望可以帮助工业领域企业在开展数据安全风险评估时明确依据、清晰流程、掌握方法、构建体系、提升能力、解答疑惑。
长扬科技将依托自身在数据安全领域的产品技术能力和咨询服务能力,持续帮助客户完成数据安全全生命周期安全防护,实现数据分类分级、数据安全风险评估,建立数据安全保护和应急处置工作体系、增强企业数据安全保障能力、筑牢可信可控的数字安全屏障,不断提升企业数据安全能力成熟度,为客户数字化转型和数字经济发展保驾护航。
