關於資料安全風險評估,你不知道的這些事!
資料作為新型生產要素,是價值創造的重要源泉。2023年12月,國家資料局等17部門聯合印發《“資料要素×”三年行動計劃(2024—2026年)》提出到2026年底,資料要素應用廣度和深度大幅擴充,資料產業年均增速超過20%。與此同時,與資料產業並駕齊驅的資料安全問題也被提到了一定高度,如何加強資料安全保護、完善資料安全治理已經成為社會各界關注的重點問題。
面對資料安全治理, 提出資料安全治理三步走的安全防護策略:第一步:分類分級定基礎;第二步:風險評估明缺陷;第三步:安全治理建體系。本文主要對資料安全風險評估進行分析,幫助各位瞭解何為資料安全風險評估以及產生的作用與價值。
評估實施階段主要內容包括對資料以及資料處理活動進行識別,對資料面臨的安全威脅、存在的脆弱性進行識別,對資料安全防護措施進行確認。實施流程具體如下:
資料識別主要分析識別資料分類(含子類)、資料項名稱、資料屬性與要素(資料來源、資料規模、資料用途、資料儲存位置、資料共享情況、資料是否出境等)、資料分級等,並形成資料目錄清單。
資料處理活動識別主要圍繞資料採集、資料傳輸、資料儲存、資料處理、資料交換、資料銷燬等全生命週期,結合組織業務流程、系統功能實現等情況,識別資料處理活動以及個人資訊處理活動,並進行記錄。
資料安全威脅識別主要包括威脅的來源、主體、種類、動機、頻率、時機等。威脅來源包括環境、意外、人為三類,根據威脅來源不同,進一步劃分威脅的種類與威脅來源的主體、動機,威脅頻率應根據經驗和有關的統計資料來進行判斷。最終結合威脅的行為能力、威脅發生時機,透過威脅發生的頻率給出威脅賦值。
資料安全脆弱性識別主要可從技術和管理兩方面進行審視。技術脆弱性包括資料處理活動過程中所涉及的技術性安全問題或隱患。管理脆弱性包括組織資料處理活動過程中, 中的責權劃分、應急處置、執行維護等管理制度的完備程度與可行程度。最終根據資料安全脆弱性危害程度給出資料安全脆弱性指數賦值。
安全措施可以分為預防性安全措施和保護性安全措施兩種。預防性安全措施可以降低威脅利用脆弱性的可能,保護性安全措施可以降低資料安全事件發生後造成的影響。安全措施識別應充分考慮資料物件安全等級所對應的安全需求。
風險分析與評價主要圍繞資料、資料處理活動,對已識別的資料安全威脅、脆弱性、安全措施,綜合運用資料安全風險分析與評價模型,給出定性與定量相結合的風險分析與評價結果,並明確風險接受程度以及風險處置措施。
作為資料安全治理“三步走”戰略中承上啟下的重要一環,資料安全風險評估服務用於識別、評估和管理組織或企業面臨的資料安全風險,可以確定潛在威脅和弱點,並提供基於風險的決策依據,以保護資訊資產免受損害,有著十分重要的意義:
■ 提供全面的風險認知:透過評估,組織可以全面瞭解其資訊資產所面臨的威脅和風險,從而制定相應的防護措施;
■ 最佳化資源分配:評估結果可以幫助組織更好地分配資源,將有限的安全預算用於最需要的領域,提高整體安全效能;
■ 合規要求滿足:許多行業和法規對資料安全有明確的要求,透過評估,組織可以確保其符合相關合規標準。
昂楷科技已實施多家資料安全風險評估案例,涉及政務、教育、醫療衛生等多個行業。以某政數局專案為例,昂楷科技為其梳理了資料資產,對資料臺賬進行摸底;進一步分析確定該單位政務資料共享交換平臺資料安全體系建設存在的安全隱患,掌握目前面臨的風險狀況,為下一步開展資料安全治理體系建設提供依據。
對該政數局進行資料安全風險評估,推動了其資料安全管理體系的落實,形成資料安全管理運作和持續提升機制,確保了資料安全水平的持續提高。
來自 “ ITPUB部落格 ” ,連結:https://blog.itpub.net/30360105/viewspace-3004367/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 您的資料安全嗎?如何評估和降低資料風險
- 什麼是資訊保安風險評估?資訊保安風險評估的步驟?
- 綠盟科技:以智慧的方法落實資料安全風險評估
- 什麼是風險評估?風險評估需要分析哪些內容?
- 什麼是網路安全風險評估?需要評估哪些內容?
- 關於雲原生應用,這些安全風險瞭解一下
- 對於網路安全風險評估 企業當如何妥善處理?
- 風險和控制自評估
- 眾至科技:《資訊保安風險評估》國標即將實施,將迎來這些變化!
- CCIA技術沙龍 | “資料安全風險評估及安全服務實踐” 沙龍成功舉辦
- 關於美顏SDK,還有這些你不知道的知識
- Game Boy 的北美奇幻漂流:關於這部掌機你不知道的事GAM
- 關於Java序列化你不知道的事Java
- 精讀《12 個評估 JS 庫你需要關心的事》JS
- 關於等級保護測評,這些你都知道嗎?
- 關於 TDengine 3.0 資料訂閱,你需要知道這些
- 護航數字政府建設 | 綠盟敏感資料發現與風險評估系統保障大資料安全的利器大資料
- 關於“等保測評”的這些疑問,你都瞭解嗎?
- 網路安全風險評估流程包括哪些步驟?小白入門必看
- 埃森哲:只有11%的風險經理能完全評估採用AI的風險AI
- 如何更好評估信用貸風險?看這場評分卡模型直播就可以了模型
- 軟體供應鏈風險評估:實現安全 SDLC有哪些步驟
- 如何消除冗餘資料的安全風險?
- 關於檔案傳輸協議,你不知道的事協議
- 新品釋出·綠盟科技IDR敏感資料發現與風險評估系統
- 等級保護、風險評估、安全測評三者之間有什麼聯絡?
- 關於資訊保安,這些你都瞭解嗎?
- 中科三方:關於SSL證書你應該知道這些事
- 關於資料庫事務和鎖的一些分析資料庫
- 關於雲原生,這些你要知道
- 這些關於WebSocket的知識,你知道多少?Web
- 關於驗證碼,你不知道的一些問題!
- 資訊保安、等級保護及風險評估是什麼?這篇文章一定要看!
- 關於JavaScript物件,你所不知道的事(一)- 先談物件JavaScript物件
- 大資料測試 - 相關性評估大資料
- 請問公司近60億的信託理財到期收回風險是否有安全評估?
- 關於開源,你可能沒想到的一些事
- 這些著名資料庫之間的“關係”,你知道嗎?資料庫