資料作為新型生產要素，是價值創造的重要源泉。2023年12月，國家資料局等17部門聯合印發《“資料要素×”三年行動計劃(2024—2026年)》提出到2026年底，資料要素應用廣度和深度大幅擴充，資料產業年均增速超過20%。與此同時，與資料產業並駕齊驅的資料安全問題也被提到了一定高度，如何加強資料安全保護、完善資料安全治理已經成為社會各界關注的重點問題。

面對資料安全治理，提出資料安全治理三步走的安全防護策略：第一步：分類分級定基礎；第二步：風險評估明缺陷；第三步：安全治理建體系。本文主要對資料安全風險評估進行分析，幫助各位瞭解何為資料安全風險評估以及產生的作用與價值。

評估實施階段主要內容包括對資料以及資料處理活動進行識別，對資料面臨的安全威脅、存在的脆弱性進行識別，對資料安全防護措施進行確認。實施流程具體如下：

（一）資料分類分級

資料識別主要分析識別資料分類（含子類）、資料項名稱、資料屬性與要素（資料來源、資料規模、資料用途、資料儲存位置、資料共享情況、資料是否出境等）、資料分級等，並形成資料目錄清單。

資料處理活動識別主要圍繞資料採集、資料傳輸、資料儲存、資料處理、資料交換、資料銷燬等全生命週期，結合組織業務流程、系統功能實現等情況，識別資料處理活動以及個人資訊處理活動，並進行記錄。

（二）資料安全威脅識別

資料安全威脅識別主要包括威脅的來源、主體、種類、動機、頻率、時機等。威脅來源包括環境、意外、人為三類，根據威脅來源不同，進一步劃分威脅的種類與威脅來源的主體、動機，威脅頻率應根據經驗和有關的統計資料來進行判斷。最終結合威脅的行為能力、威脅發生時機，透過威脅發生的頻率給出威脅賦值。

（三）資料安全脆弱性識別

資料安全脆弱性識別主要可從技術和管理兩方面進行審視。技術脆弱性包括資料處理活動過程中所涉及的技術性安全問題或隱患。管理脆弱性包括組織資料處理活動過程中，中的責權劃分、應急處置、執行維護等管理制度的完備程度與可行程度。最終根據資料安全脆弱性危害程度給出資料安全脆弱性指數賦值。

（四）資料安全措施識別

安全措施可以分為預防性安全措施和保護性安全措施兩種。預防性安全措施可以降低威脅利用脆弱性的可能，保護性安全措施可以降低資料安全事件發生後造成的影響。安全措施識別應充分考慮資料物件安全等級所對應的安全需求。

（五）風險分析與評價

風險分析與評價主要圍繞資料、資料處理活動，對已識別的資料安全威脅、脆弱性、安全措施，綜合運用資料安全風險分析與評價模型，給出定性與定量相結合的風險分析與評價結果，並明確風險接受程度以及風險處置措施。

作為資料安全治理“三步走”戰略中承上啟下的重要一環，資料安全風險評估服務用於識別、評估和管理組織或企業面臨的資料安全風險，可以確定潛在威脅和弱點，並提供基於風險的決策依據，以保護資訊資產免受損害，有著十分重要的意義：

■ 提供全面的風險認知：透過評估，組織可以全面瞭解其資訊資產所面臨的威脅和風險，從而制定相應的防護措施；

■ 最佳化資源分配：評估結果可以幫助組織更好地分配資源，將有限的安全預算用於最需要的領域，提高整體安全效能；

■ 合規要求滿足：許多行業和法規對資料安全有明確的要求，透過評估，組織可以確保其符合相關合規標準。

昂楷科技已實施多家資料安全風險評估案例，涉及政務、教育、醫療衛生等多個行業。以某政數局專案為例，昂楷科技為其梳理了資料資產，對資料臺賬進行摸底；進一步分析確定該單位政務資料共享交換平臺資料安全體系建設存在的安全隱患，掌握目前面臨的風險狀況，為下一步開展資料安全治理體系建設提供依據。

對該政數局進行資料安全風險評估，推動了其資料安全管理體系的落實，形成資料安全管理運作和持續提升機制，確保了資料安全水平的持續提高。

關於資料安全風險評估，你不知道的這些事！

相關文章