数据安全风险评估实务：问题剖析与解决思路.docx

《数据安全风险评估实务：问题剖析与解决思路.docx》由会员分享，可在线阅读，更多相关《数据安全风险评估实务：问题剖析与解决思路.docx（31页珍藏版）》请在第一文库网上搜索。

1、CONTENTS目录、数据安全风险评估工作背景（一）数据安全风险形势日益严峻Ol1 .数据泄露：持续呈现高发态势Ol2 .数据破坏：勒索攻击危害显著023 .娄据窃取：组织“内鬼”作案3嬲02（二）组织风险防范面临监管考验02（三）新技术应用暗藏新型风险03二、数据安全风险评估工作现状（一）风险评估已成业界焦点05（二）评估标准编制进程加快07（三）评估实施方法逐渐成熟10三、实务问题剖析与解决思路（一）评估准备131 .如饰定评估触发条件132 .如何制定评估工作目标153 .如何规划评估实施范围16评估实施181 .如何获取有效评估信息182 .如何应用风险评估工具193 .如何开展风险评

2、估分析20（三）评估总结231.如何充分应用评估结果23取据安全推进计划DATA SECURITY INITIATIVE四、数据安全风险评估工作建议（一）建立数据安全风险评估机制（二）构建数据安全风险治理框架252525附录：中国信通院云大所实务索引27（三）完善数据安全风险治理体系取楣安全推进计划DATA SECURITY INITIATIVE图目录112026图1数据安全风险基本要素关系图2风险矩阵（示例）图了数据风险治理基本框架表目录表1数据安全风险评估标准发展、演进一览08表2数据安全风险评估实施流程与产出物12表了数据安全风险评估适用情形13表4评估适用情形检查表（示例）14表5重点

3、评估对象（示例）17表6数据安全风险危害程度（节选）21表7数据级别赋值（示例）22表8数据安全风险危害程度等级参考（节选）23表9安全声明（模板）2427表10实务索引OS)居安全堆曲十划D ss79 DATA SECURITY INITIATIVE一.数据安全风险评估工作背景全球数据泄露、数据破坏、数据窃取、数据滥用等安全事件频繁发生，严重危害了国家、 社会公众安全。针对各国政府机构、关键信息基础设施的网络攻击、数据窃取等违法活动明显 增多，数据安全事件涉及的数据以及用户体量也在持续加大。如何有效防范数据安全风险与事 件，是全球数字经济发展下的重点问题。本章节将总结国际、国内数据安全风险形

4、势，分析广大组织面临的各类数据安全风险以及 日趋严格的监管合规要求，阐述了组织加强数据安全风险防范的必要性。(-)数据安全风险形势日益严峻1 .数据泄露：持续呈现高发态势全球数据泄露事件持续高发。统计数据显示，仅2021年全球范围内公开披露的数据泄露事 件已超过四千起，涉及超过200亿条数据。进入2023年，数据泄露的趋势似乎并未得到缓解： 2023年4月，威胁猎人发布的2023年Ql数据资产泄露分析报告显示，仅2023年第一季度 就已发生近千余起数据泄露事件，这些事件涉及上千家组织、近四十个行业。例如，Twitter在 2023年1月遭遇了数据泄露事件，包括用户电子邮件地址、姓名等2亿条个人

5、信息被泄露。2023 年2月，全美最大的综合医疗服务网络Heritage Provider NetWork遭遇勒索软件攻击，导致多 个医疗机构大量敏感信息泄露。2023年2月，TeIegram各大频道突然大面积转发某隐私查询机 器人链接，该机器人泄露了大量来自我国各快递、电商平台的个人信息，包含了用户的真实姓 名、电话与住址等，数据量高达45亿条。组织数据安全保障压力倍增。2020年，某电商的客户数据泄露导致不法分子冒充客服对全 国二十多个城市的受害者进行了电话诈骗，受害者的被骗金额为几千到十几万元不等。2023年 8月，公安部公布了打击侵犯公民个人信息犯罪的十大典型案例，其中黑灰产组织窃取、

6、利用 组织掌握的用户个人信息实施犯罪的案例高居榜首。随着个人信息成为黑灰产组织逐利的“重灾 区”，组织面对无孔不入的黑灰产组织，在数据安全风险应对上压力倍增。数据泄露事件为组织带来的损失也在逐年走高。组织数字化转型加快，对数据依赖程度随 之加深，数据一旦泄露给组织带来的损失也更加严重。根据IBM2023年数据泄露成本报告 显示，组织数据泄露事件平均成本达到445万美元，较2022年的435万美元增长2. 3%,而较 2020年的386万美元则足足增长了 15. 3%,现已创下历史新高。2 .数据破坏：勒索攻击危害显著有针对性的数据勒索与破坏事件愈演愈烈。随着全球各行业领域的组织数字化转型 程度

7、加深，其系统及承载的数据重要程度也随之提升，其中的关键数据更是组织业务运 行命脉，一旦这些关键数据遭到破坏，将面临业务中断、信息系统或网络服务瘫痪，严 重的后果可能是长期业务受损，客户信息、商业机密等重要数据泄露，给组织带来重大 的经济损失和声誉损失。而近年来，针对政府机构、知名组织的数据勒索、破坏事件也 持续增加：2022年，哥斯达黎加政府遭遇Conti勒索软件团伙攻击，国家财政部数个TB 的数据以及800多台服务器受到此次攻击影响，国内数字税务服务、海关控制IT系统以 及医疗保健系统在多轮攻击下接连瘫痪、被迫下线，导致国内医疗保健系统陷入混乱。 同年，法国巴黎的一家医院Center Hos

8、pitalier Sud Francilien (以下简称CHSF) 遭 遇网络攻击并被勒索IOOO万美元作为解密密钥的赎金。此次攻击直接导致了CHSF多个 业务软件、医学影像存储系统无法访问，大量医疗数据被加密迫使医院推迟多台手术计 划，大量患者被临时转诊至其他机构，这严重威胁了当地的急、重病患者生命安全。3 .数据窃取：组织“内鬼”作案猖獗来自“内鬼”的数据窃取也令组织防不胜防。2023年6月6日， Verizon 发布了2023 年度数据泄露调查报告(2023 Data Breach Investigations RePort,简称 DBlR),分析了从201 7年以来的1631 2起安

9、全事件和51 99起数据泄露事件，指出74%的泄露事件 由人为因素造成的，约五分之一的数据泄露事件来自于组织的内部。组织收集、存储了 大量用户的个人信息数据， 一旦组织内部出现了特权账号滥用、数据权限分配不清、人 员利用越权访问漏洞等问题，将直接导致拥有内部人员对其获取的数据进行不正当的使 用或者窃取。2023年5月，特斯拉两名员工违规挪用、泄露了包括员工个人信息、客户 银行信息、生产信息在内的IOOGB数据，影响超过7. 5万人。无独有偶，2023年7月，日 本通信运营商NTTDOCOMO的承包商员工盗取了包括用户个人信息在内的596万条商业信息，这些案件均有力证明了组织“内鬼”窃取数据的危

10、害。(二)组织风险防范面临监管考验面对日益严峻的网络数据安全风险，各国政府倡导国际、国内或地区内的公私部门 开展网络数据安全风险防范合作。例如，2023年联合国打击网络犯罪公约结合新 型网络犯罪情况，要求缔约国将黑客攻击、非法数据获取等犯罪行为纳入本国刑法执法 范围，倡导加强网络数据安全风险的跨国协作与应对。再例如，欧盟数据治理法案 (2022)提出欧盟境内的公共和私营组织在共享数据时，应遵守的安全与可靠性要 求，要求及时报告数据泄露事件，防范全球数据流通带来的数据共享风险。美国网络 安全信息分享法案(ClSA)(2015)也曾鼓励国内的私营组织与政府进行网络威胁情报共享，增强其网络数据安全风

11、险防御能力。数据安全与隐私保护法规的发展对广大数据处理者的风险防范能力提出了新要求。除了网 络数据安全风险的跨国协作与应对，各国的法律法规也明确规定了国内数据处理者的数据安全 义务、责任，要求其开展数据保护影响评估等活动，加强对用户个人信息的保护。中国方面。2021年，中国中华人民共和国数据安全法（以下简称数据安 全法）、 中华人民共和国个人信息保护法（以下简称个人信息保护法）相继 颁布、实施。作为数据安全领域的基础性法律， 数据安全法指出数据处理者开展数 据处理活动应依照法律、法规的规定，建立健全全流程数据安全管理制度，组织开展数 据安全教育培训I,采取相应的技术措施和其他必要措施，保障数据

12、安全。其中，重要数 据处理者应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送风 险评估报告。个人信息保护法则进一步强调了个人信息处理者的责任与义务，提出 个人信息处理者应对其个人信息处理活动负责，并采取必要措施保障所处理的个人信息 的安全。在处理敏感个人信息等情形下，个人信息处理者还应当事前进行个人信息保护 影响评估，并对处理情况进行记录。欧盟方面。2018年，欧盟通用数据保护条例（General Data Protection Regulation,以下简称“GDPR”）正式生效。GDPR基于其域外效力及严厉的行政处罚措施，提出了个人同意、隐私权影响评估等多项数据处理合规要

13、求，并警示其适用范围内的数据 处理主体严格履行合规义务。针对可能会为自然人权利与自由带来高度风险的数据处理方 式，GDPR提出数据处理主体应事先进行影响评估，加强对个人敏感信息的保护，限制对 个人信息的非授权使用。美国方面。2023年1月，美国加州隐私权法案（California Privacy Rights ACt,以 下简称CPRA）正式生效。CPRA在加州消费者隐私法案（California Consumer Privacy Act, 简称CCPA）的基础上进行了修订，要求组织开展数据处理活动风险评估，并定期向当地隐私局提 交评估报告。此外，美国的弗吉尼亚州消费者保护法与科罗拉多州隐私法

14、也要求，针对 可能对消费者带来重大风险的行为，信息处理者应开展数据保护影响评估（Data Protection Impact Assessment,简称DPIA）,并在评估期间对消费者的信息进行去标识处置。新加坡、俄罗斯、印度、巴西、韩国等多个国家也通过立法明确了数据处理者的数 据保护、风险防范以及数据保护影响评估活动等方面的要求，加强了数据处理者的监督 和处罚，极大地推动了以上国家、地区的数据处理者提升数据安全风险防范能力，切实 保护数据安全。（三）新技术应用暗藏新型风险新技术应用衍生新型安全风险。5G、人工智能、云计算、移动互联网、大数据分析等 新兴技术应用极大地推动了各行业领域的组织发展

15、与创新，为广大用户提供了更为智能、 便利的服务，但同时也带来了大量的安全漏洞、风险。以云计算为例。云计算通过互联网 为组织提供了更加灵活、可扩展的计算和存储服务，实现了资源池化、按需扩缩容的能 力，但云平台的复杂性以及多租户环境也存在数据隔离失效的问题，存在内部人员越权访 问的可能，增加了组织数据泄露的风险。再例如，5G技术的典型应用场景eMBB （增强 移动带宽），由于在增强现实（AR）、 虚拟现实（VR）、 高清视频直播、频等对带宽有 极高要求的业务场景下衍生的海量数据往往涉及个人隐私数据，而传统的安全基础设施 难以适应超大流量的5G网络防护以及海量用户隐私数据保护的安全需求。新兴技术的监管措施与规范的不完善也可能导致数据安全风险。部分处于萌芽期的 新兴技术可能因其配套的监管措施与技术规范尚未完善，在实际应用过程中为组织、个 人带来尚未被公众充分认识的数据安全风险，导致安全事件一旦发生，出现责任主体判 定难、治理成本高等问题。以生成式Al为例。其在文本、图片或视频生成等领域中得到 了广泛的应用，但如果在学习训练阶段缺乏监管，该技术可能会因其对个人信息进行深 度加工、价值挖掘，导致个人信息被违规利用或个人信息主体的权益遭到侵害，带来个 人信息泄露的安全风险。针对这一问题，2023年7月