數據安全風險評估實施方法

一.術語

風險評估：風險識別、風險分析和風險評價的全過程。

風險識別：發現、認識和描述風險的過程。

風險分析：理解風險的本質和確定風險水平的過程。

風險評價：將風險分析結果與風險准則進行比較，已確定風險和/或其大小是否可以接受或可容忍的過程。

數據可控性：組織對向外傳輸、共享的數據具有控制能力，對數據接收方組織的數據保護能力可衡量，對接 收方接收數據后的活動及其再轉移行為可約束、可監控、可撤消。

二.數據安全風險評估概述

1.數據安全風險評估原則

2.風險評估各要素之間的關系

3.風險評估原理

風險識別階段：

（1）識別數據資產並分析其重要程度

（2）對數據應用場景進行識別

（3）識別數據應用場景中數據威脅，並判斷數據威脅發生可能性

（4）識別數據應用場景中脆弱性，與具體安全措施關聯分析后，判斷脆弱性可利用程度和脆弱性對數據資產影響的嚴重程度

風險分析階段：

（1）根據數據威脅與脆弱性利用關系，結合數據威脅發生可能性與脆弱性可利用性判斷安全事件發生的可能性。

（2）根據脆弱性影響嚴重程度及數據重要程度計算安全事件影響嚴重程度

（3）根據安全事件發生的可能性以及安全事件影響嚴重程度，判斷風險值。

風險評價階段：

（1）根據風險接受准則判定風險是否可以接受

 

4.數據安全風險評估流程

三.數據安全風險評估實施

1.評估工作准備

（1）確定評估目標

  數據安全風險評估專注於被評估業務的數據安全風險,保障被評估業務的數據資產（包含個人信息） 的機密性、完整性、可用性及可控性。評估內容包括數據資產、數據應用場景、面臨威脅、脆弱性以及 已有安全措施等各方面。

（2）確定評估范圍

  數據安全風險評估工作范圍可能是組織全部的業務及業務相關的各類信息系統，也可能是某個獨立 的業務及相關信息系統等，評估對象為根據關鍵數據原則確定的業務的數據資產。

（3）組建評估團隊

（4）組織數據安全相關工作調研

（5）確定評估依據

2.數據資產識別（本階段工作輸出件為數據資產清單）

（1）數據調研

（2）數據重要程度分析與賦值

（3）確定待評估的數據資產范圍

3.數據應用場景識別

4.數據威脅識別（本階段應輸出數據威脅報告）

（1）數據威脅分類識別表

 

（2）數據威脅源動力及其能力

 

（3）數據威脅頻率

數據威脅頻率賦值表

5.脆弱性識別

 脆弱性識別所采用的的方法主要有：問卷調查、工具檢測、人工核查、文檔查閱、滲透測試等

（1）脆弱性分類

（2）風險評估報告

 

四.風險處置

  應根據風險接受准則判定風險是否可以接受，對不可接受風險應采取相應的風險處置措施降低風險級別。
  風險處置措施應着重針對可能被威脅利用的脆弱性來制定，找出引發不可接受風險的脆弱性，提出具體的風險處置措施。
  風險處置措施應包括風險級別、風險描述、風險值、風險處置措施、風險處置步驟、相關責任人、預計時間等。
風險處置措施的制定應考慮以下內容：
（1）合規需求：組織制定的風險處置措施應符合相關法律法規需求；
（2）業務需求：數據風險評估的目的是保證組織業務的完整運行，風險處置措施應也和業務需求制定；
（3）組織建設：組織的建設是保證數據安全的必要手段，應考慮是否設立數據安全保護組織，以完成數據安全保護目標；
（4）制度流程：必要的制度和規范的流程是保障人員執行數據安全要求的要素之一，其中包括數據安全方針和目標、數據安全管理策略、數據安全管理辦法、數據安全操作指引和相關模板等；
（5）工具：數據安全不僅僅需要考慮管理手段，配套的技術和工具也是需要考量的，其中包括信息系統、加密算法、工具等；
（6）人員：人員是執行以上手段的必要要素之一，可以通過招聘或培訓的方式提升人員數據安全保障能力。
風險處置措施宜參考以下方式：
（7）控制風險：實施有效控制，降低威脅發生的現實可能性和造成的影響，將風險降低到可以接受的等級，包括：減少威脅，即通過有效實施風險控制措施，避免威脅發生，從而保護信息資產; 減少脆弱點，即通過有效實施風險控制措施，減少脆弱點。如采取適當的技術措施，對員工實 施安全教育培訓，強化員工的安全意識和安全操作能力；降低影響，即通過預防性措施降低威 脅發生后可能造成的損失。如對重要信息的備份、制定業務連續性計划等；
（8）轉嫁風險：將風險全部或部分地轉移到其他責任方，如通過購買保險或外包等方式將風險轉移給他方；
（9）避免風險：遠離風險環境或采取與風險環境相隔離的措施。如將有高安全要求的設備或業務活動設置在高安全區中，增加特殊防護手段防止設備或業務活動遭受威脅的影響；
（10）接受風險：接受風險的決策。

五.殘余風險評估

   殘余風險處理是風險評估活動的延續，是被評估組織按照風險安全整改建議全部或部分實施整改工作后，對仍然存在的安全風險進行識別、控制和管理的活動。
  殘余風險評估的目的是對數據安全仍存在的殘余風險進行識別、控制和管理。如某些風險在完成了適當的安全措施后，殘余風險的結果仍處於不可接受的風險范圍內，應考慮進一步增強相應的安全措施。
  對於已完成安全加固措施的數據，為確保安全措施的有效性，可進行殘余風險評估，評估流程及內容應做有針對性的剪裁。
殘余風險評估實施應遵循：
（1）依據組織的風險評估准則進行殘余風險評估，判斷是否已經降至可接受水平，為風險管理提供 輸入；
（2）殘余風險仍處於不可接受的風險范圍內，則應由管理層依據風險接受原則考慮是否接受此類風 險或增加更多的風險控制措施；
（3）應定期開展殘余風險再評估，評估結果應作為風險管理重要輸入。